Dass die Europäische Datenschutz-Richtlinie aus dem Jahre 1995 stammt, ist ein eindeutiges Zeichen dafür, dass sie reformiert werden muss. Damals steckten die Systeme zur Datenverarbeitung noch in den Kinderschuhen, apples und blackberries wurden mit Früchten assoziiert und „goggles“ schrieb man mit Doppel-g und nutzte sie zum Schwimmen. 2010 begann also die Europäische Kommission, an einem Konzept für die Neu-Gestaltung der Datenschutz-Richtlinie zu arbeiten.
Ein Konzept wurde ausgearbeitet, in dem die wichtigsten zu reformierenden Punkte beschrieben wurden. Unter anderem fand sich darin ein eigener Punkt zum Beschäftigtendatenschutz. Eine europaweite öffentliche Befragung der BürgerInnen und Bürger, Unternehmen und Lobbyisten startete im Jänner. Die Stellungnahmen, die auf diese Befragung hin abgegeben wurden, stammten großteils von Konzernen und arbeitgebernahen Vereinigungen. ÖGB und Arbeiterkammer gehörten zu den wenigen ArbeitnehmerInnenvertretungen in Europa, die ihre Stellungnahmen dazu abgegeben haben.
Im Jänner 2012 war Paul Nemitz, Direktor der Abteilung Grundrechte und Unionsbürgerschaft im Department Justiz der Europäischen Kommission, mit dem Kommissionsentwurf fertig. Um ein europaweit einheitliches Datenschutzniveau zu gewährleisten, sollte aus der Richtlinie eine Verordnung werden. Ein eigener Artikel zum Datenschutz im Arbeitsverhältnis sowie ein betrieblicher Datenschutzbeauftragter (ab einer Unternehmensgröße von 250 MitarbeiterInnen) waren Teil des Kommissions-Entwurfes. Für besonderen Aufruhr sorgte das Vorhaben, auch Konzerne, die nicht in der EU niedergelassen sind, an die Inhalte der Datenschutz-Verordnung zu binden, sobald sie eine Geschäftsbeziehung mit EU-BürgerInnen anbieten oder eingehen. Die Sanktionen sollten proportional zum weltweiten Unternehmensumsatz verhängt und insgesamt angehoben werden. Diese beiden letzten Bestimmungen freuten insbesondere us-amerikanische Unternehmen wenig.
das Europäische Parlament beschäftigt sich mit der Verordnung – und zahlreiche Wirtschafts-Lobbyisten auch
Im Europäischen Parlament wurde die Bearbeitung des Dossiers innerhalb des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) dem deutschen Parlamentarier Jan-Phillip Albrecht als Berichterstatter zugeteilt. In einigen anderen Ausschüssen wurde die neue Verordnung ebenfalls bearbeitet. Unter anderem engagierte sich der Ausschuss für Beschäftigung und Soziale Angelegenheiten (EMPL) für eine Ergänzung der Kommissions-Vorschläge zum Datenschutz am Arbeitsplatz.
- So konnte durchgesetzt werden, dass „Schwarze Listen“ von ArbeitnehmerInnen – insbesondere über deren gewerkschaftliche Tätigkeit – verboten wurden.
Auch in den Ausschüssen für Industrie, Forschung und Energie (ITRE) und für Binnenmarkt und Verbraucherschutz (IMCO) sowie im Rechtsausschuss wurde an dem Verordnungsentwurf der Kommission gedreht und geschraubt, was schlussendlich zu mehr als 3.000 Änderungsanträgen führte – eine enorme Anzahl, die für eine Verordnung höchst untypisch ist. Einige Anträge waren nichts weiter als copy – paste – Aktionen von Stellungnahmen großer Konzerne, wie sich später herausstellen sollte.
Im LIBE bemühte man sich, diese vielfältigen und widersprüchlichen Anträge auf einen Nenner zu bringen. Die Deadline für die Abstimmung wurde immer wieder verschoben. Entgegen allen Unkenrufen ist es schließlich im Oktober 2013 gelungen, einen Parlamentsentschluss zu fassen. Der enthält Aspekte, die aus ArbeitnehmerInnen-Sicht kritisch zu beurteilen sind, wie beispielsweise
- keine dezidierte Mitbestimmung für die betriebliche Interessenvertretung,
- die Interessen der Auftraggeber als legitime Grundlage für Datenverwendungen und
- wesentlich mehr Datenschutz-Verantwortung auf Unternehmensebene, also eher auf freiwilliger und privatrechtlicher Basis anstatt von Seiten staatlicher Behörden oder sozialpartnerschaftlicher Organisationen.
Es können dem Entwurf aber auch positive Aspekte abgewonnen werden:
- Die Anträge des EMPL zum betrieblichen Datenschutz wurden beibehalten.
- Der betriebliche Datenschutzbeauftragte ist nicht mehr auf die Unternehmensgröße abgestimmt, sondern darauf, von wie vielen Betroffenen die Daten verarbeitet werden. (Verpflichtend wären Datenschutzbeauftragte demnach ab 5.000 Datensubjekten.)
- IP-Adressen gelten als personenbezogen Daten und sind somit von der Verordnung mit erfasst.
- Entgegen den Lobbyversuchen von Konzernen, blieben die Sanktionen erhöht.
Jetzt, im Herbst 2013, sollten die Trilog-Gespräche zwischen Kommission, Parlament und Europäischem Rat losgehen. Doch der EU-Rat sorgt für „Entschleunigung“. Während dem gesamten Verhandlungsprozess war im EU-Rat eine Arbeitsgruppe zum Thema Datenschutzverordnung (DAPIX) am Werken – hinter verschlossenen Türen. Das, was an die Öffentlichkeit gedrungen ist, zeugte von sehr unterschiedlichen Interessenlagen der Mitgliedsstaaten. Nach wie vor gibt es keine offizielle einheitliche Position des Rates und einigen Ländern wird unterstellt, absichtlich zu „mauern“ (zB Deutschland und Großbritannien). Der ursprüngliche Plan bis Ende der Legislaturperiode eine neue Datenschutzverordnung vorlegen zu können, rückt damit in die Ferne. Kein Wunder, dass der Berichterstatter Jan-Phillip Albrecht sauer ist.
wie soll das noch enden?
Wer sich näher informieren möchte, wie es mit dem Datenschutz in der EU weitergeht, hat am 9. Jänner im Bildungszentrum der AK Wien dazu Gelegenheit. EU-ParlamentarierInnen, ein Mitglied der EU-Ratsarbeitsgruppe sowie weitere ExpertInnen aus Politik, Technik und Wissenschaft werden sich und dem Publikum einen Tag lang die Frage stellen, ob die Grundrechte im Netz noch gewahrt sind oder bereits Opfer von ökonomischer Verwertbarkeit und politischen Interessenvertretungen geworden sind. Anmeldung unter: veranstaltungen.ks@akwien.at
Auf Wiedersehen
(Beitrag wurde erstveröffenticht auf dem GPA-djp-Blog “Arbeit & Technik”)