Für Betriebsrät:innen und Personalvertreter:innen
Der Einsatz vielfältiger IT-Systeme im Betrieb ist für Betriebsrat und Beschäftigte nichts Neues. Seit Jahrzehnten verarbeiten Zeiterfassung, Zutritts- und Videokontrolle oder eine Betriebsdatenerfassung personenbezogene Daten von Mitarbeiter:innen. Auch der Einsatz von Callcenter-Anwendungen oder die Steuerung betrieblicher Abläufe durch Systeme wie SAP gehört in größeren Betrieben zum Standard.
Was sich in den letzten zehn Jahren jedoch grundlegend verändert hat, ist die überbetriebliche Vernetzung und die Nutzung des Internets, und dabei wandern vermehrt Daten in die Cloud.
Das bedeutet, dass die Verarbeitung der Daten nicht mehr lokal im eigenen Betrieb stattfindet (im Englischen als „on-premises“ bezeichnet), sondern in eigens dafür gemietete Systemumgebungen (Software/Infrastructure/Platform as a Service) ausgelagert wird. Diese Systeme werden in der Regel von der Konzernmutter oder von externen Unternehmen (Auftragsverarbeitern) betrieben. Beispiele dafür sind SuccessFactors, die HRCloud von SAP, oder Microsoft 365 (oft als Office 365 bezeichnet).
Thomas Riesenecker-Caba
Parallel zu dieser Auslagerung von Daten und Diensten steigt der Einsatz smarter Geräte. Das Smartphone als unser ständiger Begleiter ist dafür das anschaulichste Beispiel. Nicht nur im Berufsalltag, sondern auch im privaten Bereich dominieren soziale Netzwerke und Apps unser Leben und fördern Vernetzung und Kommunikation.
Für Beschäftigte in aller Regel nicht nachvollziehbar, erheben immer mehr Komponenten, wie etwa Sensoren an Produktionsmaschinen oder in Fahrzeugen (oft als „Internet der Dinge“ bezeichnet), Daten und übermitteln diese an leistungsstarke Datenbanken (Big Data). Neue Formen der Datenaufbereitung und -analyse ermöglichen somit vielfältige Einsichten in betriebliche Abläufe und unterstützen neue Formen der Arbeitsorganisation und Automatisierung.
In diesem Zusammenhang wird oft von künstlicher Intelligenz (KI) oder Maschinenlernen gesprochen. Wie „intelligent“ diese Systeme jedoch wirklich sind, hängt noch immer stark davon ab, welche Programme (Algorithmen) die Daten aufbereiten bzw. mit welchen Lerndaten diese Systeme gefüttert werden. Das Erkennen von Mustern oder Auffälligkeiten in einer großen Anzahl von Daten erleichtert bereits heute die Arbeit von IT-Abteilungen zur Analyse von Datensicherheitsproblemen.
Weicht ein Laptop oder Smartphone vom in der Vergangenheit aufgezeichneten Systemverhalten ab (erkennbar durch die Analyse von technischen Protokollen), indem beispielsweise versucht wird, auf geschützte betriebliche Informationen zuzugreifen, schlägt das KI-System Alarm, und Mitarbeiter:innen der IT-Abteilung erhalten zeitnah wertvolle Hinweise.
Weitere Anwendungsbereiche sind Chatbots, die im Kund:innenverkehr automatisiert Fragen beantworten, Texte, die von einer Software übersetzt werden, oder Produktionsbetriebe, die anhand von Maschinendaten Wartungsarbeiten automatisiert einplanen.
In immer kürzeren Zeitabständen treten diese technologischen Neuerungen auf, und es ist für technisch nicht versierte Personen schwer nachzuvollziehen, was in diesen Systemen wirklich passiert und welche personenbezogenen Daten verarbeitet werden.
Eine kritische Auseinandersetzung des Betriebsrats mit diesen komplexen Veränderungen ist wichtiger denn je, denn oft werden ohne Wissen der Beschäftigten personenbezogene Daten verarbeitet.
Die Datenschutz-Grundverordnung (DSGVO, englisch: GDPR) definiert personenbezogene Daten (in Art 4 DSGVO) als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.
Somit sind auch GPS-Daten eines Fahrzeuges, das von einer Mitarbeiterin verwendet wird, oder Stückzahlen und Stillstandszeiten einer Produktionsmaschine, bei der sich ein Arbeiter anmeldet, personenbezogen, da die Person anhand der Verknüpfung von Daten eindeutig identifiziert werden kann. Und somit sind auch alle Protokolldaten, die ein Laptop und ein Smartphone erzeugt, im Besitz der Beschäftigten. Ein breites Aufgabenfeld für Betriebsräte!
Die Europäische Union reagierte auf diesen technologischen Wandel und das hohe Potential Daten von Bürger:innen (und somit auch Beschäftigte) durch Geräte oder Apps zu verarbeiten, mit einer Neuregelung des Datenschutzes.
Seit 2018 sorgt die DSGVO für viel Diskussionsstoff. Die erste Unruhe hat sich gelegt, und in allen österreichischen Betrieben finden deren Bestimmungen inzwischen Anwendung. Die DSGVO unterstreicht die Bedeutung des Schutzes der Persönlichkeitsrechte der Menschen nicht nur im Privatleben, sondern auch im Beschäftigungskontext (siehe Art 88 DSGVO).
Die Mitwirkungs- und Mitbestimmungsrechte des Betriebsrates nach der Arbeitsverfassung werden bei der Verhandlung von Betriebsvereinbarungen zu einzelnen IT-Systemen durch die DSGVO nicht beschnitten. Somit bleiben Betriebsvereinbarungen auch weiterhin ein wichtiges Instrument für mehr Datenschutz im Betrieb.
Hier kostenlos zum Download
Gespeicherte Daten in IT-Systemen im Betrieb eignen sich zur Steuerung und Verbesserung betrieblicher Prozesse. Sie bergen jedoch die Gefahr von Überwachung und Kontrolle. Bestimmungen des Datenschutzes und Betriebsvereinbarungen nach dem Arbeitsverfassungsrecht bieten dem Betriebsrat die Möglichkeiten zur Regelung dieser Systeme.
