Spezifische Datenschutz-Problemlagen bei CrowdworkerInnen
Mag. Dr. Wolfgang Goricnik, Mag. Thomas Riesenecker-Caba
Inhaltsverzeichnis
Neben den in diesem Band behandelten wirtschaftlichen, sozialen, soziologischen und rechtlichen Problemfeldern der Gig-Economy erscheint die Bearbeitung des rechtlichen Unter-Themas „Datenschutz“ auf den ersten Blick exotisch. Tatsächlich können aber einige der schon aufgezeigten strukturellen Problematiken für CrowdworkerInnen (auch) dort verortet werden. Dementsprechend soll dieses Kapitel ausgewählte Datenschutz-Probleme in Bezug auf CrowdworkerInnen näher darstellen und auch datenschutzrechtliche Lösungsmöglichkeiten entwickeln. Dies soll in der Form einer getrennten technischen und datenschutzrechtlichen Darstellung erfolgen. Damit kann auch der Fragestellung nachgegangen werden, ob trotz der Vielgestaltigkeit der plattformbasierten Abwicklung von Dienstleistungen die als überprüfenswert erachteten datenschutzrechtlichen Aspekte der Stellung der CrowdworkerInnen auf grundsätzlich ähnliche Problematiken hinauslaufen. Das würde nämlich dafür sprechen, dass Crowdwork auch ein spezifisch datenschutzrechtliches Strukturproblem aufweist.
1. Technische Grundlagen unter besonderer Berücksichtigung ausgewählter Anwendungsfälle (Riesenecker-Caba)
Das letzte Jahrzehnt war geprägt von einer Vielzahl an technischen (Weiter-)Entwicklungen, die das Privat- und Berufsleben der Menschen nachhaltig verändert haben.
An erster Stelle ist hier jedenfalls das Internet als neuer Markt- und Arbeitsplatz (e-Services, Cloud-Computing) zu nennen. Dank schnellerer Breitbandverbindung können in kürzerer Zeit Daten verarbeitet und übermittelt werden, wodurch die Zusammenarbeit über Ort- und Zeitgrenzen hinweg verbessert werden konnte und neue Geschäftsmodelle (durchaus auch disruptiver Art) entstanden. Aber auch im Bereich der elektronischen „sozialen“ Interaktion der Menschen – begünstigt durch die massive Verbreitung mobiler Endgeräte (Smartphones, Tablets, Wearables) – werden einerseits soziale virtuelle Netzwerke gebildet und Informationen in Gruppen geteilt (Sharing) und wird andererseits die gestiegene Kommunikationsbereitschaft vor allem jüngerer Personen zur Herausbildung neuer Formen der Bewertung von Dienstleistungen und Produkten in Bewertungsplattformen (digital reputation mechanism) herangezogen.
Auch abseits menschlicher Interaktion wurde der Datenaustausch in Informations- und Kommunikationssystemen massiv vorangetrieben. Neue Kommunikationsstandards wie das Internetprotokoll IPv6 ermöglichen es, den bisher beschränkten Adressierungsraum in eine neue Dimension zu erweitern (bei IPv4 mit 232 [das sind ca 4,3 Milliarden] auf 2128 [das sind ca 340 Sextillionen] mögliche IP-Adressen), und dank der Vernetzung von smarten Endgeräten wird dem Internet der Dinge/Dienste neben rasanten Wachstumsraten auch großes Veränderungspotenzial in unternehmerischen Prozessen prognostiziert. Die Gartner Group[1]http://www.tinyurl.com/jcxw7cp (20.09.2016) schätzt, dass 2020 schon 21 Milliarden Geräte (aller Art) bis hin zu einfachen Gegenständen (zB Werkstücke) vernetzt sein werden. Diese Geräte bzw Gegenstände können dank ihrer Sensorik Betriebszustände bzw Umgebungsdaten erheben und übermitteln, um so betriebliche Prozesse dank besserer Datenlage zu beschleunigen und teilweise oder ganz zu automatisieren. Verarbeitet werden diese Datenberge in sogenannten Big-Data-Systemen, die es nicht nur ermöglichen, strukturierte (aus relationalen Datenbanken) und unstrukturierte (zB Bilder) Daten miteinander zu verbinden, sondern daraus auch – so der Wunsch der EntwicklerInnen – Prognosen zukünftigen Verhaltens (predictive analytics) abzuleiten.
In der Folge werden auf Basis dieser technischen Entwicklungen und Gestaltungsmöglichkeiten technische Grundlagen ausgewählter Anwendungsfälle von Crowdwork im Rahmen der „Gig-Economy“ näher beschrieben, bevor anschließend daraus resultierende datenschutzrechtliche Aspekte beleuchtet und bewertet werden.
1.1. Uber
Uber versteht sich als Anbieter einer Technologie-Plattform, „die es Benutzern der mobilen Anwendungen oder Webseiten von Uber (jeweils eine ‚Anwendung‘) als Teil der Dienstleistungen ermöglicht, von unabhängigen Drittanbietern dieser Dienstleistungen, einschließlich unabhängiger Drittbeförderungsanbieter und unabhängiger Drittlogistikanbieter, die einen Vertrag mit Uber oder mit bestimmten mit Uber verbundenen Gesellschaften haben (‚unabhängige Leistungsanbieter‘), angebotene Beförderungs- bzw Logistikdienstleistungen zu organisieren und zu planen.“ [2]https://www.uber.com/legal/terms/at/ (15.07.2016).
Um als Anbieter einer Dienstleistung die Plattform nutzen zu können,[3]Wie schon in anderen Kapiteln angeführt, können in Österreich Privatpersonen keine Dienstleistungen über Uber anbieten, siehe insbesondere Kapitel „Transportdienstleistungen: Uber“. werden vorab, während und nach der Dienstleistung Informationen (auch personenbezogene Daten der FahrerInnen) manuell oder automationsunterstützt erhoben.
Laut Datenschutzerklärung für (Nicht-US-)FahrerInnen[4]https://www.uber.com/legal/privacy/drivers-non-us/de/ (07.10.2016) – in Kraft seit 15.07.2015. können dazu Stammdaten wie „Name, E-Mail, Telefonnummer, Postanschrift, Profilbild, Zahlungsangaben, Kraftfahrzeugzulassungsinformationen, Versicherungsinformationen, führerscheinbezogene Informationen und andere Informationen gehören, die Sie uns gegebenenfalls vorlegen möchten.“ [5]https://www.uber.com/legal/privacy/drivers-non-us/de/ (07.10.2016). Aber es wird auch die Möglichkeit geboten „einer Leumundsprüfung zustimmen“. Die hier suggerierte Freiwilligkeit besitzt jedoch in der Praxis keine Bedeutung, denn ohne An-/Abgabe dieser Informationen werden mögliche FahrerInnen nicht in die Plattform aufgenommen.
Neben den Stammdaten verpflichten sich diese Dienstleister, Informationen in den folgenden generellen Kategorien[6]Die Datenschutzerklärung dürfte an mehreren Stellen bewusst vage formuliert sein, um mögliche Implikationen mit datenschutzrechtlichen Bestimmungen im Vorhinein zu verhindern. während der Dienstleistungserbringung über die Uber-Plattform zur Verfügung zu stellen:
- Standortinformationen: „Sobald die Uber-App mithilfe des von Ihrem mobilen Betriebssystem (‚Plattform‘) verwendeten Berechtigungssystems die Erlaubnis erhält, auf Standortdienste zuzugreifen, erfassen wir den präzisen Standort Ihres Geräts, wenn die App im Vorder- oder Hintergrund läuft. Wir können Ihren ungefähren Standort auch aus Ihrer IP-Adresse ableiten.“ [7]https://www.uber.com/legal/privacy/drivers-non-us/de/ (07.10.2016).
- Kontaktangaben: Kontaktangaben des Adressbuchs, auf dem die Uber-App installiert ist
- Transaktionsinformationen: Art der geleisteten Serviceleistung, das Datum und die Uhrzeit, zu der die Serviceleistung ausgeführt wurde, den berechneten Betrag, die zurückgelegte Strecke und andere zugehörige Transaktionsdetails.
- Nutzungs- und Präferenzinformationen: Informationen, wie die Uber-Webseite genutzt wird
- Geräteinformationen des mobilen Endgeräts
- Anruf- und SMS-Daten zur Kommunikationen zwischen NutzerInnen und FahrerInnen
- Log-Informationen
Schlussendlich, und dies stellt eine wesentliche Veränderung zur bisherigen Praxis des Angebots von Transportdienstleistungen dar, haben KundInnen die Möglichkeit, ihre Zufriedenheit mit dem Service online zu bewerten und diese Angaben sind auch für Dritte (zB andere KundInnen) einsehbar. Aber auch FahrerInnen haben die Möglichkeit, Feedback zu KundInnen abzugeben; sollten diese gegen die AGB verstoßen, können sie von Uber ausgeschlossen werden.[8]https://www.uber.com/de/drive/safety/ (20.09.2016). Uber sieht in seiner „Datenschutzerklärung für (Nicht-US-)Fahrer“ auch vor, diese Daten in die USA und in andere Länder zu übermitteln, um diese dort für eigene Zwecke weiterzuverarbeiten.[9]https://www.uber.com/legal/privacy/drivers-non-us/de/ (07.10.2016).
NutzerInnen der Dienstleistung werden folgende Informationen zur Verfügung gestellt: „Namen, persönliche Fotos, Fahrzeugfotos, Fahrzeugzulassungen, Fahrzeugmarken und -modelle, den genauen oder ungefähren Standort, die von Nutzern eingereichte Durchschnittsbewertung sowie bestimmte Kontaktangaben (in Abhängigkeit von Ihrem Standort und geltendem Recht).“ [10]https://www.uber.com/legal/privacy/drivers-non-us/de/ (07.10.2016).
1.2. clickworker
Die clickworker GmbH ist eine der AnbieterInnen, die nach dem Crowdsourcing-Prinzip Aufträge von KundInnen abarbeitet. Dazu werden größere Aufträge automationsunterstützt in Mikroaufträge (< 1 Euro) zerteilt, über die eigene Plattform angeboten und von sogenannten ClickworkerInnen[11]Auf der Webseite https://www.clickworker.de/ueber-uns/unsere-crowd-die-clickworker/ (15.07.2016) ist die Zahl der Clickworker mit über 700.000 (diese Zahl wurde übrigens schon für 2014 genannt) angegeben, davon 25 % mit Hochschul-/Universitätsabschluss. erledigt. Diese Mikroaufgaben (microtasks) sind in der Regel Tätigkeiten, die nicht automatisiert bearbeitet werden können.
„Die Clickworker arbeiten unabhängig und zeitlich flexibel von ihrem eigenen Computer aus. Über eine Standard-Webbrowser-Benutzeroberfläche arbeiten Sie auf Honorarbasis in sich abgeschlossene Aufgaben ab. Diese wiederum sind zumeist Teile eines komplexen Projektes. Koordiniert und zusammengeführt werden die Projekte über die Technologie von clickworker, ein internetbasiertes Workflow-System. Beispiele sind die Verarbeitung unstrukturierter Daten in großen Mengen wie Texte, Bilder, Videos – speziell deren Erstellung, Kategorisierung, Ergänzung, Erfassung, Übersetzung, etc.“ [12]https://www.clickworker.de/ueber-uns/ (15.07.2016).
Von potenziellen ClickworkerInnen sind im Bewerbungsverfahren neben der Angabe personenbezogener Daten auch einige Aufgaben zu erfüllen, um ihre Eignung nachzuweisen. Eine Unternehmenspräsentation aus dem Jahre 2016[13]https://www.clickworker.com/wp-content/uploads/2016/02/Unternehmenspraesentation-2016.pdf (15.07.2016). führt dazu folgenden fünfstufigen Qualitätsprozess aus:
- Personalisierung & Registrierung der ClickworkerInnen (zB Name, Adresse, E-Mail-Adresse, Steuerinformationen etc), freiwillige Angaben zu Qualifikation, Ausbildung, Alter usw)
- Qualifizierung und Einstufung der ClickworkerInnen durch Testaufgaben, Online-Trainings und Bewertungen der Arbeitsergebnisse
- Allokation der Jobs nach Qualifikation
- Einsatz von diversen Qualitätsmanagement-Maßnahmen
- Überprüfung der Arbeitsergebnisse
In der Plattform können darüber hinaus detaillierte Angaben über das Arbeitsverhalten nachvollzogen werden (Präsenzinformationen = Zeitpunkte und Dauer der Bearbeitung, aber auch präferierte Arbeitszeiten und -tage).
Eine der Qualitätssicherungsmaßnahmen beruht übrigens darauf, dass einzelne Jobs von mehreren ClickworkerInnen parallel bearbeitet werden (und Ergebnisse somit – in Teilbereichen auch automatisiert – verglichen werden können).
Über eine dokumentierte Schnittstellenbeschreibung[14]Clickworker (2016), Clickworker Marketplace API. Application Programming Interface Description, https://www.clickworker.com/wp-content/uploads/2016/01/Mktplace_API_Reference.pdf (15.07.2016).
können AuftraggeberInnen die Crowdsourcing-Plattform in ihre eigenen Anwendungen und Systeme integrieren.
„Durch die Integration können Sie Aufträge direkt über Ihr CMS, Ihren Blog oder jede beliebige andere Internetanwendung verwalten.“ [15]https://www.clickworker.de/datenubermittlung-via-api/ (20.09.2016).
Über die API (application programming interface – Programmierschnittstelle) haben KundInnen automatisierten Zugriff auf den kompletten Auftragsprozess (zB Auftragsstatus oder Ergebnisse abrufen, Anzahl der ClickworkerInnen in einer Region abfragen).
Aus Datenschutzgründen sollen aber Informationen über individuelle ClickworkerInnen nicht über die Marktplace API, dh gegenüber AuftraggeberInnen, öffentlich gemacht werden können.[16]Clickworker (2016), Clickworker Marketplace API. Application Programming Interface Description, https://www.clickworker.com/wp-content/uploads/2016/01/Mktplace_API_Reference.pdf, Seite 26 (15.07.2016).
1.3. Book a Tiger
Auch im Bereich der haushaltsnahen Dienstleistungen wird mit dem Uber-Prinzip – Anbieten von Dienstleistungen über eine Online-Vermittlungsplattform – gearbeitet. Anbieter wie „Helpling“ (die ihre Dienstleistungen jedoch nicht mehr in Österreich anbieten) oder „Book a Tiger“ ermöglichen es KundInnen, über die Vermittlungsplattform selbständige Reinigungskräfte („Dienstleister“), die auf eigene Rechnung arbeiten, zu buchen. Ein jeweiliger Dienstleistungsvertrag kommt dabei zwischen dem Kunden/der Kundin und dem/der ReinigungsdienstleisterIn zustande.[17]https://www.bookatiger.com/at-de/agb (15.07.2016).
Um als Reinigungskraft Dienstleistungen anbieten zu können, bedarf es einer vorherigen Anmeldung über das Portal. Anzugeben sind dabei neben allgemeinen Angaben zur Person, Kommunikationsdaten, abrechnungsrelevante Daten und die gewerberechtliche Stellung (Gewerbeschein). In Folge wird „ein mehrstufiges Auswahlverfahren mit jeder Putzfrau bzw -mann durch[geführt]. Das heißt: persönliches Bewerbungsgespräch und Strafregisterbescheinigung“. [18]https://www.bookatiger.com/at-de/ (15.07.2016).
Ähnlich anderen Plattformen ist auch bei dieser Dienstleistung das Feedback der KundInnen von Bedeutung.
„Ihre Zufriedenheit steht für uns an erster Stelle. Wir freuen uns daher über jegliches Feedback zum Auftrag. Bitte nutzen Sie hierfür das Feedback-Formular, das Sie im Anschluss an die Reinigung per E-Mail von uns erhalten. Sollten Sie mit der Reinigungsleistung unzufrieden sein, bitten wir Sie uns dies innerhalb von 48h nach der Reinigung mitzuteilen. Wir werden uns dann schnellstmöglich um Ihr Anliegen kümmern.“[19]https://www.bookatiger.com/at-de/hilfe (15.07.2016).
Wie in der datenschutzrechtlichen Bewertung (siehe Abschnitt „Bewertung der CrowdworkerInnen“) noch ausgeführt wird, können mit der (negativen) Bewertung durch KundInnen, ohne die Möglichkeit entgegnen bzw sich selbst „im rechten Licht“ darstellen zu können, Reputationsprobleme entstehen.
Andere Plattformen, wie zB die Plattform Airbnb, der Online-Marktplatz für das Buchen und Vermieten von Unterkünften, sehen demgegenüber übrigens sehr wohl die Möglichkeit der gegenseitigen Bewertung von GastgeberInnen und Reisenden[20]https://www.airbnb.de/help/article/13/how-do-reviews-work (20.09.2016). (ohne vorher das andere Resultat zu kennen) vor, was zwar auch keinem Stellungnahmerecht zu einer Bewertung entspricht, negative Bewertungen aber immerhin zu relativieren vermag.
1.4. Foodora
Foodora ist ein im Jahre 2014 in Berlin (als Teil der „Rocket Internet Gruppe“) gegründetes Portal zur Vermittlung von Speisen- und Getränkelieferungen[21]https://www.foodora.at/contents/terms-and-conditions.htm (11.10.2016)., das seit Juni 2015 auch in Wien aktiv ist. (Qualitäts-)Restaurants, die bisher über keine eigene Auslieferung verfügten, können über die Foodora-Plattfom Speisen und Getränke anbieten und auf deren KurierfahrerInnen zurückgreifen. Foodora setzt FahrradkurierInnen ein, die mittels Foodora-App zum Restaurant und zum Kunden/zur Kundin gesteuert werden. FahrradkurierInnen, die bei Foodora arbeiten, müssen über ein GPS-fähiges Smartphone (Apple iPhone 4S oder Android 4.2 oder neuere Version) mit Internetflatrate und über ein Fahrrad verfügen. [22]https://www.foodora.at/ride4us?utm_source=foodora&utm_medium=website&utm_campaign=homepagebanner&utm_content=applynow (11.10.2016). Gesteuert werden die KurierInnen, so berichten[23]http://www.gruenderszene.de/allgemein/foodora-fahrer-interview (11.10.2016). diese, ausschließlich durch die App. Dabei wird jeweils nur der unmittelbar nächste Schritt angezeigt (zB anzufahrendes Restaurant). Erst nach dem Eintreffen beim Restaurant wird die KundInnenadresse angezeigt. Auf Grundlage der Fahrgeschwindigkeit (errechneter Durchschnittswert der vergangenen Fahrten) werden die KurierInnen für längere bzw kürzere Distanzen zum Kunden/zur Kundin eingeteilt[24]https://krautreporter.de/1503-abstrampeln-fur-foodora (11.10.2016).. Dieses Faktum führte aber auch dazu, dass KurierfahrerInnen – mit diesem Wissen ausgestattet –, langsamer fuhren: „Mein Ziel war es, die Geschwindigkeit immer unter 10 Stundenkilometer zu halten, weil ich dann viel kürzere Strecken bekommen habe, das war nicht so anstrengend und brachte mehr Trinkgeld.“[25]http://www.gruenderszene.de/allgemein/foodora-fahrer-interview/2 (11.10.2016). Denn die im Hintergrund agierende vollautomatisierte Disponenten-Software prüft entsprechend und soll gewährleisten, dass zwischen Übernahme der Ware im Restaurant und der Zulieferung beim Kunden/der Kundin maximal 30 Minuten liegen. Foodora verfügt neben den im Rahmen der Bewerbung angegebenen Stammdaten der FahrradkurierInnen sohin letztlich auch über deren genaue Tätigkeitsauswertungen, da die Foodora-App laufend Informationen zur zentralen Speicherung rückmeldet.
1.5. Generation Open
IBM hat bereits vor Jahren mit seiner Strategie „Generation Open“[26]https://www-935.ibm.com/services/au/gbs/consulting/workingintheopen.pdf (15.07.2016); ausführlich beschrieben in Boes et al (2014), Clowdworking und die Zukunft der Arbeit, freier Download unter: https://www.researchgate.net/publication/272475518_Cloudworking_und_die_Zukunft_der_Arbeit (11.10.2016). darauf hingewiesen, dass der Marktplatz Internet (bzw die Cloud) einen Möglichkeitsraum zur Vernetzung interner MitarbeiterInnen und externer ExpertInnen zur gemeinsamen Bearbeitung von Aufträgen darstellt. Soziale Kollaborationsplattformen werden in der Zwischenzeit von allen großen IT-Playern angeboten und ermöglichen Vernetzung und Kommunikation abseits von Unternehmensgrenzen und über unterschiedliche Devices (PC, Tablets, Smartphones). Microsoft Skype for Business, Workplace by Facebook oder SAP Jam sind prominente Beispiele dafür. IBM bietet in der Zwischenzeit die Lösung IBM Connections an, „auf deren Grundlage […] Unternehmen die richtigen Personen einbinden, Innovationen beschleunigen und Ergebnisse erzielen kann“ [27]http://www-03.ibm.com/software/products/de/conn (11.10.2016).. In all diesen Umgebungen können NutzerInnen ohne Orts- und Zeitgrenzen interagieren, Informationen austauschen und gemeinsame Aktivitäten planen und setzen. Dabei werden neben den Stammdaten der beteiligten Personen (wie Name oder E-Mail-Adresse) eine Vielzahl an Kommunikations- und Inhaltsdaten (wann werden Aufträge bearbeitet, wie lange dauert eine Antwort/Bearbeitung, welche Kommunikation – zB Chat – findet statt, wie lange dauert die Kommunikation bis zur Lösung eines Problems etc) verarbeitet. Diese Daten geben in ihrer Fülle ein umfassendes Bild über die Leistungsfähigkeit und -bereitschaft der Beteiligten.
2. Datenschutzrechtliche Aspekte der Stellung der CrowdworkerInnen (Goricnik)
2.1. Allgemeines
Die plattformbasierte Abwicklung von Dienstleistungen bringt – unabhängig von ihrer vielfältigen konkreten Ausgestaltung – immer ein Zusammenspiel dreier Player mit sich:
Plattform / CrowdworkerIn / AuftraggeberIn (Kundschaft)
Zum Zustandekommen einer marktwerten Dienstleistung bedarf es im Rahmen dieses dreipersonalen (triadischen) Verhältnisses natürlich auch des Austausches personenbezogener bzw personenbeziehbarer Daten, womit das Datenschutzrecht adressiert wird.[28]So sind gemäß § 4 Z 1 DSG 2000 „personenbezogene Daten“ Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Für die Personenbeziehbarkeit reicht es aus, wenn der Bezug zwischen der Information und der Person mithilfe von Referenzdaten gegebenenfalls in mehreren Zwischenschritten möglich ist, zB indem Informationen aus einem Software-System in ein anderes über eine entsprechende Schnittstelle migriert werden; auch die (nicht mit einem unzumutbaren Aufwand verbundene) Nutzbarkeit von Zusatzwissen Dritter genügt dieser Definition. Weiters reicht dabei die bloße Möglichkeit der Zuordnung der Information zu einer Person aus, dass diese Information den Regelungen des Datenschutzes unterliegt (vgl Mittländer in Wedde [Hrsg], Handbuch Datenschutz und Mitbestimmung [2016] Rz 123 f). Auch mit Gültigkeit der DS-GVO wird sich daran nichts ändern (vgl Art 4 Z 1 DS-GVO: „identifizierbare natürliche Person“). Denn einerseits dient eine tiefschürfende Ermittlung möglichst vieler als brauchbar erachteter Kategorien von Daten sowohl der CrowdworkerInnen als auch der AuftraggeberInnen der Effizienz des Anbotes und der Erbringung der Dienstleistung. Andererseits kann die weitere Verarbeitung und allfällige Übermittlung dieser Daten (zB zu Zwecken der Evaluierung, der Hebung von Verbesserungspotenzialen, der Bewertung bzw Bewerbung der Dienstleistung, zu Zwecken eines Performance Trackings zur Leistungsmessung oder auch zum Zweck der Information von Aufsichts- oder Steuerbehörden) natürlich auch mit Datenschutzinteressen der Betroffenen konfligieren.
Deshalb sollen im Folgenden drei dieser Konfliktfelder vor dem Hintergrund des geltenden österreichischen Datenschutzgesetzes DSG 2000[29]Das DSG 2000 besteht im Wesentlichen aus dem im Verfassungsrang stehenden „Grundrecht auf Datenschutz“ des § 1 DSG 2000 und dessen einfachgesetzlichem Teil insbesondere mit der näheren Ausgestaltung der Betroffenenrechte (auf Auskunft, Richtigstellung und Löschung) und setzt es auch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 1995/281, 31, um. (mit seiner unmittelbaren Drittwirkung gegen Eingriffe durch private Rechtsträger)[30]Vgl Jahnel, Datenschutzrecht (2010) 74 f mwN bzw zur Rechtslage nach der DSG-Novelle 2014 Jahnel, jusIT 2015/33. näher beleuchtet werden, wobei jeweils auch ein Ausblick auf die ab 25.05.2018 unmittelbar anwendbare EU-Datenschutz-Grundverordnung (DS-GVO)[31]Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. erfolgen soll (unbeschadet dessen, dass noch kein Entwurf der österreichischen Implementierung dieses neuen Datenschutz-Regimes, insbesondere dessen Öffnungsklauseln,[32]So können etwa die Mitgliedstaaten gemäß Art 88 Z 1 DS-GVO durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen. vorliegt).
Ausgegangen wird jeweils davon, dass dabei wohl die Plattform als „datenschutzrechtlicher Auftraggeber“ iSd § 4 Z 4 DSG 2000[33]Dieser Begriff ist von dem des (vertragsrechtlichen) Auftraggebers der Dienstleistung strikt zu trennen, mit anderen Worten ist der (vertragsrechtliche) Auftraggeber datenschutzrechtlich ein Betroffener iSd § 4 Z 3 DSG 2000, dessen Daten von der Plattform verwendet werden. Auch der (vertragsrechtliche) Dienstleister (= CrowdworkerIn) ist datenschutzrechtlich ein Betroffener iSd § 4 Z 3 DSG 2000 (und kein „datenschutzrechtlicher“ Dienstleister iSd § 4 Z 5 DSG 2000). Werden diese Betroffenen hingegen seitens der Plattform beauftragt bzw ersucht, Daten über den jeweils anderen Betroffenen zu ermitteln (zB über die Zahlungsmoral oder Seriosität des Auftraggebers bzw umgekehrt über die Servicequalität des Dienstleisters [siehe dazu Abschnitt „Bewertung der CrowdworkerInnen“]), wären sie diesfalls in diesem Umfang sogenannte „Ermittlungsdienstleister“ (vgl Dohr/Pollirer/Weiss/Knyrim, DSG2 [16. Erg.-Lfg.] § 4 Anm 5, S 71; VwGH 2010/17/0003 RdW 2012/643). (entspricht künftighin dem „Verantwortlichen“ iSd Art 4 Z 7 DS-GVO) anzusehen sein wird, da sie die Entscheidung getroffen hat bzw trifft, diese Daten (im umfassenden Sinn) zu verwenden und sie damit als „HerrIn der Daten“[34]Dazu näher Dohr/Pollirer/Weiss/Knyrim, DSG2 (16. Erg.-Lfg.) § 4 Anm 5, und Knyrim, Datenschutzrecht3 (2015) 41 f. Da die Plattform auch eigene Marketing- und Verrechnungszwecke verfolgt (dazu näher Beitrag „Gig-Economy und Crowdwork – was ist das?„), kann also keinesfalls davon ausgegangen werden, dass sie (insbesondere im Sinne einer „Software-as-a-Service“-Lösung) bloß ein datenschutzrechtlicher Dienstleister des (vertragsrechtlichen) Auftraggebers oder des (vertragsrechtlichen) Dienstleisters (= CrowdworkerIn) wäre. fungiert und insbesondere, wenn sie so auch nach außen auftritt.[35]Diesen Aspekt des Außenauftrittes im Sinne des Interesses an einem effektiven Rechtsschutzsystem betont etwa die Entscheidung der DSK 16.10.2009, K121.533/0017-DSK/2009 (ua mit dem Kriterium der Inhaberschaft an der betreffenden Internet-Domain).
Um zur Anwendung des DSG 2000 bei internationalen Sachverhalten zu gelangen, muss gemäß § 3 Abs 1 leg cit weiters entweder von einer Verarbeitung der CrowdworkerInnen-Daten für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung eines in- oder ausländischen Auftraggebers (mit oder ohne Sitz in einem EU-Mitgliedstaat) oder von einer Verarbeitung der CrowdworkerInnen-Daten in Österreich durch einen Auftraggeber ohne Sitz in einem EU-Mitgliedstaat ausgegangen werden;[36]Siehe zu konkreten Abgrenzungsbeispielen Knyrim, Datenschutzrecht 36 f, und Jahnel, Datenschutzrecht 93 f. Vgl weiters EuGH 01.10.2015, C-230/14, Weltimmo, RdW 2015/613 = ZIR 2016/2, 168 (Thiele) zum Betreiben einer Website mit einer hauptsächlich auf einen anderen EU-Mitgliedstaat (als den Sitzstaat) ausgerichteten Tätigkeit als ein Beurteilungskriterium für das Vorliegen einer Niederlassung iSd Art 4 Abs 1 lit a DSRL 95/46/EG. (nur) letzterenfalls kommt es also auf den Standort der Server an, auf denen die Datenverarbeitung erfolgt. In diesem Zusammenhang ist auch zu beachten, dass es sich beim Datenschutzrecht um öffentliches Recht handelt, sodass eine davon abweichende Rechtswahl ausgeschlossen ist.[37]So auch Geuer, Die Niederlassung im datenschutzrechtlichen Sinne, ZIR 2013/3, 153 mwN.
Der (künftige) räumliche Anwendungsbereich der DS-GVO bezieht sich gemäß Art 3 Abs 1 leg cit (entsprechend Art 4 Abs 1 lit a DSRL 95/46/EG) auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.[38]Gemäß ErwGr 22 setzt eine solche „Niederlassung“ die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend. Die DS-GVO wird aber überdies Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter finden, wenn die Datenverarbeitung im Zusammenhang damit steht, ihr Verhalten zu beobachten, soweit ihr Verhalten in der Union erfolgt (Art 3 Abs 2 lit b DS-GVO).[39]Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte gemäß ErwGr 24 daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet. Diese Voraussetzung scheint jedenfalls bei CrowdworkerInnen in der EU mit einem Online-Work-Mode (wie zB bei „ClickworkerInnen“ [dazu näher in Abschnitt „Clickworker“]) gegeben.
Den einzelnen Kapiteln vorangestellt werden soll auch die wichtige datenschutzrechtliche Aussage, dass eine Zustimmung des Crowdworkers/der Crowdworkerin zur Verwendung seiner/ihrer personenbezogenen Daten (in der Regel über die zustimmende Akzeptanz der AGB der Plattform) – ganz abgesehen von zivilrechtlichen Überlegungen zu den Voraussetzungen und zur Reichweite der Gültigkeit einer solchen Willenserklärung[40]Dazu näher Beitrag „Virtuelles Crowdwork: Clickworker„. – nicht von der vorgelagerten (!) Prüfung der grundsätzlichen Rechtmäßigkeit der Datenverarbeitung iSd §§ 6 und 7 DSG 2000 enthebt.[41]Vgl DSK 16.11.2004, K120.951/0009-DSK/2004; Jahnel, Datenschutzrecht 52, 191; Goricnik in Grünanger/Goricnik, Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle (2014) 161. Insbesondere sind die Grundsätze der Datensparsamkeit[42]Dazu näher etwa Dohr/Pollirer/Weiss/Knyrim, DSG2 (16.Erg.-Lfg.) § 6, S 98; Art 5 Abs 1 lit c DS-GVO spricht diesbezüglich vom Grundsatz der „Datenminimierung“. und der Verhältnismäßigkeit[43]Dazu näher Jahnel, Datenschutzrecht 73. jedenfalls immer zu beachten bzw einzuhalten; werden sie verletzt, führt das zur Rechtswidrigkeit der konkreten Datenverwendung. Diese Aussage spielt insbesondere im Abschnitt „Kontrolle der CrowdworkerInnen“ eine große Rolle.
2.2. Bewertung der CrowdworkerInnen
2.2.1. Feedback bzw Rating ohne Möglichkeit der Stellungnahme
Haben KundInnen die Möglichkeit, ihre Zufriedenheit mit der Dienstleistung zu bewerten und können diese Angaben auch für Dritte auf der Plattform einsehbar sein,[44]In aller Regel bieten Plattformen die Möglichkeit für die KundInnen, die erbrachte Dienstleistung zu bewerten (vgl Heiling/Kuba, Arbeit für/durch die Plattform, Kurswechsel 2/2016, 13 [20]. Siehe konkret Abschnitt „Uber“. kann diese Feedback-Möglichkeit der Kundschaft einerseits natürlich sowohl zur Evaluierung der Qualität der Dienstleistung und deren Verbesserung beitragen als auch der Bewertung der jeweiligen CrowdworkerInnen dienen.[45]Der „Preis“ dieser Bewerbungsmöglichkeit für den Dienstleister ist natürlich die Einbindung in ein anstrengendes „System der permanenten Selbstbewährung“ (so schon Risak, What`s law got to do with it? Kurswechsel 2/2016, 32 [34]). Andererseits haben die CrowdworkerInnen keine Möglichkeit, eine (aus welchen Gründen auch immer) unrichtige bzw unqualifizierte Bewertung (mitsamt ihrem daraus resultierenden Wettbewerbsnachteil) zu verhindern.[46]Auf dieses Datenschutzproblem weist schon Müller-Gemmeke, Wir brauchen soziale Leitplanken in der neuen Arbeitswelt, in Benner (Hrsg), Crowdwork – zurück in die Zukunft? (2015) 355 (360) hin.
Im Regelfall bietet die Plattform auch keine Möglichkeit, dass der/die CrowdworkerIn eine eigene Stellungnahme zu seiner/ihrer Bewertung abgibt und sie dadurch relativiert bzw sie in das richtige Licht rückt;[47]Das ist etwas fundamental anderes als die Möglichkeit, ein eigenes Feedback zu KundInnen abzugeben, vgl Abschnitt „Uber“. was das bedeutet, führen anschaulich Irani/Silberman am Beispiel der von Amazon betriebenen Plattform „Mechanical Turk“, einem System für hochgradig verteilte Mikroarbeit (microtasks), aus:[48]Irani/Silberman, Turkopticon, in Benner 131 (147 f).
„Zu den Konsequenzen dieser Berufsrisiken gehören […] geminderte ‚Approval Ratings‘. Letztere sind eines der wenigen Werkzeuge, mit denen Auftraggeber die Arbeiter ausfiltern können. Immer dann, wenn ein Auftraggeber eine erledigte Aufgabe eines Arbeiters zurückweist, sinkt dessen Bewertungsquote. Dies passiert unabhängig davon, ob die Arbeit nicht den Ansprüchen genügte oder ob der Auftraggeber lediglich nicht zahlen wollte. Wenn die Bewertungsquote unter einen bestimmten Schwellenwert sinkt, versteckt Amazon Aufgaben, die ein hohes Rating erfordern.“
Irani/Silberman behandelt die fehlende Möglichkeit zum Re-Feedback an den bewertenden Auftraggeber (Kundschaft) unter dem Oberbegriff der „Fairness“.[49]Irani/Silberman in Benner 148.
2.2.2. Gebot der Datenverwendung nach Treu und Glauben
Das DSG 2000 spricht in diesem Zusammenhang von „Treu und Glauben“ als einem der Grundsätze einer (erlaubten) Datenverwendung (§ 6 Abs 1 Z 1 leg cit).[50]Vgl künftighin Art 5 Abs 1 lit a DS-GVO mit ua dem Grundsatz der „Verarbeitung nach Treu und Glauben“. Dabei ist zu betonen, dass nicht nur Identifizierungsmerkmale und Informationen im engeren Sinn, sondern auch Werturteile und Vermutungen über bestimmte oder bestimmbare Personen als personenbezogene Daten anzusehen sind.[51]Dohr/Pollirer/Weiss/Knyrim, DSG2 (16.Erg.-Lfg.) § 4 Anm 2, S 68; Jahnel, Datenschutzrecht 128, der diesbezüglich das Datum „Arbeitseinstellung“ nennt. Schließlich können auch Werturteile und (bloße) Mutmaßungen die Stellung bzw das Prestige einer Person genauso – wenn nicht durch die direkte Unüberprüfbarkeit sogar mehr! – beeinträchtigen.[52]Vgl Goricnik, jusIT 2009/82, 172 FN 35 mwN.
Das Gebot von Treu und Glauben des § 6 Abs 1 Z 1 DSG 2000 verpflichtet den datenschutzrechtlichen Auftraggeber nun nicht nur zu einer Verarbeitung „richtiger“ Daten, sondern auch zu deren Vollständigkeit, wenn er sie denn verarbeitet, da entsprechende Datenlücken letztlich ebenfalls zu einem unrichtigen Verarbeitungsergebnis führen können.[53]So schon Duschanek, Arbeitsverhältnis und Datenschutz, ZAS 1983, 88. In diesem Sinne sprach auch die (frühere) DSK zum Gebot der Datenverwendung nach Treu und Glauben aus, dass das Führen wesentlich nachteiliger Informationen über Betroffene nur zulässig sei, wenn alle vernünftigerweise einsetzbaren Vorkehrungen getroffen werden, um die Richtigkeit (und Vollständigkeit) der gespeicherten Daten zu bewirken. Dazu sei insbesondere auch eine ausreichende Information der Betroffenen notwendig, damit diese ihre Rechte (gegenüber dem/der datenschutzrechtlichen AuftraggeberIn) durchsetzen können, zB eben auch durch die Ersichtlichmachung eines sogenannten „Bestreitungsvermerkes“ im Falle einer begründeten Bestreitung. Dies erfordere im übrigen auch das Gebot der sachlichen Richtigkeit der Daten iSd § 6 Abs 1 Z 4 DSG 2000, das auch ein Gebot der Vollständigkeit von Informationen mitumfasse.[54]DSK 23.11.2001, K095.014/021-DSK/2001. In diesem Sinne auch Löschnigg, Datenermittlung im Arbeitsverhältnis (2009) 181, wonach die Richtigkeit der Daten auch dann nicht vorliegt, wenn aufgrund der nicht mitgespeicherten Datenumgebung der Informationsgehalt der Daten verändert wird, wenn also die Daten wegen des Kontextverlustes einen unrichtigen Eindruck erzeugen. Mit Entscheidung vom 15.12.2005 schloss sich auch der OGH ausdrücklich dieser Auffassung an und bekräftigte, dass der Grundsatz der Datenverwendung nach Treu und Glauben eben auch die Möglichkeit des Betroffenen impliziere, sich gegen eine seiner Meinung nach nicht gerechtfertigte Datenverwendung zur Wehr zu setzen.[55]OGH 6 Ob 275/05t ecolex 2006/211; weiters OGH 6 Ob 247/08d jusIT 2010/49 (Kastelitz/Leiter).
Die Auffangklausel von Treu und Glauben dient damit letztlich also der „Qualität der Daten“,[56]Siehe dazu näher Dammann/Simitis, EG-Datenschutzrichtlinie Erl 1.1 zu dem § 6 DSG zugrunde liegenden Art 6 DSRL 95/46/EG.
da bei einer automationsunterstützen Datenverarbeitung entsprechend hohe Maßstäbe anzulegen sind, weil das Gefährdungspotenzial für den Betroffenen ein höheres als bei bloß manuellen Daten (außerhalb einer Datei) ist, namentlich durch die leichte Abrufbarkeit „auf Tastendruck“ (noch einmal gesteigert durch die Abrufbarkeit im Internet) , durch den Kontextverlust (zB durch die Ersichtlichmachung der Datenkategorie eines unterdurchschnittlichen Arbeitsergebnisses ohne – mangels entsprechender Datenkategorie – Ersichtlichmachung des Begleitdatums unklarer Vorgaben) wie auch durch den Ausschluss des faktischen „Vergessens“, dh insbesondere durch die lange währende negative Beeinflussung von Durchschnittswerten.[57]So schon Löschnigg, Datenermittlung im Arbeitsverhältnis 36.
Was folgert daraus datenschutzrechtlich insbesondere für die Beifügung von (negativ gefärbten) Werturteilen – zB „unfreundliche Art“ bei einer persönlich erbrachten Leistung – über einen/eine CrowdworkerIn?
Der/Die CrowdworkerIn hat nach hier vertretener Ansicht unter Berufung auf das Gebot der Datenverwendung nach Treu und Glauben (und wohl auch als vertragsrechtliche Nebenpflicht) das Recht, zu verlangen, dass seine/ihre Stellungnahme, die ihm/ihr zB als Beweismittel für allfällige spätere rechtliche Auseinandersetzungen mit der Kundschaft oder einfach zur Relativierung der negativ gefärbten Beschreibung der eigenen Person zur Wiederherstellung seiner/ihrer Reputation dienen kann, in gleicher Art und Weise beim Feedback der Kundschaft aufscheint, um eine vollständige Gesamtinformation (als „Anhörung“ auch der gegenbeteiligten Partei) darzustellen.
Noch spezifischer datenschutzrechtlich formuliert, hat der/die CrowdworkerIn mangels Feststellbarkeit der Richtigkeit bzw Unrichtigkeit der Daten, was bei einer subjektiven Bewertung die Regel sein wird, das Recht, unter Berufung auf § 27 Abs 7 DSG 2000 die Beifügung eines sogenannten „Bestreitungsvermerkes“[58]Dazu näher Dohr/Pollirer/Weiss/Knyrim, DSG2 (16.Erg.-Lfg.) § 27 Anm 21 f, und Jahnel, Datenschutzrecht 421 f. durch die Plattform zu verlangen.[59]Die Plattform bleibt auch beim Einsatz eines sogenannten „Ermittlungsdienstleisters“ (hier der Kundschaft) verantwortlicher datenschutzrechtlicher Auftraggeber (vgl Dohr/Pollirer/Weiss/Knyrim, DSG2 [16. Erg.-Lfg.] § 4 Anm 5, S 71).
Praktisch kann man sich diesen Vorgang etwa dergestalt vorstellen, dass zB unmittelbar beim Datenfeld der (zB numerischen) Bewertung des Crowdworkers/der Crowdworkerin jedenfalls auch ein Textfeld vorhanden sein müsste, in das sowohl die Kundschaft als auch der/die CrowdworkerIn (allenfalls unter dem Titel „Bestreitungsvermerk im Sinne des § 27 Abs 7 DSG“) Einträge tätigen können (zB seitens des Crowdworkers/der Crowdworkerin des Inhaltes, dass er/sie diese oder jene Sachverhaltselemente und/oder die daraus abgeleitete Wertung der Kundschaft in Abrede stellt).
2.2.3. Mangelnde Übertragbarkeit der Reputation als berufliches Mobilitätshemmnis
Der Vollständigkeit halber sei im Zusammenhang mit dem Thema der Bewertung der CrowdworkerInnen auch noch auf das Problem hingewiesen, dass mangels entsprechender technischer und rechtlicher Vorkehrungen (zB durch das Einholen einer diesbezüglichen Einwilligung der Kundschaft) diese „digitale Reputation“, die zu attraktiveren und besser bezahlten Aufträgen verhilft, grundsätzlich nicht auf andere Plattformen übertragbar ist, was die Mobilität der CrowdworkerInnen hemmt.[60]Prassl/Risak, Uber, TaskRabbit, and Co.: Platforms as employers? Rethinking the legal analysis of Crowdwork, in Comparative Labour Law and Policy Journal Vol. 37 (2016) 619 (627), betonen zutreffend die daraus resultierende verschlechterte (wirtschaftliche) Verhandlungssituation der CrowdworkerInnen.
Art 20 DS-GVO sieht (künftig) zwar ein (neues) Recht auf Datenübertragbarkeit dergestalt vor, dass die betroffene Person das Recht hat, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen (= der bisherige datenschutzrechtliche Auftraggeber) bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem hat sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, aber eben nur unter der Voraussetzung, dass die betroffene Person die Daten „bereitgestellt“ hat; diese Voraussetzung liegt sohin bei einer Bewertung durch eine Kundschaft nicht vor.
Abgesehen davon wäre eine Portabilität von Bewertungen wohl auch nur dann hilfreich, wenn über die andere Plattform ähnliche Dienstleistungen angeboten würden (eine numerische Bewertung und selbst lobende Beschreibungen einer einzelnen Kundschaft sind eben nicht mit dem Informationsgehalt eines qualifizierten Dienstzeugnisses zu vergleichen).
2.3. Kontrolle der CrowdworkerInnen
Die Ermittlung von Standortinformationen (und deren auftragsbezogene Übermittlung an die Kundschaft) in Zusammenhang mit dem Anbot von Beförderungsleistungen (wie zB bei Uber, vgl Abschnitt „Uber“) oder die Dokumentation des Arbeitsfortschrittes des Crowdworkers/der Crowdworkerin können natürlich auch als Kontrollmittel eingesetzt werden. Insbesondere bei einem Online-Work-Mode (wie zB bei clickworker, vgl Abschnitt „Clickworker“) ist von einer engmaschigen digitalen Kontrollierbarkeit der Arbeitsaktivitäten der CrowdworkerInnen – auch seitens der Kundschaft[61]Im Fall der clickworker-Plattform wird zwar allgemein behauptet, dass der Datenschutz in Bezug auf die einzelnen ClickworkerInnen beachtet würde (https://www.clickworker.com/wp-content/uploads/2016/01/Mktplace_API_Reference.pdf, S 26 [15.07.2016]) – vgl Abschnitt „Clickworker“ –, ob und wie weitgehend das aber auch eingehalten wird, bedürfte aber einer genauen informationstechnischen Überprüfung. – auszugehen.
Zur entsprechenden datenschutzrechtlichen Bewertung ist auf das allgemeine Vertragsrecht des 26. Hauptstückes des ABGB zurückzugreifen:
Bei „echten“ Arbeitsverträgen schuldet der Arbeitnehmer wegen seiner bloßen Verpflichtung zur grundsätzlichen Zur-Verfügungstellung seiner Arbeitskraft für bestimmte Zeiträume nur sein Bemühen, aber nicht den gewünschten Erfolg seiner Dienstleistung,[62]ZB Spielbüchler in Floretta/Spielbüchler/Strasser, Arbeitsrecht I4 (1998) 147. sodass eine entsprechende Kontrolle durch den für die bloße Zur-Verfügungstellung der Arbeitskraft entgeltpflichtigen Arbeitgeber ein Wesenselement des „echten“ Arbeitsverhältnisses iSd 26. Hauptstückes des ABGB ist.[63]Vgl Spielbüchler in Floretta/Spielbüchler/Strasser, Arbeitsrecht I, 52. Für den Arbeitsvertrag ist das Recht des Arbeitgebers charakteristisch, laufend zu kontrollieren, ob der Arbeitnehmer die Bindungen – die aus Vertrag oder Weisung folgen – auch eingehalten hat. Zwar ist bei jedem Vertragstyp der Vertragspartner berechtigt, die Leistung des anderen zu kontrollieren.[64]ZB OGH 9 ObA 10/99g = ASoK 1999, 277 (Karl). Die Kontrollbefugnisse beim „echten“ Arbeitsvertrag erstrecken sich aber (auch) auf andere Elemente als bei einem Werk- oder freien Dienstvertrag, eben auf die persönliche Leistung zu bestimmter Zeit an bestimmtem Ort unter Einordnung in die fremde Arbeitsorganisation; diese – intensiven – Kontrollbefugnisse sind daher ein starkes Indiz für das Vorliegen eines Arbeitsvertrages.[65]Rebhahn in Kletečka/Schauer, ABGB-ON1.02 § 1151 ABGB Rz 86 (Stand 01.6.2014, rdb.at). Ausreichend intensive Kontrollbefugnisse können – selbst bei verdünntem Weisungsrecht – die Qualifikation als Arbeitsvertrag auch allein tragen.[66]Rebhahn in Kletečka/Schauer, ABGB-ON1.02 § 1151 ABGB Rz 86 (Stand 01.6.2014, rdb.at).
Demgegenüber schuldet der Werkunternehmer bei Werkverträgen iSd §§ 1165 ff ABGB einen Erfolg bzw Arbeitserfolg, während Arbeitnehmer eben bloß ein „Wirken“ schulden. Hauptpflicht des Werkunternehmers ist das vertragsgemäße Herstellen des körperlichen oder unkörperlichen Werkes. Wesentlich ist, dass die geschuldete Leistung nach den Umständen und Vorstellungen des anderen (Werkbesteller) herzustellen ist. Das Werk stellt das Ergebnis der vertragsgemäßen, zielgerichteten Tätigkeit des Unternehmers dar. Der Werkunternehmer schuldet dieses Ergebnis, nicht bloß das Bemühen darum. Tritt der geschuldete Erfolg nicht ein, so hat der Werkunternehmer nicht erfüllt und keinen Werklohnanspruch.[67]Rebhahn in Kletečka/Schauer, ABGB-ON1.02 § 1151 ABGB Rz 107 (Stand 01.6.2014, rdb.at). Deshalb sind Kontrollen des Werkunternehmers grundsätzlich nur in Bezug auf das geschuldete Werk sachlich gerechtfertigt, nicht aber in Bezug auf seine Aktivitäten zur Herstellung dieses Werkes.
Laufende und intensive Kontrollen der CrowdworkerInnen durch die Plattform und/oder die Kundschaft bewegen sich also – pointiert formuliert – rechtlich zwischen Skylla und Charybdis: Entweder stellt die engmaschige Ermittlung und weitere Verarbeitung von (personenbezogenen) Daten der Arbeitsaktivitäten der CrowdworkerInnen bzw deren Übermittlung an die Kundschaft schon gar keinen Erlaubnistatbestand iSd § 8 Abs 3 Z 4 DSG 2000 dar (weil nicht für die Erfüllung eines Werkvertrages erforderlich)[68]Vgl entsprechend künftighin Art 6 Abs 1 lit b DS-GVO. bzw ist sie – wegen der den berechtigten Zweck überschießenden Datenermittlung – jedenfalls unverhältnismäßig iSd § 7 Abs 3 DSG 2000,[69]Vgl künftighin Art 5 Abs 1 lit c DS-GVO (Grundsatz der „Datenminimierung“). wofür die Plattform als datenschutzrechtlicher Auftraggeber verantwortlich zeichnet.[70]Das Auslagern der Kontrolle seitens der Plattform an die Kundschaft ändert nichts an der Beibehaltung der datenschutzrechtlichen Auftraggebereigenschaft der Plattform (die KundInnen sind diesfalls datenschutzrechtliche Dienstleister); integrieren die KundInnen entsprechende personenbezogene Daten in ihre eigenen Anwendungen und Systeme (vgl Abschnitt „Clickworker“), werden (auch) sie selbst zu datenschutzrechtlichen Auftraggeber. Oder dieses Kontrollausmaß könnte mit den (allenfalls) zugrunde liegenden Vertragsbedingungen (datenschutzrechtlich) zu rechtfertigen versucht werden, was aber nach dem Vorgesagten das Vorliegen eines „echten“ Arbeitsvertrages (mitsamt seiner persönlichen Abhängigkeit) zur Plattform und/oder zur Kundschaft indizieren würde (was idR nicht beabsichtigt ist).
Speziell zu Standortdaten der CrowdworkerInnen in Zusammenhang mit dem Anbot von Beförderungsleistungen ist anzumerken, dass auch diesfalls reine Nützlichkeitserwägungen keinen Erlaubnistatbestand zur entsprechenden Datenverwendung darstellen: Nur in wenigen Fällen wird die Verwendung dieser Daten iSd § 8 Abs 3 Z 4 DSG 2000 zur Erfüllung einer vertraglichen Verpflichtung erforderlich sein,[71]Vgl dazu allg Rebhahn, Mitarbeiterkontrolle am Arbeitsplatz (2009) 52. zB allenfalls zur Kontaktierung eines/einer in der Nähe der Kundschaft befindlichen Crowdworkers/Crowdworkerin , aber nicht zu den genauen Modalitäten der Anfahrt im Auftragsfall. Würde darüber hinaus die Berechtigung eines Kontrollinteresses an einer effizienten Fahrleistung behauptet, würde sich aber wiederum die grundsätzliche Vorfrage nach dem Typus des der Dienstleistung zugrunde liegenden Vertrages stellen.[72]In diesem Sinne schon Rebhahn, Mitarbeiterkontrolle am Arbeitsplatz 53, zur unterschiedlichen Kontrollbefugnis in Bezug auf freie Mitarbeiter einerseits und Arbeitnehmer andererseits.
Diese Vorfrage stellt sich natürlich auch dann, wenn eine umfassende Verwendung von Kommunikations- und Inhaltsdaten auf Kollaborationsplattformen (vgl Abschnitt „Generation Open“) erfolgt und zwar unterschiedslos, ob es sich um (interne) ArbeitnehmerInnen oder externe MitarbeiterInnen (ohne zugrunde liegenden Arbeitsvertrag) handelt – egal, ob es sich um den Verwendungszweck der Vertragserfüllung oder den eines Kontrollinteresses handelt.
Wie schon im Abschnitt „Allgemeines“ ausgeführt, können diese datenschutzrechtlichen Anforderungen auch nicht einfach durch eine Zustimmung des Crowdworkers/der Crowdworkerin zur entsprechenden Verwendung seiner/ihrer personenbezogenen Daten (in der Regel über die zustimmende Akzeptanz der AGB der Plattform) ausgehebelt werden, da auch eine solche Zustimmung nicht von der vorgelagerten (!) Prüfung der grundsätzlichen Rechtmäßigkeit der Datenverarbeitung iSd §§ 6 und 7 DSG 2000 enthebt.
Künftighin wird in diesem Zusammenhang auch das sogenannte „Koppelungsverbot“ des Art 7 Abs 4 DS-GVO eine wichtige Rolle spielen: Demnach muss bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrages von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrages nicht erforderlich sind; Vertragsklauseln, die eine Einwilligung in die Verarbeitung entsprechender „nicht erforderlicher“ Daten vorsehen, bewirken künftighin in der Regel also keine wirksame Zustimmung zur Datenverwendung.[73]So auch Härting, Datenschutz-Grundverordnung (2016) 96 f.
2.4. Übermittlung von CrowdworkerInnen-Daten an Behörden
Plattformen bewerben die angebotene Dienstleistung zum Teil auch mit dem Argument der „100%igen Legalität“ in dem Sinne, dass neben dem Erhalt einer „detaillierten Rechnung“ alle DienstleisterInnen (CrowdworkerInnen) „offiziell angemeldet“ seien.[74]Siehe beispielsweise https://www.bookatiger.com/at-de/reinigungskraft/wien (20.09.2016). Das entspricht dem beobachtbaren Trend bei Plattformen, zunehmend auch gesamtgesellschaftlich wünschenswerte Ziele als Attribute für die Bewerbung der Plattform zu verwenden.[75]Heiling/Kuba, Arbeit für/durch die Plattform, Kurswechsel 2/2016, 20.
Damit stellt sich datenschutzrechtlich die Frage, ob die Plattform entsprechende CrowdworkerInnen-Daten (insbesondere ohne deren Einwilligung) auch an Aufsichts- oder Steuerbehörden übermitteln darf.
7 Abs 2 DSG 2000 bezieht sich in diesem Zusammenhang insbesondere auf die diesbezügliche Nicht-Verletzung schutzwürdiger Geheimhaltungsinteressen der betroffenen CrowdworkerInnen:
Gemäß § 8 Abs 1 Z 4 DSG 2000 sind schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn überwiegende berechtigte Interessen eines Dritten die Verwendung erfordern. Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde dieses Abs 1 Z 4 leg cit insbesondere dann nicht verletzt, wenn die Verwendung der Daten für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist (§ 8 Abs 3 Z 1 DSG 2000).[76]Vgl künftighin Art 6 Abs 1 lit e DS-GVO.
Die Übermittlung entsprechender CrowdworkerInnen-Daten an Gewerbe- und Steuerbehörden sowie an Sozialversicherungsträger scheitert sohin auch schon de lege lata nicht am Datenschutzrecht bzw könnte de lege ferenda sogar eine entsprechende Meldeverpflichtung der Plattform vorgesehen werden, die mit dem Grundrecht auf Datenschutz des § 1 DSG 2000 wegen der entsprechenden Wahrung des öffentlichen Interesses kompatibel wäre.
Hervorzuheben ist, dass die im Vergleich mit anderen Wirtschaftsteilnehmer der „Old Economy“ funktional ähnliche Besteuerung von in der kollaborativen Wirtschaft Tätigen, die vergleichbare Dienstleistungen erbringen, mittlerweile auch eine Stoßrichtung ist, die auf der „Europäischen Agenda für die kollaborative Wirtschaft“[77]Mitteilung der Kommission vom 02.06.2016, COM (2016) 356 (abrufbar unter https://ec.europa.eu/transparency/regdoc/rep/1/2016/DE/1-2016-356-DE-F1-1.PDF). steht. Dort wird auch darauf hingewiesen, dass die von der Europäischen Kommission „kollaborative Wirtschaft“ genannte Gig-Economy neue Möglichkeiten eröffnet habe, den Steuerbehörden und den SteuerzahlerInnen bei ihren steuerlichen Verpflichtungen zu helfen. Dies gehe insbesondere auf die bessere Rückverfolgbarkeit zurück, die durch die Vermittlung durch Online-Plattformen ermöglicht wird. In manchen Mitgliedstaaten sei es deshalb schon gängige Praxis, dass Vereinbarungen mit Plattformen über die Beitreibung von Steuern abgeschlossen werden. Es gebe auch Fälle, in denen die Steuerbehörden die durch Online-Plattformen ermöglichte Rückverfolgbarkeit für die Beitreibung von Steuern von den einzelnen Anbieter nutzen.
Ein Beispiel für die gute Zusammenarbeit zwischen den Steuerbehörden und Akteur der kollaborativen Wirtschaft (in diesem Band „Gig-Economy“ genannt) stamme aus Estland: In Zusammenarbeit mit Plattformen für Mitfahrsysteme soll dort das Verfahren für Steuererklärungen für Fahrer vereinfacht werden. Transaktionen zwischen Fahrer und Kunden werden von der kollaborativen Plattform registriert. Diese schickt anschließend nur die für steuerliche Zwecke relevanten Daten an die Behörde, die dann ihrerseits die Steuerformulare für SteuerzahlerInnen im Voraus ausfüllt.
Der Grundgedanke bestehe darin, den Steuerzahler wirksam und mit möglichst geringem Aufwand bei der Erfüllung ihrer Steuerpflichten zu helfen.[78]Mitteilung der Kommission vom 02.06.2016, COM (2016) 356, 16.
Darüber hinaus betont die Europäische Kommission die Wichtigkeit, faire Arbeitsbedingungen und einen angemessenen und nachhaltigen VerbraucherInnen- und Sozialschutz sicherzustellen. Deshalb sollten Bürger und Unternehmen die für sie geltenden Regeln und Pflichten kennen, wie sie in dieser Mitteilung dargelegt werden. Die Mitgliedstaaten werden auch dazu aufgerufen, die Lage auf nationaler Ebene in ähnlicher Weise klarzustellen. Die Kommission sei bereit, mit den Mitgliedstaaten und den jeweiligen Behörden zusammenzuarbeiten, um sie dabei zu unterstützen.[79]Mitteilung der Kommission vom 02.06.2016, COM (2016) 356, 18.
3. Zusammenfassung
Wie aus der technischen und datenschutzrechtlichen Darstellung ersichtlich ist, ist die genaue Ausformung der plattformbasierten Abwicklung von Dienstleistungen zwar vielgestaltig, die identifizierten problembehafteten bzw in der gegenständlichen Darstellung als überprüfenswert erachteten datenschutzrechtlichen Aspekte der Stellung der CrowdworkerInnen sind aber strukturell ähnlich gelagert, was dafür spricht, dass Crowdwork auch ein spezifisch datenschutzrechtliches Strukturproblem aufweist. Der datenschutzrechtliche Teil dieses Beitrages hat sich deshalb auch zum Ziel gesetzt, entsprechende Lösungsmöglichkeiten de lege lata anzudenken.
Darüber hinaus und vor allem angesichts der ebenfalls ersichtlich gemachten Schwierigkeiten der datenschutzrechtlichen Navigation in dieser wirtschaftlichen Struktur, die vom Zusammenspiel dreier Player geprägt ist, ist aber vor allem (neben entsprechenden notwendigen Initiativen auf europäischer Ebene) auch der österreichische Gesetzgeber einerseits aus Gründen der Rechtssicherheit und andererseits aus Gründen des Schutzes bestehender traditioneller wirtschaftlicher Strukturen mit ihren eingespielten rechtsstaatlichen Abläufen rechtspolitisch gefordert, Klarstellungen und Präzisierungen der plattformbasierten Abwicklung von Dienstleistungen (auch in datenschutzrechtlicher) Hinsicht zu treffen.
[1] http://www.tinyurl.com/jcxw7cp (20.09.2016) [2] https://www.uber.com/legal/terms/at/ (15.07.2016).
[3] Wie schon in anderen Kapiteln angeführt, können in Österreich Privatpersonen keine Dienstleistungen über Uber anbieten, siehe insbesondere Kapitel „Transportdienstleistungen: Uber“.
[4] https://www.uber.com/legal/privacy/drivers-non-us/de/ (07.10.2016) – in Kraft seit 15.07.2015.
[5] https://www.uber.com/legal/privacy/drivers-non-us/de/ (07.10.2016).
[6] Die Datenschutzerklärung dürfte an mehreren Stellen bewusst vage formuliert sein, um mögliche Implikationen mit datenschutzrechtlichen Bestimmungen im Vorhinein zu verhindern.
[7] https://www.uber.com/legal/privacy/drivers-non-us/de/ (07.10.2016).
[8] https://www.uber.com/de/drive/safety/ (20.09.2016).
[9] https://www.uber.com/legal/privacy/drivers-non-us/de/ (07.10.2016).
[10] https://www.uber.com/legal/privacy/drivers-non-us/de/ (07.10.2016).
[11] Auf der Webseite https://www.clickworker.de/ueber-uns/unsere-crowd-die-clickworker/ (15.07.2016) ist die Zahl der Clickworker mit über 700.000 (diese Zahl wurde übrigens schon für 2014 genannt) angegeben, davon 25 % mit Hochschul-/Universitätsabschluss.
[12] https://www.clickworker.de/ueber-uns/ (15.07.2016).
[13] https://www.clickworker.com/wp-content/uploads/2016/02/Unternehmenspraesentation-2016.pdf (15.07.2016).
[14] Clickworker (2016), Clickworker Marketplace API. Application Programming Interface Description, https://www.clickworker.com/wp-content/uploads/2016/01/Mktplace_API_Reference.pdf (15.07.2016).
[15] https://www.clickworker.de/datenubermittlung-via-api/ (20.09.2016).
[16] Clickworker (2016), Clickworker Marketplace API. Application Programming Interface Description, https://www.clickworker.com/wp-content/uploads/2016/01/Mktplace_API_Reference.pdf, Seite 26 (15.07.2016).
[17] https://www.bookatiger.com/at-de/agb (15.07.2016).
[18] https://www.bookatiger.com/at-de/ (15.07.2016).
[19] https://www.bookatiger.com/at-de/hilfe (15.07.2016).
[20] https://www.airbnb.de/help/article/13/how-do-reviews-work (20.09.2016).
[21] https://www.foodora.at/contents/terms-and-conditions.htm (11.10.2016).
[22] https://www.foodora.at/ride4us?utm_source=foodora&utm_medium=website&utm_campaign=homepagebanner&utm_content=applynow (11.10.2016).
[23] http://www.gruenderszene.de/allgemein/foodora-fahrer-interview (11.10.2016).
[24] https://krautreporter.de/1503-abstrampeln-fur-foodora (11.10.2016).
[25] http://www.gruenderszene.de/allgemein/foodora-fahrer-interview/2 (11.10.2016).
[26] https://www-935.ibm.com/services/au/gbs/consulting/workingintheopen.pdf (15.07.2016); ausführlich beschrieben in Boes et al (2014), Clowdworking und die Zukunft der Arbeit, freier Download unter: https://www.researchgate.net/publication/272475518_Cloudworking_und_die_Zukunft_der_Arbeit (11.10.2016).
[27] http://www-03.ibm.com/software/products/de/conn (11.10.2016).
[28] So sind gemäß § 4 Z 1 DSG 2000 „personenbezogene Daten“ Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Für die Personenbeziehbarkeit reicht es aus, wenn der Bezug zwischen der Information und der Person mithilfe von Referenzdaten gegebenenfalls in mehreren Zwischenschritten möglich ist, zB indem Informationen aus einem Software-System in ein anderes über eine entsprechende Schnittstelle migriert werden; auch die (nicht mit einem unzumutbaren Aufwand verbundene) Nutzbarkeit von Zusatzwissen Dritter genügt dieser Definition. Weiters reicht dabei die bloße Möglichkeit der Zuordnung der Information zu einer Person aus, dass diese Information den Regelungen des Datenschutzes unterliegt (vgl Mittländer in Wedde [Hrsg], Handbuch Datenschutz und Mitbestimmung [2016] Rz 123 f). Auch mit Gültigkeit der DS-GVO wird sich daran nichts ändern (vgl Art 4 Z 1 DS-GVO: „identifizierbare natürliche Person“).
[29] Das DSG 2000 besteht im Wesentlichen aus dem im Verfassungsrang stehenden „Grundrecht auf Datenschutz“ des § 1 DSG 2000 und dessen einfachgesetzlichem Teil insbesondere mit der näheren Ausgestaltung der Betroffenenrechte (auf Auskunft, Richtigstellung und Löschung) und setzt es auch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 1995/281, 31, um.
[30] Vgl Jahnel, Datenschutzrecht (2010) 74 f mwN bzw zur Rechtslage nach der DSG-Novelle 2014 Jahnel, jusIT 2015/33.
[31] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.
[32] So können etwa die Mitgliedstaaten gemäß Art 88 Z 1 DS-GVO durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
[33] Dieser Begriff ist von dem des (vertragsrechtlichen) Auftraggebers der Dienstleistung strikt zu trennen, mit anderen Worten ist der (vertragsrechtliche) Auftraggeber datenschutzrechtlich ein Betroffener iSd § 4 Z 3 DSG 2000, dessen Daten von der Plattform verwendet werden. Auch der (vertragsrechtliche) Dienstleister (= CrowdworkerIn) ist datenschutzrechtlich ein Betroffener iSd § 4 Z 3 DSG 2000 (und kein „datenschutzrechtlicher“ Dienstleister iSd § 4 Z 5 DSG 2000). Werden diese Betroffenen hingegen seitens der Plattform beauftragt bzw ersucht, Daten über den jeweils anderen Betroffenen zu ermitteln (zB über die Zahlungsmoral oder Seriosität des Auftraggebers bzw umgekehrt über die Servicequalität des Dienstleisters [siehe dazu Abschnitt „Bewertung der CrowdworkerInnen“]), wären sie diesfalls in diesem Umfang sogenannte „Ermittlungsdienstleister“ (vgl Dohr/Pollirer/Weiss/Knyrim, DSG2 [16. Erg.-Lfg.] § 4 Anm 5, S 71; VwGH 2010/17/0003 RdW 2012/643).
[34] Dazu näher Dohr/Pollirer/Weiss/Knyrim, DSG2 (16. Erg.-Lfg.) § 4 Anm 5, und Knyrim, Datenschutzrecht3 (2015) 41 f. Da die Plattform auch eigene Marketing- und Verrechnungszwecke verfolgt (dazu näher Beitrag „Gig-Economy und Crowdwork – was ist das?„), kann also keinesfalls davon ausgegangen werden, dass sie (insbesondere im Sinne einer „Software-as-a-Service“-Lösung) bloß ein datenschutzrechtlicher Dienstleister des (vertragsrechtlichen) Auftraggebers oder des (vertragsrechtlichen) Dienstleisters (= CrowdworkerIn) wäre.
[35] Diesen Aspekt des Außenauftrittes im Sinne des Interesses an einem effektiven Rechtsschutzsystem betont etwa die Entscheidung der DSK 16.10.2009, K121.533/0017-DSK/2009 (ua mit dem Kriterium der Inhaberschaft an der betreffenden Internet-Domain).
[36] Siehe zu konkreten Abgrenzungsbeispielen Knyrim, Datenschutzrecht 36 f, und Jahnel, Datenschutzrecht 93 f. Vgl weiters EuGH 01.10.2015, C-230/14, Weltimmo, RdW 2015/613 = ZIR 2016/2, 168 (Thiele) zum Betreiben einer Website mit einer hauptsächlich auf einen anderen EU-Mitgliedstaat (als den Sitzstaat) ausgerichteten Tätigkeit als ein Beurteilungskriterium für das Vorliegen einer Niederlassung iSd Art 4 Abs 1 lit a DSRL 95/46/EG.
[37] So auch Geuer, Die Niederlassung im datenschutzrechtlichen Sinne, ZIR 2013/3, 153 mwN.
[38] Gemäß ErwGr 22 setzt eine solche „Niederlassung“ die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.
[39] Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte gemäß ErwGr 24 daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet. Diese Voraussetzung scheint jedenfalls bei CrowdworkerInnen in der EU mit einem Online-Work-Mode (wie zB bei „ClickworkerInnen“ [dazu näher in Abschnitt „Clickworker“]) gegeben.
[40] Dazu näher Beitrag „Virtuelles Crowdwork: Clickworker„.
[41] Vgl DSK 16.11.2004, K120.951/0009-DSK/2004; Jahnel, Datenschutzrecht 52, 191; Goricnik in Grünanger/Goricnik, Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle (2014) 161.
[42] Dazu näher etwa Dohr/Pollirer/Weiss/Knyrim, DSG2 (16.Erg.-Lfg.) § 6, S 98; Art 5 Abs 1 lit c DS-GVO spricht diesbezüglich vom Grundsatz der „Datenminimierung“.
[43] Dazu näher Jahnel, Datenschutzrecht 73.
[44] In aller Regel bieten Plattformen die Möglichkeit für die KundInnen, die erbrachte Dienstleistung zu bewerten (vgl Heiling/Kuba, Arbeit für/durch die Plattform, Kurswechsel 2/2016, 13 [20]. Siehe konkret Abschnitt „Uber“.
[45] Der „Preis“ dieser Bewerbungsmöglichkeit für den Dienstleister ist natürlich die Einbindung in ein anstrengendes „System der permanenten Selbstbewährung“ (so schon Risak, What`s law got to do with it? Kurswechsel 2/2016, 32 [34]).
[46] Auf dieses Datenschutzproblem weist schon Müller-Gemmeke, Wir brauchen soziale Leitplanken in der neuen Arbeitswelt, in Benner (Hrsg), Crowdwork – zurück in die Zukunft? (2015) 355 (360) hin.
[47] Das ist etwas fundamental anderes als die Möglichkeit, ein eigenes Feedback zu KundInnen abzugeben, vgl Abschnitt „Uber“.
[48] Irani/Silberman, Turkopticon, in Benner 131 (147 f).
[49] Irani/Silberman in Benner 148.
[50] Vgl künftighin Art 5 Abs 1 lit a DS-GVO mit ua dem Grundsatz der „Verarbeitung nach Treu und Glauben“.
[51] Dohr/Pollirer/Weiss/Knyrim, DSG2 (16.Erg.-Lfg.) § 4 Anm 2, S 68; Jahnel, Datenschutzrecht 128, der diesbezüglich das Datum „Arbeitseinstellung“ nennt.
[52] Vgl Goricnik, jusIT 2009/82, 172 FN 35 mwN.
[53] So schon Duschanek, Arbeitsverhältnis und Datenschutz, ZAS 1983, 88.
[54] DSK 23.11.2001, K095.014/021-DSK/2001. In diesem Sinne auch Löschnigg, Datenermittlung im Arbeitsverhältnis (2009) 181, wonach die Richtigkeit der Daten auch dann nicht vorliegt, wenn aufgrund der nicht mitgespeicherten Datenumgebung der Informationsgehalt der Daten verändert wird, wenn also die Daten wegen des Kontextverlustes einen unrichtigen Eindruck erzeugen.
[55] OGH 6 Ob 275/05t ecolex 2006/211; weiters OGH 6 Ob 247/08d jusIT 2010/49 (Kastelitz/Leiter).
[56] Siehe dazu näher Dammann/Simitis, EG-Datenschutzrichtlinie Erl 1.1 zu dem § 6 DSG zugrunde liegenden Art 6 DSRL 95/46/EG.
[57] So schon Löschnigg, Datenermittlung im Arbeitsverhältnis 36.
[58] Dazu näher Dohr/Pollirer/Weiss/Knyrim, DSG2 (16.Erg.-Lfg.) § 27 Anm 21 f, und Jahnel, Datenschutzrecht 421 f.
[59] Die Plattform bleibt auch beim Einsatz eines sogenannten „Ermittlungsdienstleisters“ (hier der Kundschaft) verantwortlicher datenschutzrechtlicher Auftraggeber (vgl Dohr/Pollirer/Weiss/Knyrim, DSG2 [16. Erg.-Lfg.] § 4 Anm 5, S 71).
[60] Prassl/Risak, Uber, TaskRabbit, and Co.: Platforms as employers? Rethinking the legal analysis of Crowdwork, in Comparative Labour Law and Policy Journal Vol. 37 (2016) 619 (627), betonen zutreffend die daraus resultierende verschlechterte (wirtschaftliche) Verhandlungssituation der CrowdworkerInnen.
[61] Im Fall der clickworker-Plattform wird zwar allgemein behauptet, dass der Datenschutz in Bezug auf die einzelnen ClickworkerInnen beachtet würde (https://www.clickworker.com/wp-content/uploads/2016/01/Mktplace_API_Reference.pdf, S 26 [15.07.2016]) – vgl Abschnitt „Clickworker“ –, ob und wie weitgehend das aber auch eingehalten wird, bedürfte aber einer genauen informationstechnischen Überprüfung.
[62] ZB Spielbüchler in Floretta/Spielbüchler/Strasser, Arbeitsrecht I4 (1998) 147.
[63] Vgl Spielbüchler in Floretta/Spielbüchler/Strasser, Arbeitsrecht I, 52.
[64] ZB OGH 9 ObA 10/99g = ASoK 1999, 277 (Karl).
[65] Rebhahn in Kletečka/Schauer, ABGB-ON1.02 § 1151 ABGB Rz 86 (Stand 01.6.2014, rdb.at).
[66] Rebhahn in Kletečka/Schauer, ABGB-ON1.02 § 1151 ABGB Rz 86 (Stand 01.6.2014, rdb.at).
[67] Rebhahn in Kletečka/Schauer, ABGB-ON1.02 § 1151 ABGB Rz 107 (Stand 01.6.2014, rdb.at).
[68] Vgl entsprechend künftighin Art 6 Abs 1 lit b DS-GVO.
[69] Vgl künftighin Art 5 Abs 1 lit c DS-GVO (Grundsatz der „Datenminimierung“).
[70] Das Auslagern der Kontrolle seitens der Plattform an die Kundschaft ändert nichts an der Beibehaltung der datenschutzrechtlichen Auftraggebereigenschaft der Plattform (die KundInnen sind diesfalls datenschutzrechtliche Dienstleister); integrieren die KundInnen entsprechende personenbezogene Daten in ihre eigenen Anwendungen und Systeme (vgl Abschnitt „Clickworker“), werden (auch) sie selbst zu datenschutzrechtlichen Auftraggeber.
[71] Vgl dazu allg Rebhahn, Mitarbeiterkontrolle am Arbeitsplatz (2009) 52.
[72] In diesem Sinne schon Rebhahn, Mitarbeiterkontrolle am Arbeitsplatz 53, zur unterschiedlichen Kontrollbefugnis in Bezug auf freie Mitarbeiter einerseits und Arbeitnehmer andererseits.
[73] So auch Härting, Datenschutz-Grundverordnung (2016) 96 f.
[74] Siehe beispielsweise https://www.bookatiger.com/at-de/reinigungskraft/wien (20.09.2016).
[75] Heiling/Kuba, Arbeit für/durch die Plattform, Kurswechsel 2/2016, 20.
[76] Vgl künftighin Art 6 Abs 1 lit e DS-GVO.
[77] Mitteilung der Kommission vom 02.06.2016, COM (2016) 356 (abrufbar unter https://ec.europa.eu/transparency/regdoc/rep/1/2016/DE/1-2016-356-DE-F1-1.PDF). [78] Mitteilung der Kommission vom 02.06.2016, COM (2016) 356, 16.
[79] Mitteilung der Kommission vom 02.06.2016, COM (2016) 356, 18.