Tag Archives: betrieblicheR DatenschutzbeauftragteR

Was sie schon immer über die DSGVO wissen wollten

Toni Hegewald/pixelio.de

häufig gestellte Fragen zum Beschäftigten-Datenschutz

und die Antworten darauf

Seit 25.5.2018 ist die Europäische Datenschutzgrundverordnung in Kraft und gilt in der gesamten Europäischen Union. Dadurch erhält das Thema Beschäftigtendatenschutz großen Auftrieb. Der Umgang mit den personenbezogenen Daten von Beschäftigten (z.B. Personalakte, Vordienstzeiten, Heiratsurkunden, Gehalt, Fotos, etc.) wirft Fragen auf.

Wir haben die häufigsten Fragen, die bei unserer Beratungstätigkeit in den letzten Monaten gestellt wurden, für euch zusammengefasst.

Was bedeutet Beschäftigtendatenschutz?

Die DSGVO bestimmt erstmals, dass es überhaupt einen eigenen Beschäftigtendatenschutz gibt – bislang hatte nur Deutschland einen solchen rechtlich vorgesehen. Der Artikel 88 zur „Datenverarbeitung im Beschäftigungskontext“ stellt nun klar, dass es einen Unterschied macht, ob personenbezogene Daten im Arbeitsverhältnis oder in anderen Angelegenheiten (z.B. als KonsumentIn oder StaatsbürgerIn, etc.) verarbeitet werden. Im Artikel 88 der DSGVO ist nun festgehalten, dass es auf gesetzlicher wie auch auf kollektivvertraglicher oder betrieblicher Ebene möglich ist, eigene Regelungen bezüglich der Beschäftigtendaten festzulegen. Die Themen, die sozialpartnerschaftlich geregelt werden können, umfassen: Regelung zur Einstellung oder Beendigung des Arbeitsverhältnisses, zur Erfüllung des Arbeitsvertrages, Gesundheit und Sicherheit am Arbeitsplatz und vieles mehr.

Was sind „sensible Daten“ (die nun in der DSGVO „besondere Kategorien personenbezogener Daten“ genannt werden), die besonders zu schützen sind?

Die „besonderen Kategorien personenbezogener Daten“ sind Daten über eine Person, die sehr heikel sind – vor allem, weil sie schnell zu Diskriminierung führen können. Besondere Kategorien sind: politische Meinung, Gewerkschaftszugehörigkeit, ethnische oder rassische Herkunft, Gesundheitsdaten, sexuelle Orientierung, biometrische und genetische Daten sowie religiöse oder weltanschauliche Überzeugungen.

Im Allgemeinen ist es laut DSGVO verboten, diese Daten zu verwenden – außer unter besonders geschützten Umständen oder, weil ein Gesetz es vorschreibt. Diese Daten können nur dann verwendet werden, wenn die betroffene Person ausdrücklich und ohne Zwang eingewilligt hat, oder eine gesetzliche Vorschrift es verlangt (z.B. Arbeits- und Sozialversicherungsrecht), oder aufgrund der öffentlichen Gesundheitsvorsorge. Dazu gehören auch die notwendigen arbeitsmedizinischen Daten.

Was ist das Grundrecht auf Datenschutz?

Das Recht auf Schutz der personenbezogenen Daten zählt zu den Grundrechten, so wie zum Beispiel auch das Recht auf die freie Meinungsäußerung, oder das Recht auf Erwerbsfreiheit, oder das Verbot von Sklaverei und Folter. Durch die Grundrechte haben die Bürgerinnen und Bürger einen besonderen Schutz vor staatlichem und privatem Zugriff. Durch das Grundrecht auf Datenschutz sollen die Menschen selbst bestimmen können, welche Informationen über ihre Person an wen weitergeben werden.

Was sind eigentlich die Ziele der DSGVO?

Mit der DSGVO sollte die alte EU-Richtlinie zum Datenschutz von 1995 aktualisiert werden. In der DSGVO sollen die individuellen Grundrechte der Menschen gewahrt werden und zugleich soll die DSGVO den freien Datentransfer für Unternehmen innerhalb der EU sicherstellen. Man kann sich vorstellen, dass das ein breites Spektrum an Anliegen und Interessen umfasst und daher ein ziemlicher „Spagat“ gemacht werden musste.

Was bedeutet das „Marktortprinzip“?

Dieses legt fest, dass jede Geschäftstätigkeit auf dem Territorium der EU der DSVGO unterliegt. Dies hat zur Folge, dass auch nicht in der EU ansässige AnbieterInnen von Apps oder digitalen Dienstleistungen sich an die DSVGO halten müssen. Daher müssen Nicht-EU Unternehmen, die in der EU tätig sind, eine/n VertreterIn benennen, der/die AnsprechpartnerIn für die nationale Datenschutzbehörde ist. Die neue DSGVO ist an das EU-weite Wettbewerbsrecht angelehnt und es gilt daher das Marktortprinzip.

Was sind die Grundprinzipien der DSVGO?

Jede Datenverwendung muss einen rechtmäßigen Zweck verfolgen. Die Zweckbindung der personenbezogenen Daten ergibt sich aufgrund gesetzlicher, kollektivvertraglicher oder privatrechtlicher Vorschriften bzw. Verträge (Rechtmäßigkeit). Schreibt zum Beispiel der Kollektivvertrag ein Jubiläumsgeld vor, so muss dem BR das Eintrittsdatum, den Namen und das Monatsgehalt des betroffenen Kollegen/der betroffenen Kollegin bekannt sein, weil sonst eine Auszahlungskontrolle für den BR nicht möglich wäre.

Dabei ist zu beachten, dass ausschließlich für den Zweck notwendige personenbezogene Daten verwendet werden (Sparsamkeitsprinzip). Bezogen auf das Jubiläumsgeld wird der BR wie oben angeführt den Namen, das Eintrittsdatum sowie das Monatsgehalt der betroffenen Person wissen müssen.

Erlischt der Zweck für den die notwendigen personenbezogenen Daten benötigt wurden, so sind die Daten ebenfalls zu löschen (Datenminimierung), außer man muss sie aus gesetzlichen Vorschriften noch aufbewahren (z.B. Steuerrecht). Damit der BR überprüfen kann, ob der AN das jeweilige zustehende Jubiläumsgeld erhalten hat, wird er die dafür notwendigen Daten solange aufbewahren müssen, bis der Anspruch auf Jubiläumsgeld erloschen ist. Verlangt der AN Auskunft, über welche und zu welchem Zweck seine Daten verwendet werden, so muss nun auch die vorgesehene Speicherdauer angegeben werden (Transparenz). Dabei ist immer auf die Richtigkeit der verwendeten Daten zu achten.

Auch muss der Verantwortliche (= meist der/die ArbeitgeberIn) nachweisen können, dass sämtliche Grundsätze bei der Datenverwendung eingehalten werden (Rechenschaftspflicht).

Müssen ArbeitnehmerInnen ihnen von dem/der ArbeitgeberIn vorgelegte „Datenschutz- und Geheimhaltungserklärungen“ unterschreiben?

NEIN. Dies ist datenschutzrechtlich nicht erforderlich. Die hier geforderte Geheimhaltung und Einhaltung des Datenschutzes ergibt sich ohnehin aus dem Arbeitsverhältnis und der Loyalität, die ArbeitnehmerInnen den ArbeitgeberInnen schulden.

Beschäftigte werden häufig mit „Datenschutzerklärungen“ (§ 6 DSG 2018) konfrontiert, die Konventionalstrafen bei Nichteinhaltung des Datenschutzes androhen. Das zu unterschreiben führt zu einer Änderung des Einzelvertrages. Dieser Passus sollte also jedenfalls gestrichen werden. Im Zweifelsfall bei uns in der GPA-djp beraten lassen.

Einer Unterschrift im Sinne von „ich habe die Belehrung gelesen und halte personenbezogene Daten aus dem Arbeitsverhältnis geheim“ steht nichts im Wege. Das ist dann eine allgemeine Kenntnisnahme von Geheimhaltungsverpflichtungen, die ohnehin aus der Loyalitätspflicht im Arbeitsverhältnis entsteht. Auch die Zustimmung zu einer Datenweitergabe an den/die ArbeitgeberIn betreffend personenbezogener Daten, die zur Abwicklung des Dienstverhältnisses erforderlich sind, ist wohl nicht problematisch.

Müssen alle bestehenden Betriebsvereinbarungen zu Datenverarbeitungs- oder Kontrollsystemen neu geschrieben werden?

Nein, sie müssen nur der neuen DSGVO angepasst werden. Hier ist vor allem darauf zu achten, dass die Verweise auf gesetzliche Vorschriften noch richtig sind. Wenn beispielsweise in einer BV bereits von einem/r betrieblichen Datenschutzbeauftragte/n die Rede war, muss diese Regelung jetzt überprüft werden, ob nicht in der DSGVO vielleicht etwas Anderes steht. Auch allfällige Verweise auf den Gesetzestext des alten Österreichischen Datenschutzgesetzes (DSG 2000) müssen dem neuen Datenschutzgesetz 2018 angepasst werden. Die Verpflichtungen Betriebsvereinbarungen gemäß Arbeitsverfassungsgesetz §§ 96-97 abzuschließen, bleiben wie sie sind.

Was hat es mit der Datenschutz-Folgenabschätzung auf sich?

Diese muss erfolgen, wenn aus der Datenverwendung durch den Verantwortlichen ein großes Risiko für Eingriffe in die Grundfreiheiten der Betroffenen entsteht, wie z.B. beim permanenten GPS-Tracking oder der Videoüberwachung der ArbeitnehmerInnen. Ebenfalls notwendig ist eine solche Folgenabschätzung bei der systematischen und umfassenden Bewertung persönlicher Aspekte von Personen (z.B. profiling), oder der Verwendung von besonderer Datenkategorien.

Welche Mitspracherechte hat der Betriebsrat bei der Folgenabschätzung?

Grundsätzlich hat der/die ArbeitgeberIn die Pflicht im Sinne des § 91 Abs 2 ArbVG den Betriebsrat zu informieren, welche Arten von personenbezogene ArbeitnehmerInnendaten er aufzeichnet und welche Verarbeitungen und Übermittlungen er vorsieht. Auf Verlangen des Betriebsrates kann dieser die Grundlagen der Verarbeitung und Übermittlung der Daten überprüfen. Daher muss bei einer Folgenabschätzung der Betriebsrat von Anfang an informiert und einbezogen werden.

Außerdem steht in der DSGVO, dass bei der Folgenabschätzung „der Standpunkt der Betroffenen oder ihrer Vertreter“ einzuholen ist. Also muss wohl auch der Betriebsrat mit an Bord genommen werden.

Was ist neu bei Datentransfer in Drittstaaten und welche Rechte hat der Betriebsrat/ die Betriebsrätin?

Da für alle Mitgliedsstaaten der EU die DSGVO, so wie sie ist, anzuwenden ist (sie muss also nur in bestimmten Angelegenheiten noch zusätzlich in nationalstaatliches Recht umgesetzt werden, wie z.B. bei Datenverarbeitung im Beschäftigungskontext, den Aufgaben der Datenschutzbehörden oder der Bestellung von betrieblichen Datenschutzbeauftragten), haben alle EU-Mitgliedsstaaten das gleiche Datenschutzniveau und bedarf es keiner zusätzlichen besonderen Regelungen für Datentransfer innerhalb der EU.

Bei Datentransfer außerhalb der EU müssen zusätzlich rechtliche Maßnahmen getroffen werden, denn Drittstaaten müssen erst „beweisen“, dass personenbezogene Daten bei ihnen genauso gut geschützt sind, wie innerhalb der EU.

Die DSGVO enthält einige rechtliche Möglichkeiten. Manche davon gibt es schon länger (z.B. Standardvertragsklauseln oder einen Angemessenheitsbeschluss, wie er für alle Länder des EWR-Raumes sowie Israel, Chile gegeben ist) andere sind neu hinzugekommen (z.B. Zertifizierungen). Für Datentransfer in die USA können sich dort ansässige Unternehmen dem so genannten „Privacy Shield“ unterwerfen (Auf der Seite des US-amerikanischen Handelsministeriums https://www.privacyshield.gov/list kann man diese Firmen aufgelistet finden).

Alle diese Transfermöglichkeiten in Dritt-Staaten folgen aber strengen Auflagen und müssen von der nationalen Datenschutzbehörde oder dem Europäischen Datenschutzausschuss genehmigt worden sein.

Bei den Mitspracherechten des Betriebsrates in diesem Fall sei auch hier auf die Informationsrechte gemäß § 91 Abs 2 ArbVG verwiesen. Zusätzlich kann der Betriebsrat, wenn durch den Datentransfer personenbezogene Daten oder besondere Kategorien personenbezogener Daten von ArbeitnehmerInnen betroffen sind, den Abschluss einer Betriebsvereinbarung im Sinne des § 96a ArbVG verlangen. Solange eine solche Betriebsvereinbarung nicht abgeschlossen ist, können die Daten nicht transferiert werden (außer die Schlichtungsstelle des Arbeits- und Sozialgerichts hat nach deren Anrufung durch den Arbeitgeber/ die Arbeitgeberin ihre Zustimmung erteilt).

Was muss beachtet werden bei der Nutzung von Firmen eigenen Handys und Computern?

Die Geschäftsführung kann einseitig Regeln zum allgemeinen Datenschutz im Betrieb festlegen. (Wenn die Datenschutzbehörde diese genehmigt, können sie auch als Grundlage für Datentransfer in Dritt-Staaten dienen.) Diese Datenschutzvorschriften können auch Regelungen bezüglich der privaten Nutzung von Handys und Laptops beinhalten. Trotzdem muss mit dem Betriebsrat eine Betriebsvereinbarung (BV) über die Nutzung von Diensthandys und Laptops abgeschlossen werden (§ 96a ArbVG) . Es ist ratsam auch die private Nutzung der IKT-Geräte in einer BV zu regeln. Es sollte klar vereinbart sein, welche Social Media oder Apps verwendet werden dürfen und welche Einsichtsrechte seitens des Unternehmens bestehen. Die GPA-djp bietet Muster-Vereinbarungen und Beratung durch den/die betriebsbetreuende/n Regionalsekretär/in auch zu diesem Thema an.

Welche Mitspracherechte hat der Betriebsrat bei Branchen- oder konzernweiten Verhaltensrichtlinien?

Konzerne oder ganze Branchen können sich auf einheitliche Datenvorschriften einigen und von der nationalen Datenschutzbehörde genehmigen lassen. Solche Vorschriften sind dann auch Rechtsgrundlage für Datentransfers in Nicht-EU-Länder, wenn also zum Beispiel Daten von MitarbeiterInnen an die Konzernzentrale in Florida oder in der Ukraine geschickt werden. Diese Vereinbarungen müssten natürlich die Grundprinzipien der DSGVO beinhalten (z.B. Zweckbindung, Speicherfristen, datenschutzfreundliche Technikgestaltung). Die DSGVO selbst sieht explizit keine speziellen Mitbestimmungsrechte des Betriebsrates vor.

Allerdings ist auch hier auf die Informations- und Mitbestimmungsrechte zu verweisen sobald personenbezogene Daten von ArbeitnehmerInnen betroffen sind (§§ 89, 90, 91, 92, 96 und 96a ArbVG) . Also jeder einzelne Betrieb hat seinen Betriebsrat über Weitergabe personenbezogener ArbeitnehmerInnen-Daten in Drittländer im Vorhinein zu informieren (§ 91 ArbVG). Auf Verlangen des Betriebsrates sind entsprechende Beratungsgespräche zu führen und die Prüfung der Grundlagen für die Übermittlung und Verarbeitung zu ermöglichen (§§ 91, 92 ArbVG). Dabei muss festgestellt werden, ob Betriebsvereinbarungen abzuschließen sind (§§ 96 und 96a ArbVG).

Wann muss ein/e betriebliche/r Datenschutzbeauftragte/r eingeführt werden?

Wenn die Kerntätigkeit eine umfangreiche, regelmäßige und systematische Datenverarbeitung ist (z.B. Verkehrsüberwachung mit Kameras) bzw. wenn besondere Kategorie von personenbezogenen Daten verarbeitet werden (z.B. Gesundheitsdaten). Behörden haben immer einen zu bestellen. Viele Unternehmen  – vor allem international tätige – entscheiden sich im Zweifelsfall für die Ernennung eines/einer Datenschutzbeauftragten, da sie sich damit besser absichern können.

Was ist die Aufgabe des/ der betrieblichen Datenschutzbeauftragten?

Aufgabe des/der Datenschutzbeauftragten ist die Kontrolle der Einhaltung des DSGVO, Beratung des Managements, die Schulung und Information der ArbeitnehmerInnen, KundInnen und GeschäftspartnerInnen. Er/Sie ist Schnittstelle und AnsprechpartnerIn für die Datenschutzbehörde.

Kann der/ die betriebliche Datenschutzbeauftragte auch gleichzeitig der/ die IT-Sicherheitsbeauftragte eines Betriebes sein?

Grundsätzlich ja, im Gesetz ist das nicht verboten. Doch erscheint es wenig sinnvoll, da MitarbeiterInnen der IT in erster Linie für die Daten- und Netzsicherheit zuständig sind. So könnten in manchen Bereichen durchaus Interessenskonflikte entstehen.

Haftet der/ die Datenschutzbeauftragte falls Bußgelder verhängt werden?

Nein, da sie oder er nur berät, kontrolliert und schult, aber nicht entscheidet wie mit personenbezogene Daten umgegangen wird. Der/die betriebliche Datenschutzbeauftragte kann nicht bestimmen, wie das Unternehmen mit personenbezogenen Daten umgeht, nur beraten, schulen, und Ähnliches. Daher haftet er/sie auch nicht – außer er/sie missachtet seine/ihre Befugnisse, überschreitet sie, verletzt selbst Datenschutzbestimmungen, oder verhält sich sonst wie strafbar.

Gilt die DSGVO auch bei Akten in Papierform oder bei einzelnen Blättern im Hängeordner?

Ja, auch die „nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem“ (z.B. ein Personalverwaltungsakt) unterliegt der DSGVO (vgl. Art 2 Abs 1). Also müssen auch analog aufbewahrte Daten gemäß den Vorgaben der DSGVO behandelt werden. Der Ordner mit der Aufschrift „Diverses“, in dem seit Jahren unsortiert Telefonnotizen landen, der Ordner „Privat“ oder die lose Sammlung von Visitenkarten zählen allerdings nicht dazu, weil sie nicht systematisch geordnet sind.

Müssen sich auch Betriebe, die gar nicht aus der EU sind, an die DSGVO halten?

Ja, wenn sie hier Waren oder Dienstleistungen anbieten. Selbst wenn sie „nur“ Daten sammeln oder „nur“ das Verhalten von Menschen in der EU beobachten, müssen sie die Grundprinzipien einhalten und die Grundrechte der Menschen wahren, egal ob sie im EU-Raum über eine reale Niederlassung verfügen oder nicht (siehe Art 3 und EG 22-25). Dieses neue Prinzip ist auch unter dem Titel „Marktortprinzip“ bekannt.

Gibt es in der DSGVO ein Privileg für Konzerne, damit diese Datentransfers einfacher durchführen können?

JEIN, es wurden mit der DSGVO mehrere Möglichkeiten innerhalb des Konzerns geschaffen, die den internationalen Datentransfer erleichtern sollen. Es gibt aber keine generelle „Freigabe“ für Konzerne, damit diese die personenbezogenen Daten der ArbeitnehmerInnen ohne Schranken durch die „Weltgeschichte“ schicken dürfen.

Wie ist das mit Datenverarbeitungen im Betriebsratsbüro?

Wer jetzt neugierig geworden ist und Betriebsrat oder Betriebsrätin ist und sich auf der Homepage der GPA-djp einloggt, kann zusätzlich Antworten zur Datenverarbeitung im Betriebsratsbüro bekommen.

Zusammenarbeit von Betriebsrat und betrieblicher Datenschutzbeauftragter

der Beginn einer guten Partnerschaft?

aus dem Alltag einer datenschützenden Betriebsrätin

die Betriebsrätin Verena Spitz im Interview

Fritsch Clara: Ihr habt seit etwas mehr als einem Jahr die Funktion der betrieblichen Datenschutzbeauftragten besetzt. Wie kam es dazu?

Spitz Verena: Beschäftigt hat man sich mit Datenschutz bei uns schon lange. Bei einer Bank ist das nicht weiter verwunderlich. Allerdings ging es dabei meist um die Daten der Kundinnen und Kunden und um die von Geschäftspartnern. Da nun die Europäische Datenschutzgrundverordnung vor der Türe steht, in der betriebliche Datenschutzbeauftragte für Betriebe wie unseren verpflichtend einzuführen sind, wurde beschlossen, diese besser heute als morgen einzuführen. Diese Person muss sich ja auch erst einmal mit der betrieblichen Realität vertraut machen. Das braucht seine Zeit. Wenn die erst am 25.Mai bestellt wird, wenn die Grundverordnung gilt, dann ist es zu spät.

FC: War der Betriebsrat eingebunden bei der Auswahl der betrieblichen Datenschutzbeauftragten?

SV: Da hatten wir kein Mitspracherecht. Aber wir wurden über die Ausschreibung, ihre Inhalte, das Ergebnis immer gut informiert und auf dem Laufenden gehalten.

FC: Welche Aufgaben hat die neue Kollegin erhalten? Beziehungsweise wo liegen die Überschneidungen mit euren Aufgaben?

SV: Unsere Datenschutzbeauftragte muss sich einen Überblick verschaffen. Also hat sie einen Prozess aufgesetzt und in jedem Bereich Workshops gemacht um diesen Überblick zu erhalten. In jedem Bereich gibt es jetzt eine Verantwortliche oder einen Verantwortlichen an den man sich wenden kann. Alle internen Prozesse mussten an die Datenschutzgrundverordnung angepasst werden.

Überschneidungen gibt es überall dort, wo es um MitarbeiterInnendaten geht. Da informieren wir einander gegenseitig auf dem „kurzen Weg“.

FC: Wieso ist es für die betriebliche Datenschutzbeauftragte sinnvoll, mit euch als Betriebsrat zusammen zu arbeiten?

SV: Als Betriebsrat haben wir Betriebsvereinbarungen zum Schutz der Beschäftigten eingefordert; zum Beispiel unsere Whistleblowing-Hotline, die internen Kommunikationsmittel, die Arbeitszeiterfassung, all das ist schon lange so vereinbart, dass die Privatsphäre der Beschäftigten gut geschützt ist. So ist schon lange klar, dass wir da ein wichtiger Gesprächspartner sind. Die Datenschutzbeauftragte braucht teilweise auch diese Betriebsvereinbarungen, damit sie rechtliche Grundlagen für Datenverwendungen vorweisen kann und kommt deshalb auf uns zu.

Wir konnten ihr immer wieder auch überbetrieblich wichtige Informationen geben. Zum Beispiel, dass die österreichische Datenschutzbehörde Treffen für betriebliche Datenschutzbeauftragte veranstaltet und man sich da überbetrieblich vernetzen kann. Diese Information hat der Kollegin sehr geholfen, weil der Informationsaustausch mit anderen Datenschutzbeauftragten für sie wichtig war.

FC: Inwieweit könnt ihr von ihr als Kooperationspartnerin profitieren?

SV: Wir können dieses Thema jetzt gemeinsam besser bearbeiten. Wir sind da Gesprächspartnerinnen auf Augenhöhe. Sie nimmt unsere Vorschläge zur Gestaltung von innerbetrieblichen Abläufen meist ganz gerne an. Erst kürzlich wurde bei uns zum Beispiel in jeder Abteilung Projekte gestartet, damit das Verarbeitungsverzeichnis vollständig ist. In jeder Abteilung wurde eine zuständige Person ernannt, ein sogenannter SPOC eingerichtet; das steht für „single point of contact“. Jetzt sind wir als Betriebsrätinnen und Betriebsräte besser informiert, welche Datenanwendungen wo eigentlich überhaupt laufen.

Es ist ein gegenseitiger Nutzen. Wir fragen in der Geschäftsführung nach: „Sind die Vorhaben schon mit der Datenschutzbeauftragten abgesprochen?“ und sie fragt in der jeweiligen Fachabteilung, die Datenverarbeitungen mit den Beschäftigtendaten durchführt: „Wurde dazu schon eine Betriebsvereinbarung abgeschlossen?

FC: Welche drei wichtigsten Tipps würdest du BR-Kolleginnen geben, die ebenfalls mit der oder dem betrieblichen Datenschutzbeauftragten zusammenarbeiten möchten?

SV: Erstens sollte man von sich aus aktiv auf die neue Kollegin zugehen und ein Kooperationsangebot machen.

Zweitens sollten die relevanten Informationen für die betriebliche Datenschutzbeauftragte zur Verfügung gestellt werden

Drittens hilft es, die betriebliche Datenschutzbeauftragte als gleichberechtigte Partnerin zu verstehen.

FC: Ich danke für das Interview.

SV: Bitte gerne.

Zum Abschluss noch ein Link-Tipp für all jene, die sich weiter mit den betrieblichen Datenschtzbeauftragten, ihren Aufgaben, Rechten und Pflichten beschäftigen möchte, findet bei der europäischen Artikel-29-Datenschutzgruppe einen guten Leitfaden.

Das ideale Weihnachtsgeschenk

…unter dem Weihnachtsbaum des Betriebsrats…

…sollte dieses Werk heuer keinesfalls fehlen!

Was die Autorin dieses Blogs so macht, wenn sie gerade keine Blog-Artikel schreibt, nicht zur Datenschutzgrundverordnung (DSGVO) referiert, Betriebsvereinbarungen begutachtet oder zum Beschäftigtendatenschutz berät?

Sie schreibt gemeinsam mit Datenschutz-Experten ( Andreas Krisch und Thomas Riesenecker-Caba) und Kolleg_innen aus den (Länder-)Arbeiterkammern (wie Martina Chlestil und Nina Rothenender) und anderen Fachgewerkschaften (wie Susi Haslinger) Beiträge zu Fachpublikationen wie dieser:

Beschäftigtendatenschutz, Handbuch für die betriebliche Praxis

Von der Grundsatzfrage „Wozu das alles?“ bis hin zu detaillierten rechtlichen Fragen, was denn nun tatsächlich die Aufgaben eines/einer betrieblichen Datenschutzbeauftragten sind, wird in diesem Band auf alles eingegangen, was mit dem Beschäftigtendatenschutz in Zusammenhang steht. Ob es um eine Betriebsvereinbarung, den Datentransfer zur Konzernmutter in einem Nicht-EU-Mitgliedsland oder die Frage der Bußgelder geht, der Ratgeber gibt umfassend darüber Auskunft, was sich durch die neue Rechtslage ändern wird – und was beim Alten bleibt. Einschlägige Rechtsprechung ist ebenso enthalten wie die häufigsten technischen Systeme und deren datenschutzrechtliche Tücken. Am politischen Werdegang der europäischen Gesetzgebung Interessierte kommen ebenso auf ihre Rechnung, wie juristisch ambitionierte oder IT-affine Leser_innen.

Kurzum:

eine Leseempfehlung

für datenschützende Betriebsräte und Betriebsrätinnen, betriebliche Datenschutzbeauftragte und alle, die wissen wollen, was die neue Rechtslage für ArbeitnehmerInnen bringt. Hier geht’s zur Bestellung.

…und manchmal geht es doch

die „innerbetriebliche Datenschutz-Kommission“ stärkt den Beschäftigten den Rücken

Dr. Datenschutz berichtet aus der Praxis

In einem österreichischen Unternehmen, dessen Geschäftszweck Vertrieb, Montage, Wartung und Reparatur von Elektrogeräten ist und dessen Zentrale in Deutschland liegt, besteht seit 2010 eine so genannte „interne Datenschutzkommission“. Zustande gekommen ist diese „iDSK“ im Zuge einer Arbeitsanweisung der deutschen Unternehmenseigentümerin; es galt zu überprüfen, ob alle internen „Compliance-Richtlinien“ eingehalten würden. Alle Töchterunternehmen wurden europaweit zu einer solchen Überprüfung angehalten, bei der die „Compliance-Officer“ an leitender Stelle eingesetzt waren. Um der Papiermengen Herr zu werden, wurde ein Team gebildet, in dem der Betriebsrat und ein Mitglied der Geschäftführung vertreten waren. In der Compliance-Richtlinie stieß das Team auf den Satz „alle nationalen Gesetze sind einzuhalten“.

Compliance gilt auch bei Beschäftigten-Datenschutz

Diese Textstelle wurde unter anderem in Bezug auf das Datenschutzgesetz interpretiert und man kam zu der gemeinsamen Meinung, dass eine interne Datenschutzkommission hilfreich wäre, um der Compliance-Richtlinie gerecht zu werden. Für die Geschäftsführung stand dabei das Interesse im Raum,  an die deutsche Muttergesellschaft nicht alle geforderten unternehmensinternen Daten weiterleiten zu müssen, weil sie befürchtete, dass sich die Eigentümerin dann allzu sehr in die Angelegenheiten der österreichischen Niederlassung einmischen würde. Für die ArbeitnehmerInnen-Interessenvertretung ergab sich so die Gelegenheit, mehr Informationen zu den geplanten Vorhaben der Konzernmutter zu erhalten. .

Gründung der internen Datenschutzkommission: eine Win-win-Situation.

Die iDSK wurde mittels Betriebsvereinbarung rechtlich abgesichert. Einer der ersten Arbeitsschritte war es, ein Formular zu entwickeln auf dem jede Datenanwendung ausführlich eingetragen werden musste. Inhaltlich lehnt sich das Dokument an die Meldeformulare der österreichischen Datenschutzkommission an. In dem Betrieb wurden jegliche Datenanwendungen, in denen personenbezogene Daten Bestandteil der Verwendung sind, in ein solches Formular eingetragen. Das ging vom Verschicken von Briefen an die Beschäftigten über neue Leistungserfassungstools bis hin zu Navigationssystemen. Das Formular diente als Grundlage für die Entscheidung, ob eine Betriebsvereinbarungspflicht vorliegt oder nicht.

Zwei Jahre nach Bestand der iDSK wünscht sich die Geschäftsführung nun eine Abwandlung dieses Genehmigungsformulars weil es zu bürokratisch und zeitaufwendig erscheint. Der Betriebsrat möchte die bestehende, umfangreiche Form beibehalten. Um die Angst vor der Komplexität zu nehmen, möchte der Betriebsrat statt dessen ein einfaches Informationsblatt an die Beschäftigten austeilen, das die komplexen Inhalte und Entscheidungsprozesse der internen Datenschutzkommission verständlicher macht. Das Informationsblatt wird die Entscheidungspfade in Form eines Baumes wiedergeben und einfache Wenn-Dann-Beziehungen aufzeigen (z.B. eine Datenverwendung enthält Daten, die eindeutig einer Mitarbeiterin / einem Mitarbeiter zuordenbar sind –> Abschluss einer Betriebsvereinbarung). Somit erfüllt die Kommission gleichzeitig auch die Aufgabe der Bewusstseinsbildung für die Belegschaft.

Seit Einführung der internen Datenschutzkommission hat sich die Datenschutz-Kultur im Betrieb geändert. Sowohl bei der Geschäftsführung als auch bei den ArbeitnehmerInnen ist ein Bewusstsein entstanden, dass Vorsicht geboten ist im Umgang mit personenbezogenen Daten. Der Betriebsrat beschreibt es mit den Worten:

Es kann nicht mehr alles einfach gemacht werden, wie sich das jemand gerade einbildet.

 

Sommerzeit – Datenschutzzeit

Die Novelle des Datenschutzgesetzes ante portas: Licht und Schatten

 Wie schon vor zwei Jahren,wird wieder im Sommer das Datenschutzgesetz (DSG) geändert. Zum Entwurf der Novelle das Positive vorab: Der/Die Datenschutzbeauftragte (DSB) wird damit zur Realität der österreichischen Arbeitswelt.

„Mit der Einführung des freiwilligen betrieblichen Datenschutzbeauftragten nimmt eine langjährige Forderung der GPA-djp jetzt konkrete Formen an“, so Wolfgang Katzian von der GPA-djp

Da lohnt es sich, genauer hinzusehen. Also weitere Eckpunkte: 

(Die gesamte GPA-djp-Stellungnahme zur DSG-Novelle sowie die parlamentarischen Unterlagen sollen auch nicht verschwiegen werden.)

 1. Die Einrichtung eines/einer Datenschutzbeauftragten 

  • Positiv: Die Funktion eines/einer DSB wird geschaffen.
  • Weniger positiv: Es handelt sich um eine freiwillige Funktion.
  • Wesentliche Neuerung: Ist ein/eine DSB bestellt, entfällt die Meldepflicht beim Datenverarbeitungsregister (DVR). Dies stellt sicher einen Anreiz für seine/ihre Bestellung dar. Anzumerken ist aber, dass eine unabhängige Behörde wie die Datenschutzkommission (DSK) wohl mehr Durchsetzungsrecht als ein/eine innerbetriebliche/r DSB hat.

Die konkrete Ausgestaltung des/der DSB ist großteils durchaus im Sinne der ArbeitnehmerInnen – etwa durch

  • Weisungsungebundenheit,
  • Kündigungsschutz,
  • vorgegebene Mindestaus- und Weiterbildungszeiten,
  • Kundmachungspflicht gegenüber der DSK
  • Mindestfunktionsperiode.

 Ganz klar ist die Ausgestaltung des/der DSB trotzdem noch nicht, ungeklärte Fragen sind etwa folgende:

– Wie viel Zeit wird dem/der DSB für ihre Tätigkeit zur Verfügung stehen – konkret: wird die Funktion auch als Vollbeschäftigung möglich sein?

– Wird die Einsetzung des/der DSB unter verpflichtender Einbeziehung des Betriebsrats erfolgen?

 2. Entfall der Vorab-Kontrolle

 Die Vorab-Kontrolle, d.h. die Genehmigung durch die Datenschutzkommission (DSK), soll in einigen Punkten entfallen.

– Hauptkritikpunkt dabei ist, dass die Vorab-Kontrolle der DSK zur Aufnahme sensibler Daten durch die ausdrückliche Zustimmung der Betroffenen ersetzt werden soll. ArbeitnehmerInnen sollen also individuell und tatsächlich nur scheinbar „freiwillig“ einer Aufnahme ihrer sensiblen Daten ohne vorige Genehmigung zustimmen.

– Der Entfall der Vorab-Kontrolle gilt auch für die Video-Überwachung. In der Folge wäre für diese ohnehin recht beliebte Form der Überwachung ein Wildwuchs zu befürchten.

– Auch im Fall von strafrechtlich relevanten Daten ist geplant, die Vorab-Kontrolle aufzuheben. Das ist ebenfalls äußerst kritisch zu betrachten, da der rechtmäßige Zweck von Datenermittlungen oft nicht ersichtlich ist und daher nicht auch noch (zusätzlich) erleichtert werden soll. 

 3. Ausweitung der Standardanwendungen 

Ferner ist eine Ausweitung der Standardanwendungen geplant. Mit der damit einhergehenden Meldefreiheit wird ein/eine DSB natürlich überflüssig. Standardanwendungen sollten daher tunlichst nicht ausgedehnt werden, was insbesondere für Datenübermittlung in Konzernen gilt. 

FAZIT

ein lachendes und ein weinendes Auge

EU-Datenschutz-Doppelpack

heftige Diskussion im EU-Parlament und

Kritische Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (EWSA)

Beim Datenschutzworkshop des „Ausschuss für bürgerliche Freiheiten“ (LIBE)  im EU- Parlament am 29. Mai artikulierten europäische Gewerkschaften klar die Interessen der Beschäftigten. Dabei prallten – wie nicht anders zu erwarten – die unterschiedlichen Interessen aufeinander. Überraschend viele Unternehmens-Lobbyisten bangten um die Wettbewerbsfähigkeit, StakeholdervertreterInnen brachten ihre Anliegen zum Schutz der Privatsphäre ein.

Wie Unternhemen mit den sensiblen Daten ihrer Beschäftigten umgehen, blieb vorerst nur ein Randthema der Diskussion mit den EU- Abgeordneten. Dabei sieht der neue EU- Datenschutzrahmen einige Regelungen vor , die eine Verschlechterung für ArbeitnehmerInnen bedeuten würden. So soll einE betrieblicheR DatenschutzbeauftragteR erst in Unternehmen ab 250 MitarbeiterInnen eingerichtet werden, in multinationalen Konzernen soll dieser überhaupt nur am Unternehmenshauptsitz vorgesehen sein.

Es wird sich – wie Brüssel-Insiderinnen hören lassen – auch der „Ausschuss für Beschäftigung und soziale Angelegenheiten“ (EMPL) als zusätzlicher Berichterstatter in die EU-Agenda hinein reklamieren, um deutlich zu machen, dass dieses Thema massiv mit Arbeitsverhältnissen zu tun hat und nicht nur mit „Binnenmarkt- und bürgerlichen Freiheiten“.

Auch der EWSA ist in der Sache aktiv geworden – und das ist weitgehend auf Betreiben der GPA-djp und der ver.di zurückzuführen. Der EWSA spricht sich in seiner Stellungnahme vom 23. Mai 2012 gegen die hohe Schwelle für betriebliche Datenschutzbeauftragte aus! Gegen den Widerstand der Arbeitgebervertretungen im EWSA wurde – mit knapper Mehrheit – der hohe Schwellenwert für betriebliche Datenschutzbeauftragte zurückgewiesen. Ginge es nämlich nach dem Verordnungsentwurf der Kommisssion , so müssten Betriebe erst ab einer MitarbeiterInnenzahl von 250 einen betrieblichen Datenschutzbeauftragten installieren. Das würde bedeuten, dass 60 % der Beschäftigten datenschutzrechtlich durch die Finger schauen müssten….

Der EWSA forderte, dass ein/e betriebliche/r Datenschutzbeauftragte/r in jedem Betrieb zu errichten ist, in dem auch ein Betriebsrat zu wählen ist ( in Österreich in allen Betrieben ab fünf Arbeitnehmer/innen).

Klar ist, dass die von GPA-djp und verdi initiierten Bemühungen, sich lautstark in den (parlamentarischen) Meinungsbildungsprozess einzumischen, dringend einer Fortsetzung bedürfen, um den Interessen der ArbeitnehmerInnen gebührendes Gehör zu verschaffen.

 

Praxishandbuch Datenschutzrecht

 

zum Wochenausklang fehlt nur noch eine…

Buchrezension

Basierend auf der Erfahrung von zigtausend Beratungsstunden schrieb der Rechtsanwalt Dr. Rainer Knyrim eine Neuauflage (Erstauflage 2003):

Datenschutzrecht, Praxishandbuch für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen Outsourcen, Werben uvm

Das Buch enthält eine umfassende Darstellung der betrieblichen Herausforderungen im Datenschutz. Der Autor schafft es, diese Herausforderungen auch für EinsteigerInnen verständlich zu formulieren. Durch seine praxisnahe Schreibweise, die weder zu juristisch noch formalistisch daher kommt, wird der betriebliche Datenschutz ein spannendes und kein abschreckendes Thema.

 Zum Themenkomplex „betrieblicher Datenschutz“  beantwortet dieses Buch zahlreiche Fragen, wobei auch auf die im österreichischen Datenschutzgesetz (DSG 2000) lauernden Fallgruben deutlich aufmerksam gemacht wird.

  • Wie funktioniert das mit der Meldung bei der Datenschutzkommission?
  • Welche Rechte haben die ArbeitnehmerInnen?
  • Informationsrecht und Informationspflicht – wann gilt was?

All das und auch über die reinen juristischen Gegebenheiten hinausgehende Informationen (z.B. zum betrieblichen Datenschutzbeauftragten) bietet die Lektüre. 

Mündigere Mitarbeiter, bestens geschulte Betriebsräte und aufmerksame Kunden sowie erwachte Medien zwingen Betriebe heute, sich mit Datenschutz zu befassen.

schreibt der Autor und beschreibt damit auch gleich die Zielgruppe, an die sich sein Buch richtet.

Was bei dieser Neuaflage des Praxishandbuchs allerdings (neuerlich) nur in Spurenelementen vorhanden ist, ist eine Erwähnung der von ArbeitnehmerInnen-Interessenvertretungen (Arbeiterkammern und Gewerkschaften) zur Verfügung gestellten Informations-Literatur, Weiterbildungsangebote, Ansprechstellen, Beratungsangebote etc. Diese Informationen finden sich (unter anderem) in diesem Blog.

Bestellungen bei Manz oder im ÖGB-Verlag.

 

Die Nachlese zum Datenschutz-Brunch

großer Wurf oder Mogelpackung?

 Am 24.4.2012 um 10:00 begrüßte  Ilse Fetik, stellvertretende Vorsitzende der GPA-djp, die etwa 120 Gäste und stellte die drei wesentlichen Forderungen der GPA-djp vor:

  • eineN betrieblicheN DatenschutzbeauftragteN in Unternehmen ab 25 MitarbeiterInnen,
  • betriebliche Datenschutzbeauftragte an allen Standorten und damit eine Abschaffung des geplanten Konzernprivilegs,
  • eine klare Zuständigkeit der ArbeitnehmerInnen-Interessenvertretung bei der gerichtlichen Vertretung von ArbeitnehmerInnen in Datenschutz-Angelegenheiten. 

Evelyn Regner, Abgeordnete zum europäischen Parlament, kritisierte die geplante Bevorzugung von Klein- und Mittelbetrieben (KMU) durch die Verordnung und gab auch eine Erklärung dafür: die 2007 von der Kommission installierte nach ihrem Vorsitzenden sogenannte „Stoiber-Gruppe“ (offizielle Bezeichnung: Gruppe unabhängiger Interessenträger im Bereich Verwaltungslasten), deren Ziel die Beseitigung von „Hemmnissen“ für KMU ist.

Kerstin Jerchel,  Juristin und Datenschutzexpertin bei ver.di, war wenig begeistert von der in der Verordnung geplanten Bevorzugung der Binnenmarktfreiheiten gegenüber dem Grundrecht auf Datenschutz – in Deutschland „Recht auf informationelle Selbstbestimmung“ genannt und in zahlreichen Urteilen festgeschrieben und ausgebaut. Auch die 250-MitarbeiterInnen-Grenze für betriebliche Datenschutzbeauftragte (DSB) hätte in Deutschland nicht abzusehende negative Folgen, wo derzeit ab 9 bzw. 20 MitarbeiterInnen ein DSB bestellt werden muss. Um gegen diese Verschlechterungen aufzutreten, fordert ver.di, dass die geplante Rechtsform der EU-Verordnung wieder in eine EU-Richtlinie zurückgeführt werden muss. Näheres findet sich in der Präsentation: Die neue europäische Datenschutzverordnung.

Gerda Heilegger stellte die Folgen für den österreichischen ArbeitnehmerInnen-Datenschutz dar:

  • der quasi Wegfall der Meldepflicht für KMU führe zu einem großen Verlust für die Publizität der Datenverwendungen,
  • die hohe Grenze für betriebliche DSB sei indiskutabel,
  • die Vertretungsbefugnisse für die Interessenvertretungen wieder nicht berücksichtigt und
  • die geplante unternehmensinterne Folgenabschätzung sei zwar nett gemeint, aber

…da wird der Bock zum Gärtner gemacht, wenn jedes Unternehmen auf freiwilliger Basis selbst beurteilen kann, ob seine Datenanwendungen risikoreich sind oder nicht – Halleluja!

Bei der Podiumsdiskussion

stellten neben den Referentinnen noch weitere DatenschutzexpertInnen ihre Sicht der Dinge dar.

 

Die Rechtsanwaltsanwärterin Renate Riedl aus der Kanzlei Preslmayr und Partner stellte fest, dass sie selten so eine große Diskrepanz zwischen der Theorie „das Thema ist mir total wichtig“ und der Praxis „ich stelle sämtliche meiner Daten im Internet zur Verfügung“ wie im Datenschutz erlebe. Beim Lesen der Verordnung habe sie den Eindruck gehabt:

Es ist alles noch viel zu unklar. Damit kann man keine klare Rechtsauskunft geben.

Helmut Wolff, Betriebsratsvorsitzender bei Siemens Communications Enterprise erzählte aus der betriebsrätlichen Erfahrung, welchen Hürdenlauf es bedeutet, auch nur annähernd die richtigen Informationen über seitens der Konzernzentrale geplante Datenverarbeitungen zu erhalten und diese dann auch wahrheitsgemäß bei der Datenschutzkommission angegeben zu finden.

Die sind dort zwar alle wirklich nett und hilfsbereit, aber heillos unterbesetzt.

stellt der Betriebsrat fest. Ihn beunruhigen an der neuen Verordnung vor allem die Konzernprivilegien, wonach nur mehr der Hauptsitz über die Datenverwendungen bestimmt.

Ob Verordnung oder Richtlinie ist mir persönlich egal – es kommt drauf an, was drinnen steht.

Joe Weidenholzer, Abgeordneter zum EU-Parlament und in dem Ausschuss Mitglied, der die Datenschutz-Verordnung federführend behandelt (Ausschuss für Justiz und bürgerliche Freiheiten, LIBE), erklärte, dass der vorgelegte Entwurf eindeutig die Handschrift der EU-Kommission trage; diese kümmere sich nun einmal vorrangig um die Freizügigkeiten im Binnen- und damit auch Datenverkehr.

Zu den vielen „delegierten Rechtsakten„, bei denen sich die Kommission vorbehalten hat, konkretere Rechte noch auszuformulieren, fällt Weidenholzer das Wort „Glühbirnen-Verordnung“ ein.

Einig war man sich am Podium dass dem Entwurf mit vereinten Kräften gegenzusteuern sei. Angesichts des Erfolgs im EU-Parlament, das gerade dabei ist, ACTA  im Nachhinein zu kippen , sind Regner und Weidenholzer optimistisch, dass es auch der geplanten Verordnung ähnlich ergehen könnte. Hoffen lasse auch das Abstimmungsergebnis zum Berichterstatter im LIBE; Jan Phillip Albrecht wurde – knapp aber doch – gewählt und dieser ist mit Datenschutz-Agenden vertraut.

Evelyn Regner und Joe Weidenholzer haben anlässlich der Tagung eine Presseaussendung herausgegeben.

Wer bedeuerlicher Weise aufgrund wichtiger unaufschiebbarer Termine keine Zeit hatte an der Veranstaltung teilzunehmen, kann sich die Unterlagen demnächst auf der AK-Homepage downloaden

… und sich schon mal provisorisch für die nächste Veranstatlung freinehmen – Termin wird in diesem Blog bekannt gegeben.

Datenschutzbrunch am 24.April 2012

Die neue europäische Datenschutzverordnung

großer Wurf oder Mogelpackung? Was bringt´s für die Arbeitswelt?

Anlässlich der aktuellen Diskussionen um eine neue Datenschutz-Verordnung, laden GPA-djp und AK Wien zu einer gemeinsamen Veranstaltung.

In den frühen Vormittagsstunden des 24. April 2012 können sich die p.t. TeilnehmerInnen bei Referaten aus Brüssel, Berlin und Wien informieren. Im Anschluss an die Kaffeepause wird es Gelegenheit geben, sich mit den ReferentInnen und weiteren Gästen im Rahmen einer Podiumsdiskussion  mit den Für und Wider der neuen Verordnung auseinanderzusetzen.

wir proudly begrüßen:

  • die Abgeeordnete zum Europäischen Parlament, Evelyn Regner, die darüber berichten wird, wie die neue Verordnung im Parlament diskutiert wird
  • die Juristin und Datenschutz-Expertin Kerstin Jerchel von ver.di, die uns den Diskussionsstand in Deutschland näher bringen wird,
  • die Juristin und Datenschutz-Expertin Gerda Heilegger von der AK Wien, die die Auswirkungen des Verordnung auf ArbeitnehmerInnen in Österreich beleuchten wird,
  • den Abgeordneten im Europäischen Parlement, Joe Weidenholzer, der gleichzeitig auch Mitglied in dem EU-Ausschuss ist, dem die neue Verordnung zugewiesen wurde (LIBE),
  • den Betriebsratsvorsitzenden Helmut Wolff von Siemens Enterprise Communications, der die betriebliche Praxis beleuchten wird,
  • die Rechtsanwältin Renate Riedl aus der Anwaltskanzlei Preslmayr, die Erfahrungswerte aus Perspektive der Geschäftsführung in die Diskussion einbringt, 
  • und als Eröffnungsredner Wolfgang Katzian, den Vorsitzenden der GPA-djp.

wann?     Dienstag, 24. April 2012, 10.00 bis 13.00 Uhr
wo?     AK Bildungszentrum, Großer Saal, Theresianumgasse 16-18, 1040 Wien

Anmeldung bitte per E-Mail: andreas.stoeger@akwien.at oder per good old Telefon unter der Nummer: 01/501 65 – 2421

(bitte bis 16. April anmelden – der Saal hat eine beschränkte Anzahl an Sitzplätzen und die am Podium sind auch schon alle besetzt)

Auf dein Kommen freut sich die Autorin dieses Beitrags und Moderatorin der Podiumsdiskussion (aka Dr. Datenschutz).

 

EU-Datenschutzverordnung reloaded

Letzte Woche hat der ÖGB eine Stellungnahme zur geplanten EU-Verordnung zum Datenschutz verfasst und an das Bundeskanzleramt, wo die österreichischen Datenschutz-Agenden zusammenlaufen, geschickt. 

Die Eckpunkte der Stellungnahme des ÖGB kurz zusammengefasst:

  • Eine einheitliche EU-weite Rechtsvorschrift wird begrüßt.
  • Datenschutzbeauftragte sollen bereits in Firmen ab 25 MitarbeiterInnen bestellt werden und mit mehr Ressourcen ausgestattet werden (z.B. Mindest-Arbeitszeit, Haftungsausschluss,…).
  • Das im Entwurf erwähnte „profiling“, also der automatisierte Datenabgleich aus verschiedenen Quellen, soll im Zusammenhang mit dem Beschäftigungsverhältnis, insbesondere bei der Leistungsbeurteilung, unbedingt verboten werden.
  • Das „one-stop-shop-Prinzip“, wonach einzig und allein die Hauptniederlassung von Konzernen für Bestimmungen zum Transfer von Daten zuständig sein soll, wird abgelehnt.
  • Ebenso kann der ÖGB einer „Datenübermittlung auf Basis verbindlicher unternehmensinterner Vorschriften“ wenig abgewinnen.

Beim Treffen der EU-Ratsarbeitsgruppe äußerten die Delegierten auch dort Bedenken zum vorliegenden Entwurf. Es wurde über einen ersten Teil sowie allgemeine Punkte der Verordnung beraten. Dabei wurde von vielen Mitgliedsländern kritisiert, dass es zu viele „delegierte Rechtsakte in dem Verordnungs-Entwurf gibt. Die Kommission hat sich nämlich zu 38 (!) Punkten vorbehalten, noch nährere Ausführungen zu formulieren, wodurch die Staaten eine Einmischung in ihre nationalen Bestimmungen befürchten. Einige Länder waren mit der Konstruktion der betrieblichen Datenschutzbeauftragten (DSB) wenig glücklich. Als Alternativvorschlag zum Kommissionsvorschlag, demnach DSB erst in Betrieben mit 250 und mehr MitarbeiterInnen vorgesehen sind, meinte der Delegierte aus Deutschland, dass man auch auf die Qualität der Datenverarbeitung abzielen könnte – also wer risikoreiche Datenverwendungen betreibt (über „Risiko“ lässt sich sicher noch gut streiten), braucht auch einen DSB. Die Delegierten aus Deutschland, den Niederlanden und Österreich finden eine solche Konstruktion durchaus überlegenswert.  Frankreich, Italien und Deutschland wiederum übten Kritik an dem „one-stop-Prinzip“ und wären damit in diesem Punkt wichtige Verbündeter bei der Vertretung von ArbeitnehmerInnen-Interessen.