Missbrauch persönlicher Daten, Verletzungen der Grundrechte und der Privatsphäre werden sich nie vollständig verhindern lassen.
In einer globalisierten Welt, in der immer mehr Daten – auch ArbeitnehmerInnendaten – in verschiedensten Systemen erfasst, ausgewertet, verschickt, interpretiert und Datenverarbeitung ausgelagert wird, fordern wir einen verbesserten Schutz um Menschen vor Datenmissbrauch zu schützen.
Transparente Regeln schützen beide Partner. Verbesserungen im Rahmen des ArbeitnehmerInnendatenschutzes sind sinnvoll und wichtig, daher fordert das Bundesforum der GPA-djp:
1. Eine/n betriebliche/n Datenschutzbeauftragte/n, wenn mehr als 20 Personen in einem Unternehmen beschäftigt sind und personenbezogene Mitarbeiterdaten oder Kundendaten elektronisch verarbeitet werden.
2. Die Mitbestimmung des Betriebsrates bei Bestellung der/s Datenschutzbeauftragten.
3. Eine fundierte Ausbildung für Datenschutzbeauftragte (dazu zählt eine entsprechende Weiterbildung).
4. Dass der/die interne Datenschutzbeauftragte auf dem Gebiet des Datenschutzes weisungsfrei ist (und Kündigungsschutz analog zum Betriebsrat).
5. Wenn Daten unrechtmäßig übermittelt oder sonst Dritten zugänglich gemacht werden und die Gefahr einer schwerwiegenden Beeinträchtigung für die Rechte der Betroffenen besteht, dann hat der Datenverarbeiter die Pflicht, die Betroffenen zu informieren. Die Benachrichtigung muss unverzüglich erfolgen und es muss die Art der unrechtmäßigen Kenntniserlangung dargelegt werden.
6. Dass die Mitbestimmungsrechte des Betriebsrates in Datenschutzbelangen bzw. bei Einführung von betrieblichen Datenverarbeitungssystemen ausgebaut werden. Im Vorfeld der Einführung von betrieblichen Datenverarbeitungssystemen ist der Betriebsrat verpflichtend beizuziehen und mit den notwendigen Informationen auszustatten. Weiters ist dem Betriebsrat verpflichtend eine Beratungszeit vor Einführung einzuräumen, wobei er das Recht hat externe ExpertInnen zu Beratungszwecken hinzuzuziehen. Ein Verstoß ist mit Sanktionen zu belegen.
7. Dass Datenschutzvergehen sowohl von den Betroffenen als auch vom Betriebsrat verfolgt werden können.
8. Dass Bußgelder analog zu den Strafen zur Arbeitszeitüberschreitungen eingeführt werden.
9. Dass Schadenersatz für Betroffene festgelegt wird.
10. Die Ausweitung des Strafparagraphen im Datenschutzgesetz auf jede Form vorsätzlichen Datenmissbrauchs bzw. Datendiebstahls.
11. Dass beim Verstoß des Unternehmens gegen die Meldepflicht bei DSK dem Betriebsrat die Möglichkeit einer Anzeige bei DSK eingeräumt wird.
12. Bei Erhebung, Nutzung und Verarbeitung personenbezogener Daten:
Dass der/die AuftraggeberIn für die Einhaltung der Vorschriften des Datenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich ist. Der/die AuftragnehmerIn ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.
Der Auftrag ist schriftlich zu erteilen, wobei insbesondere festzulegen sind:
Art und Zweck der Datenerhebung,
Verarbeitung und Nutzung der Daten,
die Art der Daten und der Kreis der Betroffenen,
technische und organisatorische Maßnahmen, Berichtigung, Löschung und Sperrung von Daten,
die Kontrollrechte des Auftraggebers und Betriebsrates des Unternehmens, das den Auftrag gibt,
Verstöße des/der Auftragnehmers/in oder der bei ihm beschäftigten Personen sind dem/der AuftraggeberIn mitzuteilen,
Löschung der Daten nach Beendigung des Auftrages.
Der/die AuftraggeberIn hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim/bei der AuftragnehmerIn getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.
Der/die AuftragnehmerIn darf die Daten nur im Rahmen der Weisungen des/der Auftraggebers/in erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des/der Auftraggebers/in gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den/die AuftraggeberIn unverzüglich darauf hinzuweisen.