Datenverarbeitung im Betriebsrats- bzw. Personalratsbüro

Die DSGVO und das BDSG gelten auf allen Ebenen von Betrieben und Verwaltungen ohne Ausnahmen. Folglich müssen auch die gesetzlichen Interessenvertretungen (Betriebsräte, Personalräte, Mitarbeitervertretungen, …) diese Datenschutzgesetze einhalten.

Zudem sollte eine gesetzliche Interessenvertretung schon aus Eigeninteresse Datenschutz und Datensicherheit ernst nehmen, damit z.B. ihre Beschlüsse nicht vorzeitig durch Außenstehende gelesen werden und auch keine personenbezogenen Daten von Beschäftigten in unbefugte Hände geraten.

Bei der Frage, welche Daten die Interessenvertretung verarbeiten darf, verweisen wir auf Kapitel C IX 1 „Verarbeitung für die Ausübung oder Erfüllung der Rechte und Pflichten der Interessenvertretung“. Kurz gesagt, alle personenbezogenen Daten, die für die Arbeit der Interessenvertretung notwendig sind, darf die gesetzliche Interessenvertretung verarbeiten. Dabei ist nach aktueller Rechtsprechung klar, dass das Gremium selbst entscheidet, wie die Datenverarbeitung auf der Grundlage der aktuellen Datenschutzgesetze durchgeführt wird. Zu diesen selbst festzulegenden Maßnahmen bei der Datenverarbeitung gehören:

  • die Organisation des Datenschutzes im Gremium,
  • das Datenschutzkonzept des Gremiums,
  • die technisch-organisatorischen Maßnahmen (TOM),
  • die Berechtigungskonzepte sowie
  • die Konfiguration der Software des Gremiums.

Vor, während und nach der Verarbeitung personenbezogener Daten sollte eine Interessenvertretung folgende kleine Checkliste (aus dem ver.di /Input Consulting Buch „Datenschutzpraxis für Betriebs- und Personalräte“) prüfend zur Hand nehmen:

Checkliste zur Rechtmäßigkeit der Nutzung personenbezogener Daten durch die Interessenvertretung

  • Rechtliche Grundlage: Gibt es für die Nutzung der personenbezogenen Daten eine rechtliche Grundlage? Welches Gesetz? Welche Artikel oder Paragrafen?
  • Zweck: Wofür benötigt die Interessenvertretung die personenbezogenen Daten?
  • Zweckbindung: Werden diese personenbezogenen Daten auch nur für diesen Zweck verarbeitet?
  • Datenvermeidung und Datensparsamkeit: Werden die Anforderungen der DSGVO und des BDSG an Datenvermeidung und Datensparsamkeit eingehalten?
  • Datenminimierung: Ist eine Anonymisierung oder Pseudonymisierung möglich?
  • Rechtliche Grundlage und Rollenkonzept: Haben nur die mit einer erlaubten Datenverarbeitung befassten Mitglieder der Interessenvertretung auf diese personenbezogenen Daten Zugriff?
  • Löschkonzept: Werden personenbezogene Daten gelöscht, wenn die Erforderlichkeit der Datenverarbeitung nicht mehr gegeben ist, Aufbewahrungspflichten nicht bestehen und die Löschung keine Interessen der Betroffenen verletzt?
  • Dokumentation: Wird der Umgang mit personenbezogenen Daten dokumentiert?
  • Datenschutzkonzept: Gibt es ein eigenes Datenschutzkonzept des Gremiums, mit dem die Einhaltung der Datenschutzvorschriften sichergestellt wird?
  • Werden die technischen und organisatorischen Maßnahmen (TOM) zur Sicherheit der Datenverarbeitung gem. Art. 32 DSGVO eingehalten?

Literatur

Haverkamp / Brandl: Datenschutzpraxis für Betriebs- und Personalräte, Frankfurt am Main 2021

Haverkamp: Datenschutz. Grundlagen, Empfehlungen und Arbeitshilfen für Betriebs- und Personalräte, 3. Auflage, Frankfurt am Main 2022

Taeger / Gabel (Hrsg.): Kommentar DSGVO – BDSG – TTDSG, 4. Auflage, Frankfurt am Main 2022