Der Sonderbeauftragte für den Datenschutz

Der Beschäftigtendatenschutz ist ein ungemein komplexes Thema, bei dem es ständig Änderungen durch neue Technologien, veränderte Funktionalitäten in Softwareanwendungen, Interpretationen des Europäischen Datenschutzausschusses (ESDA) und der deutschen Datenschutzkonferenz (DSK) sowie durch Gerichtsurteile gibt. Hinzu kommt noch, dass eine Auslegung der Gesetzestexte nicht gerade einfach ist.

Eine Möglichkeit, den Datenschutz im Gremium zu gewährleisten, ist es, einen Sonderbeauftragten für Datenschutz (SfD) der gesetzlichen Interessenvertretung zu benennen – als ein Mitglied der Interessenvertretung, das sich für den Datenschutz im Betriebs- oder Personalratsbüro in besonderer Weise verantwortlich fühlt und sich entsprechend qualifiziert.

Da weder das Betriebsverfassungsgesetz, die Personalvertretungsgesetze noch die DSGVO oder das BDSG eine solche Funktion vorsehen, gibt es sie als aufgrund einer gesetzlichen Verpflichtung einzurichtende Funktion zwar nicht. Ohne einen Experten bzw. eine Expertin geht es aber nicht, selbst dann, wenn eine regelmäßige und vertrauensvolle Zusammenarbeit mit dem betrieblichen oder behördlichen Datenschutzbeauftragten oder einem Externen Datenschutzbeauftragten möglich ist. Übrigens, der Name ‚Sonderbeauftragter für den Datenschutz‘ ist bewusst gewählt, damit er sich vom offiziellen Begriff „Datenschutzbeauftragter“ unterscheidet. Einen solchen hat eine Interessenvertretung nicht zu bestellen, weil sie nicht ‚Verantwortliche‘ im Sinne von Art. 4 Nr. 7 DSGVO ist.

Checkliste zum Sonderbeauftragten für den Datenschutz (SfD)

  • Einen oder mehrere Sonderbeauftragte(n) für den Datenschutz (SfD) wählen. Es sollte(n) an Datenschutzfragen und technischen Lösungen besonders interessierte(s) Gremienmitglied(er) sein.
  • Stellvertretung des SfD für Krankheit, Urlaub, Ausscheiden usw. bestimmen.
  • Ein IT-Ausschuss sollte den SfD beraten.
  • Besuch einer grundlegenden Datenschutzschulung zur DSGVO und BDSG. Es muss eine Schulung sein, die die Besonderheiten des Beschäftigtendatenschutzes aus Beschäftigtensicht im Blick hat.
  • Regelmäßig weitere Datenschutzschulungen oder Tagungen besuchen, um auf dem aktuellen Stand der Technik zu bleiben und neuen Gefahren rechtzeitig begegnen zu können.
  • Fachbücher als Arbeitsgrundlage, wie Kommentare zum Datenschutz, anschaffen und Fachliteratur lesen.

Sie oder er

  • erarbeitet ein Datenschutzkonzept für die gesetzliche Interessenvertretung und legt dieses Papier, beispielsweise als ‚Geschäftsordnung Datenschutz‘, dem Gremium zur Abstimmung vor,
  • achtet auf die Einhaltung der Datenschutzgesetze im Gremium der Interessenvertretung,
  • dokumentiert der Belegschaft gegenüber den sorgsamen Umgang mit personenbezogenen Daten durch das Gremium,
  • unterweist die Mitglieder der gesetzlichen Interessenvertretung im datenschutzrechtlich einwandfreien Umgang mit personenbezogenen Daten,
  • sorgt für die Umsetzung der technisch und organisatorische Maßnahmen (TOM) im Gremium,
  • überprüft in regelmäßigen Abständen die Wirksamkeit und Einhaltung der im eigenen Datenschutzkonzept vorgegebenen Richtlinien und macht Vorschläge für eine Optimierung des Datenschutzes,
  • ist Ansprechpartner(in) für den betrieblichen bzw. behördlichen Datenschutzbeauftragten und die IT-Abteilung,
  • erstattet den anderen Gremienmitgliedern regelmäßig Bericht über den Datenschutz in Betrieb bzw. in der Behörde, im Büro der Interessenvertretung und im Gremium.

Literatur

Haverkamp / Brandl: Datenschutzpraxis für Betriebs- und Personalräte, Frankfurt am Main 2021

Haverkamp: Datenschutz. Grundlagen, Empfehlungen und Arbeitshilfen für Betriebs- und Personalräte, 3. Auflage, Frankfurt am Main 2022