Die neuen Regeln zum Datenschutz bringen mehr Pflichten für Dienststellen und mehr Rechte für die Beschäftigten.
WORUM GEHT ES?
1. Die neuen Datenschutzregeln bringen formal und inhaltlich weitgehende Veränderungen mit sich.
2. Die Rechte der Beschäftigten sind zu deren Schutz erheblich ausgeweitet worden.
3. Für bestehende Dienstvereinbarungen besteht nun ein hoher Anpassungsbedarf.
Mit den neuen europäischen Regelungen zum Datenschutz (DS-GVO) und der Überarbeitung des Bundesdatenschutzgesetzes (BDSG n.F.) hat der Schutz der personenbezogenen Daten einen wesentlich höheren Stellenwert bekommen. Dem können sich auch Personalräte nicht entziehen. Denn in allen Dienststellen werden Daten gesammelt, beginnend an der Eingangstür (per Codekarte), über Telefonanlagen, E-Mails und schließlich bei Internetaktivitäten.
Überwachungsaufgaben
Datenschutz ist in § 68 BPersVG nicht ausdrücklich als Aufgabe des Personalrats erwähnt. Aber nach § 68 Abs. 1 Nr. 2 BPersVG hat der Personalrat darüber zu wachen, dass die zugunsten der Beschäftigten geltenden Gesetze – von der Dienststelle – beachtet und umgesetzt werden. Die Datenschutzbestimmungen sind solche Gesetze. Denn sie leiten sich aus den Persönlichkeitsrechten der Beschäftigten ab. Das Bundesverfassungsgericht hat ein Grundrecht auf Datenschutz mit Bezug auf Art. 2 und Art. 1 GG erkannt. Dieses Recht auf »informationelle Selbstbestimmung« beinhaltet das Recht der Einzelnen, über die Preisgabe und Verwendung ihrer Daten selbst zu bestimmen.
Der Beschäftigtendatenschutz wird ab 25.5.2018 in Art. 88 DS-GVO normiert. Diese regelt jedoch keine Details, sondern bestimmt, dass die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen können.
In § 26 BDSG n.F. wurde dies realisiert. Danach ist die Verarbeitung personenbezogener Daten nur zulässig, wenn
Weiter Beschäftigtenbegriff
Zu beachten hat der Personalrat, dass die Definition der Beschäftigten in § 26 Abs. 8 BDSG n.F. erweitert wurde. Dies sind nun
Nunmehr gelten also auch Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, als Beschäftigte.
Mitbestimmung
In den Bundesländern bestehen größtenteils ausdrückliche Mitbestimmungsrechte hinsichtlich der Einführung und Änderung von IT-Technik zur Verhaltens- und Leistungskontrolle. Nicht überall gibt es Beteiligungsrechte bei der Festlegung oder Veränderung des Umfangs der Verarbeitung personenbezogener Daten der Beschäftigten (näher siehe Tabelle).
ÜBERSICHT
Grundsätze der Verarbeitung von personenbezogenen Daten
Dienstvereinbarungen prüfen
In vielen Dienststellen gibt es Dienstvereinbarungen zum Datenschutz, seien es Rahmen-IT-Vereinbarungen oder spezielle Dienstvereinbarungen für bestimmte elektronische Systeme zur Datenverarbeitung. Diese sind nun daraufhin zu überprüfen, ob sie den Regeln der DSGVO und dem BDSG n.F. noch entsprechen. Auf Basis der DS-GVO und des BDSG n.F. – und demnächst der neuen Landesdatenschutzgesetze – gelten auch für bestehende Dienstvereinbarungen die Grundsätze der Verarbeitung von personenbezogenen Daten (siehe Übersicht auf dieser Seite).
Prüfpunkte für Dienstvereinbarungen
Die Dienstvereinbarungen zum Schutz personenbezogener Daten müssen den nachfolgenden Kriterien entsprechen.
► Transparenz
Die Beschäftigten müssen klar erkennen und nachvollziehen können, ob, von wem und zu welchem Zweck ihre personenbezogenen Daten erhoben werden.
► Erforderlichkeit
Die Verarbeitung von Beschäftigtendaten muss für Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nötig sein. Die Vereinbarung muss leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein.
► Verhältnismäßigkeitsgrundsatz
Die Verarbeitung ist erforderlich, wenn sie für Zwecke des Beschäftigungsverhältnisses geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen.
► Betroffenenrechte
Betroffenenrechte, die den Beschäftigten zukommen, dürfen durch die Dienstvereinbarung nicht begrenzt werden. »Mehr« Datenschutz
Beteiligung bei Verarbeitung personenbezogener Daten der Beschäftigten
Bund |
§ 75 Abs. 3 Nr. 17 |
Baden-Württemberg |
§ 79 Abs. 3 Nr. 12, 14, 16 16. Einführung, wesentliche Änderung oder wesentliche Ausweitung der Informations- und Kommunikationsnetze |
Bayern |
Art. 75a Abs. 1 Nr. 1, 2 |
Berlin |
§ 85 Abs. 1 Nr. 13 a und b sowie Abs. 2 Nr. 8, 9, 10 9. Einführung neuer Arbeitsmethoden im Rahmen der Informations- und Kommunikationstechnik sowie die Änderung oder Ausweitung dieser Arbeitsmethoden, wenn sie aufgrund ihres Umfanges einer Einführung vergleichbar sind, 10. Einführung betrieblicher Informations- und Kommunikationsnetze sowie die Änderung oder Ausweitung dieser Netze, wenn sie aufgrund ihres Umfanges einer Einführung vergleichbar sind |
Brandenburg |
§ 65 Nr. 1, 2 |
Bremen |
§ 52 |
Hamburg |
§ 87 Abs. 1 Nr. 32 |
Hessen |
§ 74 Abs. 1 Nr. 17 § 81 Abs. 1 und 2 (2) Der Personalrat hat mitzuwirken (…) Installation betrieblicher und Anschluss an öffentliche Informations- und Kommunikationsnetze |
Mecklenburg-Vorpommern |
§ 70 Abs. 1 Nr. 1, 2, 5 5. Einführung, wesentliche Änderung oder wesentliche Ausweitung betrieblicher Informations- und Kommunikationsnetze |
Niedersachsen |
§ 67 Abs. 1 Nr. 1, 2 |
Nordrhein-Westfalen |
§ 72 Abs. 2 Nr. 1, 2, 5 |
Rheinland-Pfalz |
§ 80 Abs. 2 Nr. 2, 3 |
Saarland |
§ 84 Nr. 1, 2, 6 6. Einführung, wesentliche Änderung oder wesentliche Ausweitung betrieblicher Informations- und Kommunikationsnetze |
Sachsen |
§ 81 Abs. 2 Nr. 12 |
Sachsen-Anhalt |
§ 69 Nr. 1, 2, 6 6. Einführung oder wesentliche Änderung betrieblicher Informations- und Kommunikationsnetze |
Schleswig-Holstein |
§ 51 |
Thüringen |
§ 74 Abs. 2 Nr. 11, § 75 Abs. 3 Nr. 1 § 80 |
BESCHÄFTIGUNGSKONTEXT
Nach Art. 88 DS-GVO können die Mitgliedstaaten spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten einführen, insbesondere durch Rechtsvorschriften oder durch Kollektivvereinbarungen. Solche Vorschriften oder Vereinbarungen können sich beziehen auf die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegter Pflichten. Es kann auch um Zwecke des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden gehen sowie um Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und um Zwecke der Beendigung des Beschäftigungsverhältnisses.
ist zulässig, ein Absenken des Schutzniveaus allerdings nicht.
HINWEIS
Ausgeschiedenen Beschäftigten steht der Anspruch auf Löschung ihrer Daten zu. Denn nach deren Ausscheiden hat sich der Zweck für die Erhebung erledigt.
► Datenverarbeitung durch Dritte
Es ist sicherzustellen, dass Dritte an den Inhalt der Dienstvereinbarung gebunden werden, indem sie vor Erteilen der Zugriffsberechtigung eine Verpflichtungserklärung unterschreiben. Diese Erklärung sollte der Dienstvereinbarung als Muster angefügt werden. Dazu müssen die Auskunftsrechte für Personalrat und für Beschäftigte gesichert werden.
Rechte der Beschäftigten
Die Rechte der Beschäftigten sind durch die DS-GVO erheblich ausgeweitet worden. Es geht dabei insbesondere um die Wahrung des Transparenzgebots und die Einhaltung der Informationspflichten des Arbeitgebers:
Die Dienststelle hat in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache über die gespeicherten Daten, die Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten, die Zwecke der Datenverarbeitung, die Empfänger der Daten, ggf. Übermittlung ins Ausland und die Speicherdauer zu informieren. Außerdem muss sie auf die Betroffenenrechte hinweisen und über Widerrufsrechte der Betroffenen aufklären.
Datenschutzmanagement
Neu hinzugekommen ist die Pflicht für die Dienststellen, ein Datenschutzmanagement einzuführen. Dieses stellt sicher, dass personenbezogene Daten und insbesondere »besondere Kategorien personenbezogener Daten« besonders geschützt werden7 und der Zugang beschränkt ist (Art. 9 DS-GVO). Besondere Kategorien sind:
PRAXISTIPP
Auslegungshilfen
Die DS-GVO ist komplex aufgebaut und enthält 99 Artikel und 173 Erwägungsgründe.
Die Erwägungsgründe sind den Artikeln vorangestellt und Auslegungshilfen. Für die Grundsätze der Verarbeitung von personenbezogenen Daten gibt es folgende Hilfen:
Grundsatz |
DS-GVO |
Erwägungsgründe |
Transparenz |
Art. 12 |
58, 59 |
Erforderlichkeit |
Art. 5 |
39 – 51 |
Verhältnismäßigkeit im Arbeitsverhältnis |
Art. 5 und Art. 88 |
39 – 51 und 155 |
Betroffenenrechte |
Art. 13 – Art. 23 |
65 – 73 |
Datenverarbeitung durch Dritte |
Art. 28 |
81 |
Datenschutzmanagement |
Art. 32 – Art. 34 |
83 – 88 |
Datenschutzfolgenabschätzung |
Art. 35 |
84, 89, 90 – 93 |
Der Personalrat hat darauf zu achten, dass die neuen Datenschutzregelungen eingehalten werden.
Datenschutzfolgeabschätzung
Die Datenschutz-Folgeabschätzung ersetzt die bisher im deutschen Datenschutzrecht bekannte Vorabkontrolle. Die weitergehende Datenschutz-Folgeabschätzung wurde zwingend eingeführt (Art. 35 DS-GVO, § 67 BDSG n.F.) und muss erfolgen
und
Diese Datenschutzfolgeabschätzung ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt ist, die Persönlichkeit der einzelnen Beschäftigten, einschließlich ihrer Fähigkeiten, Leistungen oder ihres Verhaltens zu bewerten.8 In diesen Fällen werden die dem Verfahren zur Verarbeitung personenbezogener Daten innewohnenden besonderen Risiken für die Rechte und Freiheiten der Beschäftigten geprüft. Genau wie die Vorabkontrolle dient die Datenschutz-Folgeabschätzung also der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.
Fazit
Die DS-GVO und das neue BDSG sind nicht nur formal neue Regeln, sie sind auch inhaltlich neu. Sie führen in den bestehenden Dienstvereinbarungen und Rahmendienstvereinbarungen zum Datenschutz oder IT-Bereich zu einem erheblichen Anpassungsbedarf. Datenschutzmanagement und Datenschutz-Folgeabschätzung sind bisher nicht bekannte Verfahren, die eingeführt werden müssen. Die Rechte der Beschäftigten sind erheblich ausgeweitet worden und müssen in den Dienstvereinbarungen abgebildet werden.