DATENSCHUTZ – Möglichkeiten des Personalrats

Posted on Posted in Arbeitsrecht, Datenschutz, Digitalisierung

Die neuen Regeln zum Datenschutz bringen mehr Pflichten für Dienststellen und mehr Rechte für die Beschäftigten.

WORUM GEHT ES?

1. Die neuen Datenschutzregeln bringen formal und inhaltlich weitgehende Veränderungen mit sich.

2. Die Rechte der Beschäftigten sind zu deren Schutz erheblich ausgeweitet worden.

3. Für bestehende Dienstvereinbarungen besteht nun ein hoher Anpassungsbedarf.

Mit den neuen europäischen Regelungen zum Datenschutz (DS-GVO) und der Überarbeitung des Bundesdatenschutzgesetzes (BDSG n.F.) hat der Schutz der personenbezogenen Daten einen wesentlich höheren Stellenwert bekommen. Dem können sich auch Personalräte nicht entziehen. Denn in allen Dienststellen werden Daten gesammelt, beginnend an der Eingangstür (per Codekarte), über Telefonanlagen, E-Mails und schließlich bei Internetaktivitäten.

Überwachungsaufgaben

Datenschutz ist in § 68 BPersVG nicht ausdrücklich als Aufgabe des Personalrats erwähnt. Aber nach § 68 Abs. 1 Nr. 2 BPersVG hat der Personalrat darüber zu wachen, dass die zugunsten der Beschäftigten geltenden Gesetze – von der Dienststelle – beachtet und umgesetzt werden. Die Datenschutzbestimmungen sind solche Gesetze. Denn sie leiten sich aus den Persönlichkeitsrechten der Beschäftigten ab. Das Bundesverfassungsgericht hat ein Grundrecht auf Datenschutz mit Bezug auf Art. 2 und Art. 1 GG erkannt. Dieses Recht auf »informationelle Selbstbestimmung« beinhaltet das Recht der Einzelnen, über die Preisgabe und Verwendung ihrer Daten selbst zu bestimmen.

Der Beschäftigtendatenschutz wird ab 25.5.2018 in Art. 88 DS-GVO normiert. Diese regelt jedoch keine Details, sondern bestimmt, dass die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen können.

In § 26 BDSG n.F. wurde dies realisiert. Danach ist die Verarbeitung personenbezogener Daten nur zulässig, wenn

sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist
oder wegen gesetzlicher Pflichten
oder aus tarifvertraglichen Regelungen
oder aus Dienstvereinbarungen,
ebenso zur Aufdeckung von Straftaten nach Abwägung schutzwürdiger Interessen der Beschäftigten gegenüber Art und Ausmaß des Anlasses.

Weiter Beschäftigtenbegriff

Zu beachten hat der Personalrat, dass die Definition der Beschäftigten in § 26 Abs. 8 BDSG n.F. erweitert wurde. Dies sind nun

Arbeitnehmerinnen und Arbeitnehmer, einschließlich der
Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
zu ihrer Berufsbildung Beschäftigte,
Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
Beamtinnen und Beamte,
Richterinnen und Richter,
Soldatinnen und Soldaten,
Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie
Personen, deren Beschäftigungsverhältnis beendet ist.

Nunmehr gelten also auch Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, als Beschäftigte.

Mitbestimmung

In den Bundesländern bestehen größtenteils ausdrückliche Mitbestimmungsrechte hinsichtlich der Einführung und Änderung von IT-Technik zur Verhaltens- und Leistungskontrolle. Nicht überall gibt es Beteiligungsrechte bei der Festlegung oder Veränderung des Umfangs der Verarbeitung personenbezogener Daten der Beschäftigten (näher siehe Tabelle).

ÜBERSICHT

Grundsätze der Verarbeitung von personenbezogenen Daten

Rechtmäßigkeit (Basis für die Verarbeitung)
Transparenz (was ist wo über die Person gespeichert, Auskunft)
Zweckbindung (nur für eindeutige und legitime Zwecke)
Datenminimierung (so wenig wie möglich, so viel wie unbedingt nötig)
Richtigkeit (nur sachlich richtige Daten, die auf dem neuesten Stand sind)
Integrität (Schutz vor unbefugter und unrechtmäßiger Verarbeitung, vor Verlust, unabsichtlicher Zerstörung, Schädigung)
Speicherzeit (Begrenzung der Dauer auf erforderliche Zeit)

Dienstvereinbarungen prüfen

In vielen Dienststellen gibt es Dienstvereinbarungen zum Datenschutz, seien es Rahmen-IT-Vereinbarungen oder spezielle Dienstvereinbarungen für bestimmte elektronische Systeme zur Datenverarbeitung. Diese sind nun daraufhin zu überprüfen, ob sie den Regeln der DSGVO und dem BDSG n.F. noch entsprechen. Auf Basis der DS-GVO und des BDSG n.F. – und demnächst der neuen Landesdatenschutzgesetze – gelten auch für bestehende Dienstvereinbarungen die Grundsätze der Verarbeitung von personenbezogenen Daten (siehe Übersicht auf dieser Seite).

Prüfpunkte für Dienstvereinbarungen

Die Dienstvereinbarungen zum Schutz personenbezogener Daten müssen den nachfolgenden Kriterien entsprechen.

► Transparenz

Die Beschäftigten müssen klar erkennen und nachvollziehen können, ob, von wem und zu welchem Zweck ihre personenbezogenen Daten erhoben werden.

► Erforderlichkeit

Die Verarbeitung von Beschäftigtendaten muss für Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses nötig sein. Die Vereinbarung muss leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein.

► Verhältnismäßigkeitsgrundsatz

Die Verarbeitung ist erforderlich, wenn sie für Zwecke des Beschäftigungsverhältnisses geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen.

► Betroffenenrechte

Betroffenenrechte, die den Beschäftigten zukommen, dürfen durch die Dienstvereinbarung nicht begrenzt werden. »Mehr« Datenschutz

Beteiligung bei Verarbeitung personenbezogener Daten der Beschäftigten

Bund

§ 75 Abs. 3 Nr. 17

Baden-Württemberg

§ 79 Abs. 3 Nr. 12, 14, 16

16. Einführung, wesentliche Änderung oder wesentliche Ausweitung der Informations- und Kommunikationsnetze

Bayern

Art. 75a Abs. 1 Nr. 1, 2

Berlin

§ 85 Abs. 1 Nr. 13 a und b sowie Abs. 2 Nr. 8, 9, 10

9. Einführung neuer Arbeitsmethoden im Rahmen der Informations- und Kommunikationstechnik sowie die Änderung oder Ausweitung dieser Arbeitsmethoden, wenn sie aufgrund ihres Umfanges einer Einführung vergleichbar sind,

10. Einführung betrieblicher Informations- und Kommunikationsnetze sowie die Änderung oder Ausweitung dieser Netze, wenn sie aufgrund ihres Umfanges einer Einführung vergleichbar sind

Brandenburg

§ 65 Nr. 1, 2

Bremen

§ 52

Hamburg

§ 87 Abs. 1 Nr. 32

Hessen

§ 74 Abs. 1 Nr. 17

§ 81 Abs. 1 und 2

(2) Der Personalrat hat mitzuwirken (…) Installation betrieblicher und Anschluss an öffentliche Informations- und Kommunikationsnetze

Mecklenburg-Vorpommern

§ 70 Abs. 1 Nr. 1, 2, 5

5. Einführung, wesentliche Änderung oder wesentliche Ausweitung betrieblicher Informations- und Kommunikationsnetze

Niedersachsen

§ 67 Abs. 1 Nr. 1, 2

Nordrhein-Westfalen

§ 72 Abs. 2 Nr. 1, 2, 5

Rheinland-Pfalz

§ 80 Abs. 2 Nr. 2, 3

Saarland

§ 84 Nr. 1, 2, 6

6. Einführung, wesentliche Änderung oder wesentliche Ausweitung betrieblicher Informations- und Kommunikationsnetze

Sachsen

§ 81 Abs. 2 Nr. 12

Sachsen-Anhalt

§ 69 Nr. 1, 2, 6

6. Einführung oder wesentliche Änderung betrieblicher Informations- und Kommunikationsnetze

Schleswig-Holstein

§ 51

Thüringen

§ 74 Abs. 2 Nr. 11,

§ 75 Abs. 3 Nr. 1

§ 80

BESCHÄFTIGUNGSKONTEXT

Nach Art. 88 DS-GVO können die Mitgliedstaaten spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten einführen, insbesondere durch Rechtsvorschriften oder durch Kollektivvereinbarungen. Solche Vorschriften oder Vereinbarungen können sich beziehen auf die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegter Pflichten. Es kann auch um Zwecke des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden gehen sowie um Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und um Zwecke der Beendigung des Beschäftigungsverhältnisses.

ist zulässig, ein Absenken des Schutzniveaus allerdings nicht.

HINWEIS

Ausgeschiedenen Beschäftigten steht der Anspruch auf Löschung ihrer Daten zu. Denn nach deren Ausscheiden hat sich der Zweck für die Erhebung erledigt.

► Datenverarbeitung durch Dritte

Es ist sicherzustellen, dass Dritte an den Inhalt der Dienstvereinbarung gebunden werden, indem sie vor Erteilen der Zugriffsberechtigung eine Verpflichtungserklärung unterschreiben. Diese Erklärung sollte der Dienstvereinbarung als Muster angefügt werden. Dazu müssen die Auskunftsrechte für Personalrat und für Beschäftigte gesichert werden.

Rechte der Beschäftigten

Die Rechte der Beschäftigten sind durch die DS-GVO erheblich ausgeweitet worden. Es geht dabei insbesondere um die Wahrung des Transparenzgebots und die Einhaltung der Informationspflichten des Arbeitgebers:

Auskunftsrecht (Art. 15 DS-GVO)
Recht zur Datenberichtigung (Art. 16 DS-GVO)
Recht auf Löschung personenbezogener Daten (Art. 17 DS-GVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)
Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
Widerspruchsrecht (Art. 21 DS-GVO)
Recht auf »Vergessenwerden« (Art. 17 DS-GVO)

Die Dienststelle hat in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache über die gespeicherten Daten, die Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten, die Zwecke der Datenverarbeitung, die Empfänger der Daten, ggf. Übermittlung ins Ausland und die Speicherdauer zu informieren. Außerdem muss sie auf die Betroffenenrechte hinweisen und über Widerrufsrechte der Betroffenen aufklären.

Datenschutzmanagement

Neu hinzugekommen ist die Pflicht für die Dienststellen, ein Datenschutzmanagement einzuführen. Dieses stellt sicher, dass personenbezogene Daten und insbesondere »besondere Kategorien personenbezogener Daten« besonders geschützt werden7 und der Zugang beschränkt ist (Art. 9 DS-GVO). Besondere Kategorien sind:

Daten zur rassischen und ethnischen Herkunft,
politische Meinung,
religiöse oder weltanschauliche Überzeugung,
Gewerkschaftszugehörigkeit,
genetische und biometrische Daten,
gesundheitliche Daten und
Daten zum Sexualleben oder der sexuellen Orientierung.

PRAXISTIPP

Auslegungshilfen

Die DS-GVO ist komplex aufgebaut und enthält 99 Artikel und 173 Erwägungsgründe.

Die Erwägungsgründe sind den Artikeln vorangestellt und Auslegungshilfen. Für die Grundsätze der Verarbeitung von personenbezogenen Daten gibt es folgende Hilfen:

Grundsatz

DS-GVO

Erwägungsgründe

Transparenz

Art. 12

58, 59

Erforderlichkeit

Art. 5

39 – 51

Verhältnismäßigkeit im Arbeitsverhältnis

Art. 5 und Art. 88

39 – 51 und 155

Betroffenenrechte

Art. 13 – Art. 23

65 – 73

Datenverarbeitung durch Dritte

Art. 28

81

Datenschutzmanagement

Art. 32 – Art. 34

83 – 88

Datenschutzfolgenabschätzung

Art. 35

84, 89, 90 – 93

Der Personalrat hat darauf zu achten, dass die neuen Datenschutzregelungen eingehalten werden.

Datenschutzfolgeabschätzung

Die Datenschutz-Folgeabschätzung ersetzt die bisher im deutschen Datenschutzrecht bekannte Vorabkontrolle. Die weitergehende Datenschutz-Folgeabschätzung wurde zwingend eingeführt (Art. 35 DS-GVO, § 67 BDSG n.F.) und muss erfolgen

bei der Verwendung neuer Technologien

und

bei Gefahren für Grundrechte der Beschäftigten wegen
o der Art,
o des Umfangs,
o der Umstände und
o der Zwecke der Verarbeitung.

Diese Datenschutzfolgeabschätzung ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt ist, die Persönlichkeit der einzelnen Beschäftigten, einschließlich ihrer Fähigkeiten, Leistungen oder ihres Verhaltens zu bewerten.8 In diesen Fällen werden die dem Verfahren zur Verarbeitung personenbezogener Daten innewohnenden besonderen Risiken für die Rechte und Freiheiten der Beschäftigten geprüft. Genau wie die Vorabkontrolle dient die Datenschutz-Folgeabschätzung also der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.

Fazit

Die DS-GVO und das neue BDSG sind nicht nur formal neue Regeln, sie sind auch inhaltlich neu. Sie führen in den bestehenden Dienstvereinbarungen und Rahmendienstvereinbarungen zum Datenschutz oder IT-Bereich zu einem erheblichen Anpassungsbedarf. Datenschutzmanagement und Datenschutz-Folgeabschätzung sind bisher nicht bekannte Verfahren, die eingeführt werden müssen. Die Rechte der Beschäftigten sind erheblich ausgeweitet worden und müssen in den Dienstvereinbarungen abgebildet werden.