====== § 80 Thüringer Personalvertretungsgesetz ====== **§ 80 Thüringer Personalvertretungsgesetz** regelt die Einhaltung des [[:Datenschutz|Datenschutzes]] bei [[:Personalvertretung|Personalvertretungen]], insbesondere dem Personalrat. ===== Wortlaut ===== //**§ 80 Datenschutz **\\ \\ (1) Die Personalvertretung hat die Vorschriften über den Datenschutz einzuhalten und sich für deren Wahrung in der Dienststelle einzusetzen. Sie hat dazu einen Datenschutzbeauftragten zu bestellen; Personalvertretung und Dienststelle können im Einvernehmen einen gemeinsamen Datenschutzbeauftragten bestellen. \\ \\ (2) Die Ergebnisse von Kontrollen nach § 6 des Thüringer Datenschutzgesetzes durch den Landesbeauftragten für den Datenschutz sind, soweit sie die Zuständigkeit der Personalvertretung betreffen, der Personalvertretung in Kopie zur Verfügung zu stellen. // ===== Begründung der Änderung, die die Pflicht zur Bestellung eines Datenschutzbeauftragten regelt ===== //**Zu Nummer 27** \\ \\ Die Ergänzung eines neuen Satzes 2 in § 80 Abs. 1 ist bedingt durch die europarechtlichen Änderungen im Datenschutz. Gemäß Artikel 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung (ABI. L 119 vom 4. Mai 2016, S. 1-88) ist die Personalvertretung einer Dienststelle „Verantwortlicher", d.h. eine Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie hat daher gemäß § 13 Abs. 1 des Thüringer Datenschutzgesetzes (GVBI. 2018, 229) einen Datenschutzbeauftragten zu bestellen.\\ \\ Damit jedoch der Personalvertretung keine unüberwindbaren rechtlichen oder tatsächlichen Hürden bei der Besetzung des Amtes eines eigenen Datenschutzbeauftragten auferlegt werden, wird mit dem neuen Satz 2 die Möglichkeit gewährt, dass der behördliche Datenschutzbeauftragte der Dienststelle in Personalunion auch das Amt des Datenschutzbeauftragten der Personalvertretung übernimmt, wenn dazu Einvernehmen zwischen Dienststelle und Personalvertretung besteht. // (Quelle: [[http://www.parldok.thueringen.de/ParlDok/dokument/71206/68_sitzung_innen_und_kommunalausschuss.pdf#page=66|Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019, S. 66]]) ===== Erläuterung zu Absatz 1 Satz 2 - Pflicht zur Bestellung eines Datenschutzbeauftragten ===== Die Frage der datenschutzrechtlichen Einordnung von Betriebs- beziehungsweise Personalräten ist seit langem umstritten.((Als Überblick: [[https://www.delegedata.de/2019/03/betriebsrat-eigener-verantwortlicher-im-sinne-der-dsgvo/|Carlo Piltz:Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?]].)) Der Thüringer Landesgesetzgeber hat für die öffentlichen Stellen zunächst eine Entscheidung herbeigeführt. ==== Europarechtlicher Kontext ==== Die [[:DSGVO]] regelt in [[https://dejure.org/gesetze/DSGVO/37.html|Art. 37]] Abs. 1 DSGVO die Pflicht zur Bestellung von [[:Datenschutzbeauftragter|Datenschutzbeauftragten]] durch Verantwortliche((Die in der DSGVO immer wieder mit erwähnten Auftragsverarbeiter, haben für die Ausführungen hier keine Relevanz und werden daher zu Vereinfachung im Folgenden nicht weiter erwähnt)). Aus [[https://dejure.org/gesetze/DSGVO/38.html|Art. 38]] (Stellung des Datenschutzbeauftragten ergibt sich, dass die Existenz eines Datenschutzbeauftragten voraussetzt, dass es einen (oder mehrere) Verantwortliche gibt, die den Datenschutzbeauftragten bestellen, wodurch der Datenschutzbeauftragte ja erst Datenschutzbeauftragter wird. Das bedeutet nach der DSGVO: Nicht jeder Verantwortliche muss einen Datenschutzbeauftragten haben aber ein Datenschutzbeauftragter kann nur sein, wo es einen Verantwortlichen gibt. Art. 37 Abs. 4 DSGVO gibt (neben der Möglichkeit der freiwilligen Bestellung) den Mitgliedsstaaten die Möglichkeit, nach nationalem Recht weitere Verantwortliche zu benennen, die einen Datenschutzbeauftragten bestellen müssen. **Von dieser Öffnungsklausel hat der Freistaat Thüringen mit § 80 Abs. 1 S. 2 ThürPersVG Gebrauch gemacht.** Allerdings bestimmt sich die Frage, wer Verantwortlicher ist, allein nach [[https://dejure.org/gesetze/DSGVO/4.html|Art. 4]] Nr. 7 DSGVO ohne dass es insoweit eine Öffnungsklausel gibt. Daraus ist zu folgern, dass § 80 Abs. 1 S. 2 ThürPersVG europarechtlich nur zulässig ist, wenn ein Personalrat [[:Verantwortlicher]] im Sinne des [[https://dejure.org/gesetze/DSGVO/4.html|Art. 4]] Nr. 7 DSGVO ist, wovon der Landesgesetzgeber (siehe oben) wie auch der [[:TLfDI|Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit]]((Vgl. [[https://www.tlfdi.de/mam/tlfdi/datenschutz/taetigkeitsbericht/1._tatigkeitsbericht__des_tlfdi_zum_datenschutz_nach_der_ds-gvo.pdf|TLfDI: 1.Tätigkeitsbericht zum Datenschutznach der DS-GVO 2018, S. 66]].)) ausgehen. ==== Personalrat als Verantwortlicher ==== Dementsprechend muss ein Personalrat alle Pflichten erfüllen, die einem [[:Verantwortlicher|Verantwortlichen]] auferlegt sind. === Überblick über die Pflichten als Verantwortlicher === In Anlehnung an das Informationsblatt [[https://www.lda.bayern.de/media/muster_1_verein.pdf|Anforderungen der Datenschutz-Grundverordnung(DS-GVO) an kleine Unternehmen, Vereine, etc.]] des bayrischen Landesamtes für Datenschutzaufsicht lassen sich die Grundpflichten vorläufig wie folgt zusammenfassen: - Datenschutzbeauftragter? Muss nunmehr aufgrund § 80 Abs. 1 S. 2 ThürPersVG zwingend bestellt werden. - [[:Verzeichnis von Verarbeitungstätigkeiten]]? Muss aufgrund [[https://dejure.org/gesetze/DSGVO/30.html|Art. 30]] DSGVO erstellt werden, da ein Personalrat regelmäßig [[:personenbezogene Daten]] [[:Verarbeitung|verarbeitet]]. - Datenschutz-Verpflichtung der Beschäftigten? Ja, soweit ein Personalrat Beschäftigte hat. Im übertragenen Sinne muss das auch für die Mitglieder des Personalrats gelten. Ein Verweis auf [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+10&psml=bsthueprod.psml&max=true|§ 10]] ThürPersVG (Schweigepflicht) dürfte insoweit nicht ausreichen, da die Beachtung des Datenschutzes etwas anderes (wenn auch in mancher Hinsicht ähnliches) ist. - [[:betroffenenrechte#transparenzgebot_und_informationspflicht|Informationspflicht]]? Besteht. Insbesondere muss eine [[:betroffene Person]] die Möglichkeit haben sich mittels [[:Datenschutzerklärung|Datenschutzerklärungen]] über die (alle!) Verarbeitungen ihrer Daten zu informieren. Für eine Teil der Verarbeitungen ist eine Verlagerung der Pflicht auf die Dienststelle denkbar. - [[:Auskunftsrecht|Auskunftspflicht]]? Wenn eine betroffene Person ihr Auskunftsrecht geltend macht, muss gemäß [[https://dejure.org/gesetze/DSGVO/15.html|Art. 15]] DSGVO Auskunft erteilt werden; gegebenenfalls einschließlich des [[:Recht auf Kopie|Rechts auf Kopie]]. (Anmerkung: Auch für die anderen [[:Betroffenenrechte]] kann der Personalrat von der Betroffenen Person in Anspruch genommen werden.) - Löschen von Daten? Ja, personenbezogene Daten sind in der Regel zu löschen, wenn der Zweck ihrer Verarbeitung weggefallen ist. Gesetzliche oder sonst verbindliche Aufbewahrungsfristen sind zu beachten. - Sicherheit? Mindestens etablierte Standardmaßnahmen sind zu ergreifen. Bei sensiblen Daten, insbesondere wenn [[:besondere Kategorien personenbezogener Daten]] vorliegen, müssen zusätzliche Maßnahmen ergriffen werden. Die Dokumentation muss im [[:VVT]] (siehe oben 2.) erfolgen. Ein übergreifendes Konzept zur Datensicherheit ist wünschenswert. - [[:Auftragsverarbeitung]]? Ein Personalrat wird eher selten externe Dienstleister einsetzen mit denen er als Auftraggeber einen [[:AV-Vertrag]] schließen müsste. Im Verhältnis zur Dienststelle liegt mangels Weisungsrecht keine Auftragsverarbeitung vor. - [[:Gemeinsam Verantwortliche]]? Dienststelle und Personalrat werden bei vielen Verarbeitungen Gemeinsam Verantwortliche gemäß [[https://dejure.org/gesetze/DSGVO/26.html|Art. 26 DSGVO]] sein, indem sie "gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest[legen]". Beispielsweise werden in mitbestimmungspflichtigen Angelegenheiten regelmäßig personenbezogene Daten durch Dienststelle und Personalrat verarbeitet. Regelungsbedürftige Handlungsspielräume (vgl. z.B. [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+69a&psml=bsthueprod.psml&max=true|§ 69a]] Abs. 2 ThürPersVG und die allgemeinen Mindestinhalte bei gemeinsamer Verantwortlichkeit werden vereinbart werden müssen, damit die Datenverarbeitung insoweit zulässig ist. - Datenschutzverletzungen? Sind unter den Voraussetzungen des [[https://dejure.org/gesetze/DSGVO/33.html|Art. 33]] DSGVO gegenüber dem [[:TLfDI]] meldepflichtig und gegebenenfalls sind die betroffenen Personen gemäß [[https://dejure.org/gesetze/DSGVO/34.html|Art. 34]] DSGVO zu benachrichtigen. Eine Vereinbarung zwischen Personalrat und Dienststelle welche Datenschutzverletzungen wechselseitig(!) zu melden sind, erscheint höchst empfehlenswert. - Datenschutz-Folgenabschätzung? Unter den Voraussetzungen des [[https://dejure.org/gesetze/DSGVO/35.html|Art. 35]] DSGVO ist eine [[Datenschutz-Folgenabschätzung]] durchzuführen. Die konkreten Listen des TLfDI((Vgl. [[https://www.tlfdi.de/mam/tlfdi/datenschutz/dsfa_muss-liste_04_07_18.pdf|TLfDI:Vorläufige Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für die gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung von Verantwortlichen durchzuführen ist]], S. 4ff.)) beinhalten derzeit keine Punkte, wo eine Datenschutz-Folgenabschätzung durchzuführen ist. Allerdings kommen nach den allgemeinen Kriterien durchaus Verfahren in Betracht. === Verhältnis zur Dienststelle === Personalrat und Dienststelle müssen als Verantwortliche ihren wechselseiten Datenübermittlungen regeln. Soweit es gesetzliche oder anderweitig bindende übergeordnete Normen gibt, müssen diese benannt und gegebenenfalls konkretisiert werden. In vielen Fällen wird im Verhältnis von Personalrat und Dienststelle eine Gemeinsame Verantwortlichkeit gemäß [[https://dejure.org/gesetze/DSGVO/26.html|Art. 26]] DSGVO vorliegen, so dass es zwingend einer Vereinbarung bedarf (siehe oben). Zur Ausgestaltung siehe: [[https://www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-verantwortlichkeit-sinnvoll-gestalten/|Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg: Mehr Licht! – Gemeinsame Verantwortlichkeit sinnvoll gestalten]], wobei das dort verwendete Muster gekürzt werden kann und für eine kurzfristige Verwendung auch radikal gekürzt werden sollte. Denkbar sind auch Fälle, in denen sowohl die Dienststelle als auch der Personalrat [[:Verantwortlicher|Verantwortliche]] sind, ohne dass eine Gemeinsame Verantwortlichkeit vorliegt. In diesem Falle ist eine Datenübermittlung auf der übermittelnden Seite eine Form der Verarbeitung und auf empfangenden Seite eine Form der Erhebung gemäß [[https://dejure.org/gesetze/DSGVO/14.html|Art. 14]] DSGVO nicht bei der Betroffenen Person. Im Verhältnis zur Betroffenen Person müssen dann beide Verantwortliche ihre Pflichten erfüllen, dass bedeutet insbesondere, dass regelmäßig zwei Datenschutzerklärungen und Einträge in den jeweiligen [[:VVT]] notwendig sind. == Vorübergehende Regelung zwischen Dienststelle und Personalrat == Angesichts der Ungewissheiten sollte eine vorübergehende Regelung ins Auge gefasst werden, die in etwa wie folgt lauten könnte:\\ \\ // Vereinbarung zwischen\\ ...\\ (Dienststelle)\\ und \\ Personalrat der ...\\ (Personalrat)\\ \\ § 1 Datenschutzrechtliches Verhältnis\\ Die Parteien gehen davon aus, dass aufgrund § 80 Abs. 1 S. 2 ThürPersVG neben der Dienststelle auch der Personalrat als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO anzusehen ist.\\ \\ § 2 Austausch personenbezogener Daten\\ (1) Die Parteien sind sich darüber einig, dass wechselseitig die personenbezogenen Daten übermittelt werden, die zur Erfüllung der jeweiligen Pflichten insbesondere aus dem ThürPersVG erforderlich sind. Das betrifft insbesondere die notwendigen personenbezogenen Daten im Rahmen von mitbestimmungspflichtigen Angelegenheiten.\\ (2) Soweit die jeweiligen Rechtsgrundlagen oder sonstige verbindliche Regelungen Einschränkungen bei der Übermittlung personenbezogener Daten vorsehen, sind diese zusätzlich zum Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO zu beachten.\\ \\ § 3 Pflichten als Verantwortliche\\ (1) Dienststelle und Personalrat erfüllen jeweils für sich die Pflichten als Verantwortliche insbesondere bei der Sicherheit der Verarbeitung (Art. 32 DSGVO) und der Führung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO). Die Parteien bemühen sich dabei um wechselseitige Unterstützung. Die Dienstelle stellt dem Personalrat die erforderlichen Mittel zur Erfüllung seiner Pflichten zur Verfügung.\\ (2) Wenn Verarbeitungen vorliegen, bei denen sowohl die Dienststelle als auch der Personalrat Verantwortlicher sind, erfüllt grundsätzlich die Dienstelle die Rechte betroffener Personen gemäß der Artt. 13 ff. DSGVO. Der Personalrat ist jedoch zuständig, wenn die betroffene Person dies ausdrücklich wünscht oder sich eine solche Zuständigkeit aus der Stellung des Personalrates ergibt.\\ (3) Die Pflicht zur Meldung (Art. 33 DSGVO), Benachrichtigung (Art. 34 DSGVO) und Datenschutzfolgenabschätzung (Art. 35 DSGVO) obliegt der Dienstelle, ausgenommen die Verfahren, bei denen allein der Personalrat Verantwortlicher ist. Die Parteien informieren sich über die Erfüllung derartiger Pflichten jeweils unverzüglich.\\ \\ § 4 Weiterentwickung der Vereinbarung\\ Die Parteien verpflichten sich, gemeinsam die Verarbeitungen personenbezogener Daten zu identifizieren und einer spezielleren Regelung zuzuführen, bei denen das erforderlich ist.// == Weitere regelungsbedürftige Themen == * Bestellung Datenschutzbeauftragter * Vorgehen bei weiteren Gremien (siehe unten), insbesondere JAV und Assistentenrat === Verzeichnis von Verarbeitungstätigkeiten === Im [[:Verzeichnis von Verarbeitungstätigkeiten]] sind unter anderem folgende Bereiche, bei denen es sich teilweise um mehrere Verfahren handelt dürfte, zu dokumentieren: * Anhörungen * [[:Betriebliches Eingliederungsmanagement]] gemäß [[https://www.buzer.de/s1.htm?g=SGB%2BIX&a=167|§ 167]] Abs. 3 SGB IX * [[:Email]]-Kommunikation * Wahlen, vgl. § 23 ThürPersVG, insb. Aufstellung Wählerverzeichnis * Sitzungen, vgl. § 34 Abs. 2 ThürPersVG * Einladungen, inkl. Vorlagen * Protokolle * Zusammenarbeit mit anderen Gremien und Organisationen, §§ 34 Abs. 3, 36 (zu beachten: § 36 Abs. 1 S. 2), 40 ThürPersVG (Abs. 2 ist aber gegenstandslos) * Sprechstunden, § 43 ThürPersVG * Abrechnung/(Personal-)kosten, § 44 ThürPersVG * Schulungsveranstaltungen, § 46 ThürPersVG Hinweis: Pflicht zu VVT entfällt soweit die Verarbeitung vollständig "analog" durchgeführt wird gemäß [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=DSG+TH+%C2%A7+2&psml=bsthueprod.psml&max=true|§ 2]] Abs. 4 S. 2 ThürDSG, wonach kein VVT gemäß [[https://dejure.org/gesetze/DSGVO/30.html|Art. 30]] DSGVO zu führen ist, für "nichtautomatisierte Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen". === Weitere Gremien === Gegenwärtig nur überblicksartig der Hinweis auf weitere Gremien, die Beschäftigte vertreten: * Hauptpersonalrat (bzw. Stufenvertretungen gemäß [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+53&psml=bsthueprod.psml&max=true|§ 53]] ThürPersVG): Die Ausführungen zum Personalrat dürften analog gelten. Dass [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+54&psml=bsthueprod.psml&max=true|§ 54]] Abs. 1 ThürPersVG nicht auf § 80 verweist, dürfte eine planwidrige Lücke sein, da kein Grund ersichtlich ist, dass ein Hauptpersonalrat nicht ebenso für den Datenschutz verantwortlich ist, wie ein Personalrat. Es handelt sich um einen eigenen Verantwortlichen. Entsprechend kompliziert dürfte sich die datenschutzrechtliche Regelung und Dokumentation zum Beispiel von Verfahren vor der **Einigungsstelle** gemäß [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+72&psml=bsthueprod.psml&max=true|§ 72]] ThürPersVG unter Beteiligung der Stufenvertretung gestalten. * Jugend- und Auszubildendenvertretung(JAV): Gemäß [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+57&psml=bsthueprod.psml&max=true|§ 57]] ThürPersVG eng an Personalrat gekoppelt; vermutlich kein eigener Verantwortlicher sondern dem Personalrat zuzurechnen. * Wirtschaftsausschuss: Soweit gemäß [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+68a&psml=bsthueprod.psml&max=true|§ 68a]] ThürPersVG ein Wirtschaftsausschuss gebildet werden kann und der Personalrat dieses verlangt, wird es sich faktisch um eine Untergliederung des Personalrats handeln. Damit handelt es sich entsprechend JAV nicht um einen eigenen Verantwortlichen. * Assistentenrat ([[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+88&psml=bsthueprod.psml&max=true|§ 88 Nr. 5]] ThürPersVG): Siehe JAV. * Schwerbehindertenvertretung ([[https://www.buzer.de/s1.htm?g=SGB%2BIX&a=176-183|§§ 176-183]]SGB IX):Auch hier könnte die enge Bindung an den Personalrat (Vgl. z.B. [[https://www.gesetze-im-internet.de/sgb_9_2018/__178.html|§ 178]] Abs. 4 SGB IX dafür sprechen, dass es sich nicht um einen eigenen Verantwortlichen handelt. Die gegenteilige Auffassung dürfte aber ebenso gut vertretbar sein abgesehen davon, dass die daraus resultierenden Pflichten vermutlich jede Schwerbehindertenvertretung überfordern dürften. ===== Weblinks ===== * [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+80&psml=bsthueprod.psml&max=true|Quelle Wortlaut]] * [[http://www.parldok.thueringen.de/ParlDok/dokument/71206/68_sitzung_innen_und_kommunalausschuss.pdf#page=66|Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019]] {{tag>Artikel ThuerDSG}}