§ 80 Thüringer Personalvertretungsgesetz

§ 80 Thüringer Personalvertretungsgesetz regelt die Einhaltung des Datenschutzes bei Personalvertretungen, insbesondere dem Personalrat.

§ 80 Datenschutz

(1) Die Personalvertretung hat die Vorschriften über den Datenschutz einzuhalten und sich für deren Wahrung in der Dienststelle einzusetzen. Sie hat dazu einen Datenschutzbeauftragten zu bestellen; Personalvertretung und Dienststelle können im Einvernehmen einen gemeinsamen Datenschutzbeauftragten bestellen.

(2) Die Ergebnisse von Kontrollen nach § 6 des Thüringer Datenschutzgesetzes durch den Landesbeauftragten für den Datenschutz sind, soweit sie die Zuständigkeit der Personalvertretung betreffen, der Personalvertretung in Kopie zur Verfügung zu stellen.

Zu Nummer 27

Die Ergänzung eines neuen Satzes 2 in § 80 Abs. 1 ist bedingt durch die europarechtlichen Änderungen im Datenschutz. Gemäß Artikel 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung (ABI. L 119 vom 4. Mai 2016, S. 1-88) ist die Personalvertretung einer Dienststelle „Verantwortlicher„, d.h. eine Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie hat daher gemäß § 13 Abs. 1 des Thüringer Datenschutzgesetzes (GVBI. 2018, 229) einen Datenschutzbeauftragten zu bestellen.

Damit jedoch der Personalvertretung keine unüberwindbaren rechtlichen oder tatsächlichen Hürden bei der Besetzung des Amtes eines eigenen Datenschutzbeauftragten auferlegt werden, wird mit dem neuen Satz 2 die Möglichkeit gewährt, dass der behördliche Datenschutzbeauftragte der Dienststelle in Personalunion auch das Amt des Datenschutzbeauftragten der Personalvertretung übernimmt, wenn dazu Einvernehmen zwischen Dienststelle und Personalvertretung besteht.

(Quelle: Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019, S. 66)

Die Frage der datenschutzrechtlichen Einordnung von Betriebs- beziehungsweise Personalräten ist seit langem umstritten.¹⁾ Der Thüringer Landesgesetzgeber hat für die öffentlichen Stellen zunächst eine Entscheidung herbeigeführt.

Die DSGVO regelt in Art. 37 Abs. 1 DSGVO die Pflicht zur Bestellung von Datenschutzbeauftragten durch Verantwortliche²⁾. Aus Art. 38 (Stellung des Datenschutzbeauftragten ergibt sich, dass die Existenz eines Datenschutzbeauftragten voraussetzt, dass es einen (oder mehrere) Verantwortliche gibt, die den Datenschutzbeauftragten bestellen, wodurch der Datenschutzbeauftragte ja erst Datenschutzbeauftragter wird. Das bedeutet nach der DSGVO: Nicht jeder Verantwortliche muss einen Datenschutzbeauftragten haben aber ein Datenschutzbeauftragter kann nur sein, wo es einen Verantwortlichen gibt.

Art. 37 Abs. 4 DSGVO gibt (neben der Möglichkeit der freiwilligen Bestellung) den Mitgliedsstaaten die Möglichkeit, nach nationalem Recht weitere Verantwortliche zu benennen, die einen Datenschutzbeauftragten bestellen müssen. Von dieser Öffnungsklausel hat der Freistaat Thüringen mit § 80 Abs. 1 S. 2 ThürPersVG Gebrauch gemacht.

Allerdings bestimmt sich die Frage, wer Verantwortlicher ist, allein nach Art. 4 Nr. 7 DSGVO ohne dass es insoweit eine Öffnungsklausel gibt.

Daraus ist zu folgern, dass § 80 Abs. 1 S. 2 ThürPersVG europarechtlich nur zulässig ist, wenn ein Personalrat Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist, wovon der Landesgesetzgeber (siehe oben) wie auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit³⁾ ausgehen.

Dementsprechend muss ein Personalrat alle Pflichten erfüllen, die einem Verantwortlichen auferlegt sind.

In Anlehnung an das Informationsblatt Anforderungen der Datenschutz-Grundverordnung(DS-GVO) an kleine Unternehmen, Vereine, etc. des bayrischen Landesamtes für Datenschutzaufsicht lassen sich die Grundpflichten vorläufig wie folgt zusammenfassen:

1. Datenschutzbeauftragter? Muss nunmehr aufgrund § 80 Abs. 1 S. 2 ThürPersVG zwingend bestellt werden.
2. Verzeichnis von Verarbeitungstätigkeiten? Muss aufgrund Art. 30 DSGVO erstellt werden, da ein Personalrat regelmäßig Personenbezogene Daten verarbeitet.
3. Datenschutz-Verpflichtung der Beschäftigten? Ja, soweit ein Personalrat Beschäftigte hat. Im übertragenen Sinne muss das auch für die Mitglieder des Personalrats gelten. Ein Verweis auf § 10 ThürPersVG (Schweigepflicht) dürfte insoweit nicht ausreichen, da die Beachtung des Datenschutzes etwas anderes (wenn auch in mancher Hinsicht ähnliches) ist.
4. Informationspflicht? Besteht. Insbesondere muss eine Betroffene Person die Möglichkeit haben sich mittels Datenschutzerklärungen über die (alle!) Verarbeitungen ihrer Daten zu informieren. Für eine Teil der Verarbeitungen ist eine Verlagerung der Pflicht auf die Dienststelle denkbar.
5. Auskunftspflicht? Wenn eine betroffene Person ihr Auskunftsrecht geltend macht, muss gemäß Art. 15 DSGVO Auskunft erteilt werden; gegebenenfalls einschließlich des Rechts auf Kopie. (Anmerkung: Auch für die anderen Betroffenenrechte kann der Personalrat von der Betroffenen Person in Anspruch genommen werden.)
6. Löschen von Daten? Ja, personenbezogene Daten sind in der Regel zu löschen, wenn der Zweck ihrer Verarbeitung weggefallen ist. Gesetzliche oder sonst verbindliche Aufbewahrungsfristen sind zu beachten.
7. Sicherheit? Mindestens etablierte Standardmaßnahmen sind zu ergreifen. Bei sensiblen Daten, insbesondere wenn Besondere Kategorien personenbezogener Daten vorliegen, müssen zusätzliche Maßnahmen ergriffen werden. Die Dokumentation muss im VVT (siehe oben 2.) erfolgen. Ein übergreifendes Konzept zur Datensicherheit ist wünschenswert.
8. Auftragsverarbeitung? Ein Personalrat wird eher selten externe Dienstleister einsetzen mit denen er als Auftraggeber einen AV-Vertrag schließen müsste. Im Verhältnis zur Dienststelle liegt mangels Weisungsrecht keine Auftragsverarbeitung vor.
9. Gemeinsam Verantwortliche? Dienststelle und Personalrat werden bei vielen Verarbeitungen Gemeinsam Verantwortliche gemäß Art. 26 DSGVO sein, indem sie „gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest[legen]“. Beispielsweise werden in mitbestimmungspflichtigen Angelegenheiten regelmäßig personenbezogene Daten durch Dienststelle und Personalrat verarbeitet. Regelungsbedürftige Handlungsspielräume (vgl. z.B. § 69a Abs. 2 ThürPersVG und die allgemeinen Mindestinhalte bei gemeinsamer Verantwortlichkeit werden vereinbart werden müssen, damit die Datenverarbeitung insoweit zulässig ist.
10. Datenschutzverletzungen? Sind unter den Voraussetzungen des Art. 33 DSGVO gegenüber dem Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit meldepflichtig und gegebenenfalls sind die betroffenen Personen gemäß Art. 34 DSGVO zu benachrichtigen. Eine Vereinbarung zwischen Personalrat und Dienststelle welche Datenschutzverletzungen wechselseitig(!) zu melden sind, erscheint höchst empfehlenswert.
11. Datenschutz-Folgenabschätzung? Unter den Voraussetzungen des Art. 35 DSGVO ist eine Datenschutz-Folgenabschätzung durchzuführen. Die konkreten Listen des TLfDI⁴⁾ beinhalten derzeit keine Punkte, wo eine Datenschutz-Folgenabschätzung durchzuführen ist. Allerdings kommen nach den allgemeinen Kriterien durchaus Verfahren in Betracht.

Personalrat und Dienststelle müssen als Verantwortliche ihren wechselseiten Datenübermittlungen regeln. Soweit es gesetzliche oder anderweitig bindende übergeordnete Normen gibt, müssen diese benannt und gegebenenfalls konkretisiert werden.

In vielen Fällen wird im Verhältnis von Personalrat und Dienststelle eine Gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vorliegen, so dass es zwingend einer Vereinbarung bedarf (siehe oben). Zur Ausgestaltung siehe: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg: Mehr Licht! – Gemeinsame Verantwortlichkeit sinnvoll gestalten, wobei das dort verwendete Muster gekürzt werden kann und für eine kurzfristige Verwendung auch radikal gekürzt werden sollte.

Denkbar sind auch Fälle, in denen sowohl die Dienststelle als auch der Personalrat Verantwortliche sind, ohne dass eine Gemeinsame Verantwortlichkeit vorliegt. In diesem Falle ist eine Datenübermittlung auf der übermittelnden Seite eine Form der Verarbeitung und auf empfangenden Seite eine Form der Erhebung gemäß Art. 14 DSGVO nicht bei der Betroffenen Person. Im Verhältnis zur Betroffenen Person müssen dann beide Verantwortliche ihre Pflichten erfüllen, dass bedeutet insbesondere, dass regelmäßig zwei Datenschutzerklärungen und Einträge in den jeweiligen VVT notwendig sind.

Angesichts der Ungewissheiten sollte eine vorübergehende Regelung ins Auge gefasst werden, die in etwa wie folgt lauten könnte:

Vereinbarung zwischen
…
(Dienststelle)
und
Personalrat der …
(Personalrat)

§ 1 Datenschutzrechtliches Verhältnis
Die Parteien gehen davon aus, dass aufgrund § 80 Abs. 1 S. 2 ThürPersVG neben der Dienststelle auch der Personalrat als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO anzusehen ist.

§ 2 Austausch personenbezogener Daten
(1) Die Parteien sind sich darüber einig, dass wechselseitig die personenbezogenen Daten übermittelt werden, die zur Erfüllung der jeweiligen Pflichten insbesondere aus dem ThürPersVG erforderlich sind. Das betrifft insbesondere die notwendigen personenbezogenen Daten im Rahmen von mitbestimmungspflichtigen Angelegenheiten.
(2) Soweit die jeweiligen Rechtsgrundlagen oder sonstige verbindliche Regelungen Einschränkungen bei der Übermittlung personenbezogener Daten vorsehen, sind diese zusätzlich zum Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO zu beachten.

§ 3 Pflichten als Verantwortliche
(1) Dienststelle und Personalrat erfüllen jeweils für sich die Pflichten als Verantwortliche insbesondere bei der Sicherheit der Verarbeitung (Art. 32 DSGVO) und der Führung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO). Die Parteien bemühen sich dabei um wechselseitige Unterstützung. Die Dienstelle stellt dem Personalrat die erforderlichen Mittel zur Erfüllung seiner Pflichten zur Verfügung.
(2) Wenn Verarbeitungen vorliegen, bei denen sowohl die Dienststelle als auch der Personalrat Verantwortlicher sind, erfüllt grundsätzlich die Dienstelle die Rechte betroffener Personen gemäß der Artt. 13 ff. DSGVO. Der Personalrat ist jedoch zuständig, wenn die betroffene Person dies ausdrücklich wünscht oder sich eine solche Zuständigkeit aus der Stellung des Personalrates ergibt.
(3) Die Pflicht zur Meldung (Art. 33 DSGVO), Benachrichtigung (Art. 34 DSGVO) und Datenschutzfolgenabschätzung (Art. 35 DSGVO) obliegt der Dienstelle, ausgenommen die Verfahren, bei denen allein der Personalrat Verantwortlicher ist. Die Parteien informieren sich über die Erfüllung derartiger Pflichten jeweils unverzüglich.

§ 4 Weiterentwickung der Vereinbarung
Die Parteien verpflichten sich, gemeinsam die Verarbeitungen personenbezogener Daten zu identifizieren und einer spezielleren Regelung zuzuführen, bei denen das erforderlich ist.

• Bestellung Datenschutzbeauftragter
• Vorgehen bei weiteren Gremien (siehe unten), insbesondere JAV und Assistentenrat

Im Verzeichnis von Verarbeitungstätigkeiten sind unter anderem folgende Bereiche, bei denen es sich teilweise um mehrere Verfahren handelt dürfte, zu dokumentieren:

• Anhörungen
• Betriebliches Eingliederungsmanagement gemäß § 167 Abs. 3 SGB IX
• Email-Kommunikation
• Wahlen, vgl. § 23 ThürPersVG, insb. Aufstellung Wählerverzeichnis
• Sitzungen, vgl. § 34 Abs. 2 ThürPersVG
  • Einladungen, inkl. Vorlagen
  • Protokolle
• Zusammenarbeit mit anderen Gremien und Organisationen, §§ 34 Abs. 3, 36 (zu beachten: § 36 Abs. 1 S. 2), 40 ThürPersVG (Abs. 2 ist aber gegenstandslos)
• Sprechstunden, § 43 ThürPersVG
• Abrechnung/(Personal-)kosten, § 44 ThürPersVG
• Schulungsveranstaltungen, § 46 ThürPersVG

Hinweis: Pflicht zu VVT entfällt soweit die Verarbeitung vollständig „analog“ durchgeführt wird gemäß § 2 Abs. 4 S. 2 ThürDSG, wonach kein VVT gemäß Art. 30 DSGVO zu führen ist, für „nichtautomatisierte Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Gegenwärtig nur überblicksartig der Hinweis auf weitere Gremien, die Beschäftigte vertreten:

• Hauptpersonalrat (bzw. Stufenvertretungen gemäß § 53 ThürPersVG): Die Ausführungen zum Personalrat dürften analog gelten. Dass § 54 Abs. 1 ThürPersVG nicht auf § 80 verweist, dürfte eine planwidrige Lücke sein, da kein Grund ersichtlich ist, dass ein Hauptpersonalrat nicht ebenso für den Datenschutz verantwortlich ist, wie ein Personalrat. Es handelt sich um einen eigenen Verantwortlichen. Entsprechend kompliziert dürfte sich die datenschutzrechtliche Regelung und Dokumentation zum Beispiel von Verfahren vor der Einigungsstelle gemäß § 72 ThürPersVG unter Beteiligung der Stufenvertretung gestalten.
• Jugend- und Auszubildendenvertretung(JAV): Gemäß § 57 ThürPersVG eng an Personalrat gekoppelt; vermutlich kein eigener Verantwortlicher sondern dem Personalrat zuzurechnen.
• Wirtschaftsausschuss: Soweit gemäß § 68a ThürPersVG ein Wirtschaftsausschuss gebildet werden kann und der Personalrat dieses verlangt, wird es sich faktisch um eine Untergliederung des Personalrats handeln. Damit handelt es sich entsprechend JAV nicht um einen eigenen Verantwortlichen.
• Assistentenrat (§ 88 Nr. 5 ThürPersVG): Siehe JAV.
• Schwerbehindertenvertretung (§§ 176-183SGB IX):Auch hier könnte die enge Bindung an den Personalrat (Vgl. z.B. § 178 Abs. 4 SGB IX dafür sprechen, dass es sich nicht um einen eigenen Verantwortlichen handelt. Die gegenteilige Auffassung dürfte aber ebenso gut vertretbar sein abgesehen davon, dass die daraus resultierenden Pflichten vermutlich jede Schwerbehindertenvertretung überfordern dürften.

• Quelle Wortlaut
• Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019