Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
thuerdsg:80_thuerpersvg [2019/06/26 23:04] – [Überblick über die Pflichten als Verantwortlicher] Adminthuerdsg:80_thuerpersvg [2020/12/15 22:01] (aktuell) Admin
Zeile 1: Zeile 1:
- <WRAP center round alert 60%> <font inherit/inherit;;#e74c3c;;inherit>**Dieser Artikel gibt einen <fs x-large>Vorläufigen Stand</fs> wieder und bedarf noch eines weiteren Ausbaus.**</font> </WRAP> 
  
 ====== § 80 Thüringer Personalvertretungsgesetz ====== ====== § 80 Thüringer Personalvertretungsgesetz ======
  
 +**§ 80 Thüringer Personalvertretungsgesetz** regelt die Einhaltung des [[:Datenschutz|Datenschutzes]] bei [[:Personalvertretung|Personalvertretungen]], insbesondere dem Personalrat.
 ===== Wortlaut ===== ===== Wortlaut =====
  
Zeile 26: Zeile 26:
 ===== Erläuterung zu Absatz 1 Satz 2 - Pflicht zur Bestellung eines Datenschutzbeauftragten ===== ===== Erläuterung zu Absatz 1 Satz 2 - Pflicht zur Bestellung eines Datenschutzbeauftragten =====
  
-Die Frage der datenschutzrechtlichen Einordnung von Betriebs- beziehungsweise Personalräten ist seit langem umstritten. Der Thüringer Landesgesetzgeber hat für die öffentlichen Stellen zunächst eine Entscheidung herbeigeführt.+Die Frage der datenschutzrechtlichen Einordnung von Betriebs- beziehungsweise Personalräten ist seit langem umstritten.((Als Überblick: [[https://www.delegedata.de/2019/03/betriebsrat-eigener-verantwortlicher-im-sinne-der-dsgvo/|Carlo Piltz:Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?]].)) Der Thüringer Landesgesetzgeber hat für die öffentlichen Stellen zunächst eine Entscheidung herbeigeführt.
  
 ==== Europarechtlicher Kontext ==== ==== Europarechtlicher Kontext ====
Zeile 40: Zeile 40:
 ==== Personalrat als Verantwortlicher ==== ==== Personalrat als Verantwortlicher ====
  
-Dementsprechend muss ein Personalrat alle Pflichten erfüllen, die einem [[Verantwortlicher|Verantwortlichen]] auferlegt sind.+Dementsprechend muss ein Personalrat alle Pflichten erfüllen, die einem [[:Verantwortlicher|Verantwortlichen]] auferlegt sind.
  
 === Überblick über die Pflichten als Verantwortlicher === === Überblick über die Pflichten als Verantwortlicher ===
Zeile 62: Zeile 62:
 Personalrat und Dienststelle müssen als Verantwortliche ihren wechselseiten Datenübermittlungen regeln. Soweit es gesetzliche oder anderweitig bindende übergeordnete Normen gibt, müssen diese benannt und gegebenenfalls konkretisiert werden. Personalrat und Dienststelle müssen als Verantwortliche ihren wechselseiten Datenübermittlungen regeln. Soweit es gesetzliche oder anderweitig bindende übergeordnete Normen gibt, müssen diese benannt und gegebenenfalls konkretisiert werden.
  
-In vielen Fällen wird im Verhältnis von Personalrat und Dienststelle eine Gemeinsame Verantwortlichkeit gemäß [[https://dejure.org/gesetze/DSGVO/26.html|Art. 26]] DSGVO vorliegen, so dass es zwingend einer Vereinbarung bedarf (siehe oben).+In vielen Fällen wird im Verhältnis von Personalrat und Dienststelle eine Gemeinsame Verantwortlichkeit gemäß [[https://dejure.org/gesetze/DSGVO/26.html|Art. 26]] DSGVO vorliegen, so dass es zwingend einer Vereinbarung bedarf (siehe oben). Zur Ausgestaltung siehe: [[https://www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-verantwortlichkeit-sinnvoll-gestalten/|Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg: Mehr Licht! – Gemeinsame Verantwortlichkeit sinnvoll gestalten]], wobei das dort verwendete Muster gekürzt werden kann und für eine kurzfristige Verwendung auch radikal gekürzt werden sollte.
  
-Denkbar sind auch Fälle, in denen sowohl die Dienststelle als auch der Personalrat [[:Verantwortlicher|Verantwortliche]] sind, ohne dass eine Gemeinsame Verantwortlichkeit vorliegt. In diesem Falle eine Datenübermittlung auf der übermittelnden Seite eine Form der Verarbeitung und auf empfangenden Seite eine Form der Erhebung nicht bei der Betroffenen Person. Im Verhältnis zur Betroffenen Person müssen dann beide Verantwortliche ihre Pflichten erfüllen, dass bedeutet insbesondere, dass regelmäßig zwei Datenschutzerklärungen und Einträge in den jeweiligen [[:VVT]] notwendig sind.+Denkbar sind auch Fälle, in denen sowohl die Dienststelle als auch der Personalrat [[:Verantwortlicher|Verantwortliche]] sind, ohne dass eine Gemeinsame Verantwortlichkeit vorliegt. In diesem Falle ist eine Datenübermittlung auf der übermittelnden Seite eine Form der Verarbeitung und auf empfangenden Seite eine Form der Erhebung gemäß [[https://dejure.org/gesetze/DSGVO/14.html|Art. 14]] DSGVO nicht bei der Betroffenen Person. Im Verhältnis zur Betroffenen Person müssen dann beide Verantwortliche ihre Pflichten erfüllen, dass bedeutet insbesondere, dass regelmäßig zwei Datenschutzerklärungen und Einträge in den jeweiligen [[:VVT]] notwendig sind
 + 
 +== Vorübergehende Regelung zwischen Dienststelle und Personalrat == 
 + 
 +Angesichts der Ungewissheiten sollte eine vorübergehende Regelung ins Auge gefasst werden, die in etwa wie folgt lauten könnte:\\ \\ 
 +// 
 +Vereinbarung zwischen\\ 
 +...\\ 
 +(Dienststelle)\\ 
 +und \\ 
 +Personalrat der ...\\ 
 +(Personalrat)\\ 
 +\\ 
 +§ 1 Datenschutzrechtliches Verhältnis\\ 
 +Die Parteien gehen davon aus, dass aufgrund § 80 Abs. 1 S. 2 ThürPersVG neben der Dienststelle auch der Personalrat als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO anzusehen ist.\\ 
 +\\ 
 +§ 2 Austausch personenbezogener Daten\\ 
 +(1) Die Parteien sind sich darüber einig, dass wechselseitig die personenbezogenen Daten übermittelt werden, die zur Erfüllung der jeweiligen Pflichten insbesondere aus dem ThürPersVG erforderlich sind. Das betrifft insbesondere die notwendigen personenbezogenen Daten im Rahmen von mitbestimmungspflichtigen Angelegenheiten.\\ 
 +(2) Soweit die jeweiligen Rechtsgrundlagen oder sonstige verbindliche Regelungen Einschränkungen bei der Übermittlung personenbezogener Daten vorsehen, sind diese zusätzlich zum Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO zu beachten.\\ 
 +\\ 
 +§ 3 Pflichten als Verantwortliche\\ 
 +(1) Dienststelle und Personalrat erfüllen jeweils für sich die Pflichten als Verantwortliche insbesondere bei der Sicherheit der Verarbeitung (Art. 32 DSGVO) und der Führung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO). Die Parteien bemühen sich dabei um wechselseitige Unterstützung. Die Dienstelle stellt dem Personalrat die erforderlichen Mittel zur Erfüllung seiner Pflichten zur Verfügung.\\ 
 +(2) Wenn Verarbeitungen vorliegen, bei denen sowohl die Dienststelle als auch der Personalrat Verantwortlicher sind, erfüllt grundsätzlich die Dienstelle die Rechte betroffener Personen gemäß der Artt. 13 ff. DSGVO. Der Personalrat ist jedoch zuständig, wenn die betroffene Person dies ausdrücklich wünscht oder sich eine solche Zuständigkeit aus der Stellung des Personalrates ergibt.\\ 
 +(3) Die Pflicht zur Meldung (Art. 33 DSGVO), Benachrichtigung (Art. 34 DSGVO) und Datenschutzfolgenabschätzung (Art. 35 DSGVO) obliegt der Dienstelle, ausgenommen die Verfahren, bei denen allein der Personalrat Verantwortlicher ist. Die Parteien informieren sich über die Erfüllung derartiger Pflichten jeweils unverzüglich.\\ 
 +\\  
 +§ 4 Weiterentwickung der Vereinbarung\\ 
 +Die Parteien verpflichten sich, gemeinsam die Verarbeitungen personenbezogener Daten zu identifizieren und einer spezielleren Regelung zuzuführen, bei denen das erforderlich ist.// 
 + 
 +== Weitere regelungsbedürftige Themen == 
 + 
 +  * Bestellung Datenschutzbeauftragter 
 +  * Vorgehen bei weiteren Gremien (siehe unten), insbesondere JAV und Assistentenrat 
 + 
 + 
 +=== Verzeichnis von Verarbeitungstätigkeiten === 
 + 
 +Im [[:Verzeichnis von Verarbeitungstätigkeiten]] sind unter anderem folgende Bereiche, bei denen es sich teilweise um mehrere Verfahren handelt dürfte, zu dokumentieren: 
 + 
 +  * Anhörungen 
 +  * [[:Betriebliches Eingliederungsmanagement]] gemäß [[https://www.buzer.de/s1.htm?g=SGB%2BIX&a=167|§ 167]] Abs. 3 SGB IX 
 +  * [[:Email]]-Kommunikation 
 +  * Wahlen, vgl. § 23 ThürPersVG, insb. Aufstellung Wählerverzeichnis 
 +  * Sitzungen, vgl. § 34 Abs. 2 ThürPersVG 
 +    * Einladungen, inkl. Vorlagen 
 +    * Protokolle 
 +  * Zusammenarbeit mit anderen Gremien und Organisationen, §§ 34 Abs. 3, 36 (zu beachten: § 36 Abs. 1 S. 2), 40 ThürPersVG (Abs. 2 ist aber gegenstandslos) 
 +  * Sprechstunden, § 43 ThürPersVG 
 +  * Abrechnung/(Personal-)kosten, § 44 ThürPersVG 
 +  * Schulungsveranstaltungen, § 46 ThürPersVG 
 + 
 +Hinweis: Pflicht zu VVT entfällt soweit die Verarbeitung vollständig "analog" durchgeführt wird gemäß [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=DSG+TH+%C2%A7+2&psml=bsthueprod.psml&max=true|§ 2]] Abs. 4 S. 2 ThürDSG, wonach kein VVT gemäß [[https://dejure.org/gesetze/DSGVO/30.html|Art. 30]] DSGVO zu führen ist, für "nichtautomatisierte Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen".
  
 === Weitere Gremien === === Weitere Gremien ===
Zeile 81: Zeile 131:
   * [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+80&psml=bsthueprod.psml&max=true|Quelle Wortlaut]]   * [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+80&psml=bsthueprod.psml&max=true|Quelle Wortlaut]]
   * [[http://www.parldok.thueringen.de/ParlDok/dokument/71206/68_sitzung_innen_und_kommunalausschuss.pdf#page=66|Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019]]   * [[http://www.parldok.thueringen.de/ParlDok/dokument/71206/68_sitzung_innen_und_kommunalausschuss.pdf#page=66|Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019]]
 +
 +
  
 {{tag>Artikel ThuerDSG}} {{tag>Artikel ThuerDSG}}
  
  
Drucken/exportieren
QR-Code
QR-Code § 80 Thüringer Personalvertretungsgesetz (erstellt für aktuelle Seite)