Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Dies ist eine alte Version des Dokuments!


§ 80 Thüringer Personalvertretungsgesetz

Wortlaut

§ 80 Datenschutz

(1) Die Personalvertretung hat die Vorschriften über den Datenschutz einzuhalten und sich für deren Wahrung in der Dienststelle einzusetzen. Sie hat dazu einen Datenschutzbeauftragten zu bestellen; Personalvertretung und Dienststelle können im Einvernehmen einen gemeinsamen Datenschutzbeauftragten bestellen.

(2) Die Ergebnisse von Kontrollen nach § 6 des Thüringer Datenschutzgesetzes durch den Landesbeauftragten für den Datenschutz sind, soweit sie die Zuständigkeit der Personalvertretung betreffen, der Personalvertretung in Kopie zur Verfügung zu stellen.

Begründung der Änderung, die die Pflicht zur Bestellung eines Datenschutzbeauftragten regelt

Zu Nummer 27

Die Ergänzung eines neuen Satzes 2 in § 80 Abs. 1 ist bedingt durch die europarechtlichen Änderungen im Datenschutz. Gemäß Artikel 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung (ABI. L 119 vom 4. Mai 2016, S. 1-88) ist die Personalvertretung einer Dienststelle „Verantwortlicher„, d.h. eine Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie hat daher gemäß § 13 Abs. 1 des Thüringer Datenschutzgesetzes (GVBI. 2018, 229) einen Datenschutzbeauftragten zu bestellen.

Damit jedoch der Personalvertretung keine unüberwindbaren rechtlichen oder tatsächlichen Hürden bei der Besetzung des Amtes eines eigenen Datenschutzbeauftragten auferlegt werden, wird mit dem neuen Satz 2 die Möglichkeit gewährt, dass der behördliche Datenschutzbeauftragte der Dienststelle in Personalunion auch das Amt des Datenschutzbeauftragten der Personalvertretung übernimmt, wenn dazu Einvernehmen zwischen Dienststelle und Personalvertretung besteht.

(Quelle: Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019, S. 66)

Erläuterung zu Absatz 1 Satz 2 - Pflicht zur Bestellung eines Datenschutzbeauftragten

Die Frage der datenschutzrechtlichen Einordnung von Betriebs- beziehungsweise Personalräten ist seit langem umstritten. Der Thüringer Landesgesetzgeber hat für die öffentlichen Stellen zunächst eine Entscheidung herbeigeführt.

Europarechtlicher Kontext

Die DSGVO regelt in Art. 37 Abs. 1 DSGVO die Pflicht zur Bestellung von Datenschutzbeauftragten durch Verantwortliche (und Auftragsverarbeiter, was aber hier ohne Bedeutung ist und daher im Folgenden nicht immer mit erwähnt wird). Aus Art. 38 (Stellung des Datenschutzbeauftragten ergibt sich, dass die Existenz eines Datenschutzbeauftragten voraussetzt, dass es einen (oder mehrere) Verantwortliche gibt, die den Datenschutzbeauftragten bestellen, wodurch der Datenschutzbeauftragte ja erst Datenschutzbeauftragter wird. Das bedeutet, nach der DSGVO muss nicht jeder Verantwortliche einen Datenschutzbeauftragten haben aber ein Datenschutzbeauftragter kann nur sein, wo es einen Verantwortlichen gibt.

Art. 37 Abs. 4 DSGVO gibt (neben der Möglichkeit der freiwilligen Bestellung) den Mitgliedsstaaten die Möglichkeit, nach nationalem Recht weitere Verantwortliche zu benennen, die einen Datenschutzbeauftragten bestellen müssen. Von dieser Öffnungsklausel hat der Freistaat Thüringen mit § 80 Abs. 1 S. 2 ThürPersVG Gebrauch gemacht.

Allerdings bestimmt sich die Frage, wer Verantwortlicher ist, allein nach Art. 4 Nr. 7 DSGVO ohne dass es insoweit eine Öffnungsklausel gibt.

Daraus ist zu folgern, dass § 80 Abs. 1 S. 2 ThürPersVG europarechtlich nur zulässig ist, wenn ein Personalrat Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist, wovon der Landesgesetzgeber (siehe oben) wie auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit1) ausgehen.

Personalrat als Verantwortlicher

Dementsprechend muss ein Personalrat alle Pflichten erfüllen, die einem Verantwortlichen auferlegt sind.

Überblick über die Pflichten als Verantwortlicher

In Anlehnung an das Informationsblatt Anforderungen der Datenschutz-Grundverordnung(DS-GVO) an kleine Unternehmen, Vereine, etc. des bayrischen Landesamtes für Datenschutzaufsicht lassen sich die Grundpflichten wie folgt zusammenfassen:

  1. Datenschutzbeauftragter? Muss nunmehr aufgrund § 80 Abs. 1 S. 2 ThürPersVG zwingend bestellt werden.
  2. Verzeichnis von Verarbeitungstätigkeiten Muss aufgrund Art. 30 DSGVO erstellt werden, da ein Personalrat regelmäßig Personenbezogene Daten verarbeitet.
Drucken/exportieren
QR-Code
QR-Code § 80 Thüringer Personalvertretungsgesetz (erstellt für aktuelle Seite)