Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
<font inherit/inherit;;#e74c3c;;inherit>Dieser Artikel gibt einen Vorläufigen Stand wider und bedarf noch eines weiteren Ausbaus.</font>
§ 80 Thüringer Personalvertretungsgesetz
Wortlaut
§ 80 Datenschutz
(1) Die Personalvertretung hat die Vorschriften über den Datenschutz einzuhalten und sich für deren Wahrung in der Dienststelle einzusetzen. Sie hat dazu einen Datenschutzbeauftragten zu bestellen; Personalvertretung und Dienststelle können im Einvernehmen einen gemeinsamen Datenschutzbeauftragten bestellen.
(2) Die Ergebnisse von Kontrollen nach § 6 des Thüringer Datenschutzgesetzes durch den Landesbeauftragten für den Datenschutz sind, soweit sie die Zuständigkeit der Personalvertretung betreffen, der Personalvertretung in Kopie zur Verfügung zu stellen.
Begründung der Änderung, die die Pflicht zur Bestellung eines Datenschutzbeauftragten regelt
Zu Nummer 27
Die Ergänzung eines neuen Satzes 2 in § 80 Abs. 1 ist bedingt durch die europarechtlichen Änderungen im Datenschutz. Gemäß Artikel 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung (ABI. L 119 vom 4. Mai 2016, S. 1-88) ist die Personalvertretung einer Dienststelle „Verantwortlicher„, d.h. eine Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie hat daher gemäß § 13 Abs. 1 des Thüringer Datenschutzgesetzes (GVBI. 2018, 229) einen Datenschutzbeauftragten zu bestellen.
Damit jedoch der Personalvertretung keine unüberwindbaren rechtlichen oder tatsächlichen Hürden bei der Besetzung des Amtes eines eigenen Datenschutzbeauftragten auferlegt werden, wird mit dem neuen Satz 2 die Möglichkeit gewährt, dass der behördliche Datenschutzbeauftragte der Dienststelle in Personalunion auch das Amt des Datenschutzbeauftragten der Personalvertretung übernimmt, wenn dazu Einvernehmen zwischen Dienststelle und Personalvertretung besteht.
(Quelle: Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019, S. 66)
Erläuterung zu Absatz 1 Satz 2 - Pflicht zur Bestellung eines Datenschutzbeauftragten
Die Frage der datenschutzrechtlichen Einordnung von Betriebs- beziehungsweise Personalräten ist seit langem umstritten. Der Thüringer Landesgesetzgeber hat für die öffentlichen Stellen zunächst eine Entscheidung herbeigeführt.
Europarechtlicher Kontext
Die DSGVO regelt in Art. 37 Abs. 1 DSGVO die Pflicht zur Bestellung von Datenschutzbeauftragten durch Verantwortliche (und Auftragsverarbeiter, was aber hier ohne Bedeutung ist und daher im Folgenden nicht immer mit erwähnt wird). Aus Art. 38 (Stellung des Datenschutzbeauftragten ergibt sich, dass die Existenz eines Datenschutzbeauftragten voraussetzt, dass es einen (oder mehrere) Verantwortliche gibt, die den Datenschutzbeauftragten bestellen, wodurch der Datenschutzbeauftragte ja erst Datenschutzbeauftragter wird. Das bedeutet, nach der DSGVO muss nicht jeder Verantwortliche einen Datenschutzbeauftragten haben aber ein Datenschutzbeauftragter kann nur sein, wo es einen Verantwortlichen gibt.
Art. 37 Abs. 4 DSGVO gibt (neben der Möglichkeit der freiwilligen Bestellung) den Mitgliedsstaaten die Möglichkeit, nach nationalem Recht weitere Verantwortliche zu benennen, die einen Datenschutzbeauftragten bestellen müssen. Von dieser Öffnungsklausel hat der Freistaat Thüringen mit § 80 Abs. 1 S. 2 ThürPersVG Gebrauch gemacht.
Allerdings bestimmt sich die Frage, wer Verantwortlicher ist, allein nach Art. 4 Nr. 7 DSGVO ohne dass es insoweit eine Öffnungsklausel gibt.
Daraus ist zu folgern, dass § 80 Abs. 1 S. 2 ThürPersVG europarechtlich nur zulässig ist, wenn ein Personalrat Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist, wovon der Landesgesetzgeber (siehe oben) wie auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit1) ausgehen.
Personalrat als Verantwortlicher
Dementsprechend muss ein Personalrat alle Pflichten erfüllen, die einem Verantwortlichen auferlegt sind.
Überblick über die Pflichten als Verantwortlicher
In Anlehnung an das Informationsblatt Anforderungen der Datenschutz-Grundverordnung(DS-GVO) an kleine Unternehmen, Vereine, etc. des bayrischen Landesamtes für Datenschutzaufsicht lassen sich die Grundpflichten vorläufig wie folgt zusammenfassen:
- Datenschutzbeauftragter? Muss nunmehr aufgrund § 80 Abs. 1 S. 2 ThürPersVG zwingend bestellt werden.
- Verzeichnis von Verarbeitungstätigkeiten? Muss aufgrund Art. 30 DSGVO erstellt werden, da ein Personalrat regelmäßig Personenbezogene Daten verarbeitet.
- Datenschutz-Verpflichtung der Beschäftigten? Ja, soweit ein Personalrat Beschäftigte hat. Im übertragenen Sinne muss das auch für die Mitglieder des Personalrats gelten. Ein Verweis auf § 10 ThürPersVG (Schweigepflicht) dürfte insoweit nicht ausreichen, da die Beachtung des Datenschutzes etwas anderes (wenn auch in mancher Hinsicht ähnliches) ist.
- Informationspflicht? Besteht. Insbesondere muss eine Betroffene Person die Möglichkeit haben sich mittels Datenschutzerklärungen über die (alle!) Verarbeitungen ihrer Daten zu informieren. Für eine Teil der Verarbeitungen ist eine Verlagerung der Pflicht auf die Dienststelle denkbar.
- Auskunftspflicht? Wenn eine betroffene Person ihr Auskunftsrecht geltend macht, muss gemäß Art. 15 DSGVO Auskunft erteilt werden; gegebenenfalls einschließlich des Rechts auf Kopie.
- Löschen von Daten? Ja, personenbezogene Daten sind in der Regel zu löschen, wenn der Zweck ihrer Verarbeitung weggefallen ist. Gesetzliche oder sonst verbindliche Aufbewahrungsfristen sind zu beachten.
- Sicherheit? Mindestens etablierte Standardmaßnahmen sind zu ergreifen. Bei sensiblen Daten, insbesondere wenn Besondere Kategorien personenbezogener Daten vorliegen, müssen zusätzliche Maßnahmen ergriffen werden. Die Dokumentation muss im VVT (siehe oben 2.) erfolgen. Ein übergreifendes Konzept zur Datensicherheit ist wünschenswert.
- Auftragsverarbeitung? Ein Personalrat wird eher selten externe Dienstleister einsetzen mit denen er als Auftraggeber einen AV-Vertrag schließen müsste. Im Verhältnis zur Dienststelle liegt mangels Weisungsrecht keine Auftragsverarbeitung vor.
- Gemeinsam Verantwortliche? Dienststelle und Personalrat werden bei vielen Verarbeitungen Gemeinsam Verantwortliche gemäß Art. 26 DSGVO sein, indem sie „gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest[legen]“. Beispielsweise werden in mitbestimmungspflichtigen Angelegenheiten regelmäßig personenbezogene Daten durch Dienststelle und Personalrat verarbeitet. Regelungsbedürftige Handlungsspielräume (vgl. z.B. § 69a Abs. 2 ThürPersVG und die allgemeinen Mindestinhalte bei gemeinsamer Verantwortlichkeit werden vereinbart werden müssen, damit die Datenverarbeitung insoweit zulässig ist.
- Datenschutzverletzungen? Sind unter den Voraussetzungen des Art. 33 DSGVO gegenüber dem Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit meldepflichtig und gegebenenfalls sind die betroffenen Personen gemäß Art. 34 DSGVO zu benachrichtigen. Eine Vereinbarung zwischen Personalrat und Dienststelle welche Datenschutzverletzungen wechselseitig(!) zu melden sind, erscheint höchst empfehlenswert.