Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Dies ist eine alte Version des Dokuments!


<font inherit/inherit;;#e74c3c;;inherit>Dieser Artikel gibt einen Vorläufigen Stand wieder und bedarf noch eines weiteren Ausbaus.</font>

§ 80 Thüringer Personalvertretungsgesetz

Wortlaut

§ 80 Datenschutz

(1) Die Personalvertretung hat die Vorschriften über den Datenschutz einzuhalten und sich für deren Wahrung in der Dienststelle einzusetzen. Sie hat dazu einen Datenschutzbeauftragten zu bestellen; Personalvertretung und Dienststelle können im Einvernehmen einen gemeinsamen Datenschutzbeauftragten bestellen.

(2) Die Ergebnisse von Kontrollen nach § 6 des Thüringer Datenschutzgesetzes durch den Landesbeauftragten für den Datenschutz sind, soweit sie die Zuständigkeit der Personalvertretung betreffen, der Personalvertretung in Kopie zur Verfügung zu stellen.

Begründung der Änderung, die die Pflicht zur Bestellung eines Datenschutzbeauftragten regelt

Zu Nummer 27

Die Ergänzung eines neuen Satzes 2 in § 80 Abs. 1 ist bedingt durch die europarechtlichen Änderungen im Datenschutz. Gemäß Artikel 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung (ABI. L 119 vom 4. Mai 2016, S. 1-88) ist die Personalvertretung einer Dienststelle „Verantwortlicher„, d.h. eine Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie hat daher gemäß § 13 Abs. 1 des Thüringer Datenschutzgesetzes (GVBI. 2018, 229) einen Datenschutzbeauftragten zu bestellen.

Damit jedoch der Personalvertretung keine unüberwindbaren rechtlichen oder tatsächlichen Hürden bei der Besetzung des Amtes eines eigenen Datenschutzbeauftragten auferlegt werden, wird mit dem neuen Satz 2 die Möglichkeit gewährt, dass der behördliche Datenschutzbeauftragte der Dienststelle in Personalunion auch das Amt des Datenschutzbeauftragten der Personalvertretung übernimmt, wenn dazu Einvernehmen zwischen Dienststelle und Personalvertretung besteht.

(Quelle: Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019, S. 66)

Erläuterung zu Absatz 1 Satz 2 - Pflicht zur Bestellung eines Datenschutzbeauftragten

Die Frage der datenschutzrechtlichen Einordnung von Betriebs- beziehungsweise Personalräten ist seit langem umstritten. Der Thüringer Landesgesetzgeber hat für die öffentlichen Stellen zunächst eine Entscheidung herbeigeführt.

Europarechtlicher Kontext

Die DSGVO regelt in Art. 37 Abs. 1 DSGVO die Pflicht zur Bestellung von Datenschutzbeauftragten durch Verantwortliche (und Auftragsverarbeiter, was aber hier ohne Bedeutung ist und daher im Folgenden nicht immer mit erwähnt wird). Aus Art. 38 (Stellung des Datenschutzbeauftragten ergibt sich, dass die Existenz eines Datenschutzbeauftragten voraussetzt, dass es einen (oder mehrere) Verantwortliche gibt, die den Datenschutzbeauftragten bestellen, wodurch der Datenschutzbeauftragte ja erst Datenschutzbeauftragter wird. Das bedeutet, nach der DSGVO muss nicht jeder Verantwortliche einen Datenschutzbeauftragten haben aber ein Datenschutzbeauftragter kann nur sein, wo es einen Verantwortlichen gibt.

Art. 37 Abs. 4 DSGVO gibt (neben der Möglichkeit der freiwilligen Bestellung) den Mitgliedsstaaten die Möglichkeit, nach nationalem Recht weitere Verantwortliche zu benennen, die einen Datenschutzbeauftragten bestellen müssen. Von dieser Öffnungsklausel hat der Freistaat Thüringen mit § 80 Abs. 1 S. 2 ThürPersVG Gebrauch gemacht.

Allerdings bestimmt sich die Frage, wer Verantwortlicher ist, allein nach Art. 4 Nr. 7 DSGVO ohne dass es insoweit eine Öffnungsklausel gibt.

Daraus ist zu folgern, dass § 80 Abs. 1 S. 2 ThürPersVG europarechtlich nur zulässig ist, wenn ein Personalrat Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist, wovon der Landesgesetzgeber (siehe oben) wie auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit1) ausgehen.

Personalrat als Verantwortlicher

Dementsprechend muss ein Personalrat alle Pflichten erfüllen, die einem Verantwortlichen auferlegt sind.

Überblick über die Pflichten als Verantwortlicher

In Anlehnung an das Informationsblatt Anforderungen der Datenschutz-Grundverordnung(DS-GVO) an kleine Unternehmen, Vereine, etc. des bayrischen Landesamtes für Datenschutzaufsicht lassen sich die Grundpflichten vorläufig wie folgt zusammenfassen:

  1. Datenschutzbeauftragter? Muss nunmehr aufgrund § 80 Abs. 1 S. 2 ThürPersVG zwingend bestellt werden.
  2. Verzeichnis von Verarbeitungstätigkeiten? Muss aufgrund Art. 30 DSGVO erstellt werden, da ein Personalrat regelmäßig Personenbezogene Daten verarbeitet.
  3. Datenschutz-Verpflichtung der Beschäftigten? Ja, soweit ein Personalrat Beschäftigte hat. Im übertragenen Sinne muss das auch für die Mitglieder des Personalrats gelten. Ein Verweis auf § 10 ThürPersVG (Schweigepflicht) dürfte insoweit nicht ausreichen, da die Beachtung des Datenschutzes etwas anderes (wenn auch in mancher Hinsicht ähnliches) ist.
  4. Informationspflicht? Besteht. Insbesondere muss eine Betroffene Person die Möglichkeit haben sich mittels Datenschutzerklärungen über die (alle!) Verarbeitungen ihrer Daten zu informieren. Für eine Teil der Verarbeitungen ist eine Verlagerung der Pflicht auf die Dienststelle denkbar.
  5. Auskunftspflicht? Wenn eine betroffene Person ihr Auskunftsrecht geltend macht, muss gemäß Art. 15 DSGVO Auskunft erteilt werden; gegebenenfalls einschließlich des Rechts auf Kopie.
  6. Löschen von Daten? Ja, personenbezogene Daten sind in der Regel zu löschen, wenn der Zweck ihrer Verarbeitung weggefallen ist. Gesetzliche oder sonst verbindliche Aufbewahrungsfristen sind zu beachten.
  7. Sicherheit? Mindestens etablierte Standardmaßnahmen sind zu ergreifen. Bei sensiblen Daten, insbesondere wenn Besondere Kategorien personenbezogener Daten vorliegen, müssen zusätzliche Maßnahmen ergriffen werden. Die Dokumentation muss im VVT (siehe oben 2.) erfolgen. Ein übergreifendes Konzept zur Datensicherheit ist wünschenswert.
  8. Auftragsverarbeitung? Ein Personalrat wird eher selten externe Dienstleister einsetzen mit denen er als Auftraggeber einen AV-Vertrag schließen müsste. Im Verhältnis zur Dienststelle liegt mangels Weisungsrecht keine Auftragsverarbeitung vor.
  9. Gemeinsam Verantwortliche? Dienststelle und Personalrat werden bei vielen Verarbeitungen Gemeinsam Verantwortliche gemäß Art. 26 DSGVO sein, indem sie „gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest[legen]“. Beispielsweise werden in mitbestimmungspflichtigen Angelegenheiten regelmäßig personenbezogene Daten durch Dienststelle und Personalrat verarbeitet. Regelungsbedürftige Handlungsspielräume (vgl. z.B. § 69a Abs. 2 ThürPersVG und die allgemeinen Mindestinhalte bei gemeinsamer Verantwortlichkeit werden vereinbart werden müssen, damit die Datenverarbeitung insoweit zulässig ist.
  10. Datenschutzverletzungen? Sind unter den Voraussetzungen des Art. 33 DSGVO gegenüber dem Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit meldepflichtig und gegebenenfalls sind die betroffenen Personen gemäß Art. 34 DSGVO zu benachrichtigen. Eine Vereinbarung zwischen Personalrat und Dienststelle welche Datenschutzverletzungen wechselseitig(!) zu melden sind, erscheint höchst empfehlenswert.
  11. Datenschutz-Folgenabschätzung? Unter den Voraussetzungen des Art. 35 DSGVO ist eine Datenschutz-Folgenabschätzung durchzuführen. Die konkreten Listen des TLfDI2) beinhalten derzeit keine Punkte, wo eine Datenschutz-Folgenabschätzung durchzuführen ist. Allerdings kommen nach den allgemeinen Kriterien durchaus Verfahren in Betracht.

Verhältnis zur Dienststelle

Personalrat und Dienststelle müssen als Verantwortliche ihren wechselseiten Datenübermittlungen regeln. Soweit es gesetzliche oder anderweitig bindende übergeordnete Normen gibt, müssen diese benannt und gegebenenfalls konkretisiert werden.

In vielen Fällen wird im Verhältnis von Personalrat und Dienststelle eine Gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vorliegen, so dass es zwingend einer Vereinbarung bedarf (siehe oben).

Denkbar sind auch Fälle, in denen sowohl die Dienststelle als auch der Personalrat Verantwortliche sind, ohne dass eine Gemeinsame Verantwortlichkeit vorliegt. In diesem Falle eine Datenübermittlung auf der übermittelnden Seite eine Form der Verarbeitung und auf empfangenden Seite eine Form der Erhebung nicht bei der Betroffenen Person. Im Verhältnis zur Betroffenen Person müssen dann beide Verantwortliche ihre Pflichten erfüllen, dass bedeutet insbesondere, dass regelmäßig zwei Datenschutzerklärungen und Einträge in den jeweiligen VVT notwendig sind.

Weitere Gremien

Gegenwärtig nur überblicksartig der Hinweis auf weitere Gremien, die Beschäftigte vertreten:

  • Hauptpersonalrat (bzw. Stufenvertretungen gemäß § 53 ThürPersVG): Die Ausführungen zum Personalrat dürften analog gelten. Dass § 54 Abs. 1 ThürPersVG nicht auf § 80 verweist, dürfte eine planwidrige Lücke sein, da kein Grund ersichtlich ist, dass ein Hauptpersonalrat nicht ebenso für den Datenschutz verantwortlich ist, wie ein Personalrat. Es handelt sich um einen eigenen Verantwortlichen.
  • Jugend- und Auszubildendenvertretung(JAV): Gemäß § 57 ThürPersVG eng an Personalrat gekoppelt; vermutlich kein eigener Verantwortlicher sondern dem Personalrat zuzurechnen.
  • Assistentenrat (§ 88 Nr. 5 ThürPersVG): Siehe JAV.
  • Schwerbehindertenvertretung (§§ 176-183SGB IX):Auch hier könnte die enge Bindung an den Personalrat (Vgl. z.B. § 178 Abs. 4 SGB IX dafür sprechen, dass es sich nicht um einen eigenen Verantwortlichen handelt. Die gegenteilige Auffassung dürfte aber ebenso gut vertretbar sein abgesehen davon, dass die daraus resultierenden Pflichten vermutlich jede Schwerbehindertenvertretung überfordern dürften.
Drucken/exportieren
QR-Code
QR-Code § 80 Thüringer Personalvertretungsgesetz (erstellt für aktuelle Seite)