Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
thuerdsg:80_thuerpersvg [2019/06/26 22:55]
Admin [Weitere Gremien]
thuerdsg:80_thuerpersvg [2020/12/15 22:01] (aktuell)
Admin
Zeile 1: Zeile 1:
- <WRAP center round alert 60%> <font inherit/inherit;;#e74c3c;;inherit>**Dieser Artikel gibt einen <fs x-large>Vorläufigen Stand</fs> wieder und bedarf noch eines weiteren Ausbaus.**</font> </WRAP> 
  
 ====== § 80 Thüringer Personalvertretungsgesetz ====== ====== § 80 Thüringer Personalvertretungsgesetz ======
  
 +**§ 80 Thüringer Personalvertretungsgesetz** regelt die Einhaltung des [[:Datenschutz|Datenschutzes]] bei [[:Personalvertretung|Personalvertretungen]], insbesondere dem Personalrat.
 ===== Wortlaut ===== ===== Wortlaut =====
  
Zeile 26: Zeile 26:
 ===== Erläuterung zu Absatz 1 Satz 2 - Pflicht zur Bestellung eines Datenschutzbeauftragten ===== ===== Erläuterung zu Absatz 1 Satz 2 - Pflicht zur Bestellung eines Datenschutzbeauftragten =====
  
-Die Frage der datenschutzrechtlichen Einordnung von Betriebs- beziehungsweise Personalräten ist seit langem umstritten. Der Thüringer Landesgesetzgeber hat für die öffentlichen Stellen zunächst eine Entscheidung herbeigeführt.+Die Frage der datenschutzrechtlichen Einordnung von Betriebs- beziehungsweise Personalräten ist seit langem umstritten.((Als Überblick: [[https://www.delegedata.de/2019/03/betriebsrat-eigener-verantwortlicher-im-sinne-der-dsgvo/|Carlo Piltz:Betriebsrat – eigener Verantwortlicher im Sinne der DSGVO?]].)) Der Thüringer Landesgesetzgeber hat für die öffentlichen Stellen zunächst eine Entscheidung herbeigeführt.
  
 ==== Europarechtlicher Kontext ==== ==== Europarechtlicher Kontext ====
  
-Die [[:DSGVO]] regelt in [[https://dejure.org/gesetze/DSGVO/37.html|Art. 37]] Abs. 1 DSGVO die Pflicht zur Bestellung von [[:Datenschutzbeauftragter|Datenschutzbeauftragten]] durch Verantwortliche (und Auftragsverarbeiter, was aber hier ohne Bedeutung ist und daher im Folgenden nicht immer mit erwähnt wird). Aus [[https://dejure.org/gesetze/DSGVO/38.html|Art. 38]] (Stellung des Datenschutzbeauftragten ergibt sich, dass die Existenz eines Datenschutzbeauftragten voraussetzt, dass es einen (oder mehrere) Verantwortliche gibt, die den Datenschutzbeauftragten bestellen, wodurch der Datenschutzbeauftragte ja erst Datenschutzbeauftragter wird. Das bedeutetnach der DSGVO muss nicht jeder Verantwortliche einen Datenschutzbeauftragten haben aber ein Datenschutzbeauftragter kann nur sein, wo es einen Verantwortlichen gibt.+Die [[:DSGVO]] regelt in [[https://dejure.org/gesetze/DSGVO/37.html|Art. 37]] Abs. 1 DSGVO die Pflicht zur Bestellung von [[:Datenschutzbeauftragter|Datenschutzbeauftragten]] durch Verantwortliche((Die in der DSGVO immer wieder mit erwähnten Auftragsverarbeiter, haben für die Ausführungen hier keine Relevanz und werden daher zu Vereinfachung im Folgenden nicht weiter erwähnt)). Aus [[https://dejure.org/gesetze/DSGVO/38.html|Art. 38]] (Stellung des Datenschutzbeauftragten ergibt sich, dass die Existenz eines Datenschutzbeauftragten voraussetzt, dass es einen (oder mehrere) Verantwortliche gibt, die den Datenschutzbeauftragten bestellen, wodurch der Datenschutzbeauftragte ja erst Datenschutzbeauftragter wird. Das bedeutet nach der DSGVO: Nicht jeder Verantwortliche muss einen Datenschutzbeauftragten haben aber ein Datenschutzbeauftragter kann nur sein, wo es einen Verantwortlichen gibt.
  
 Art. 37 Abs. 4 DSGVO gibt (neben der Möglichkeit der freiwilligen Bestellung) den Mitgliedsstaaten die Möglichkeit, nach nationalem Recht weitere Verantwortliche zu benennen, die einen Datenschutzbeauftragten bestellen müssen. **Von dieser Öffnungsklausel hat der Freistaat Thüringen mit § 80 Abs. 1 S. 2 ThürPersVG Gebrauch gemacht.** Art. 37 Abs. 4 DSGVO gibt (neben der Möglichkeit der freiwilligen Bestellung) den Mitgliedsstaaten die Möglichkeit, nach nationalem Recht weitere Verantwortliche zu benennen, die einen Datenschutzbeauftragten bestellen müssen. **Von dieser Öffnungsklausel hat der Freistaat Thüringen mit § 80 Abs. 1 S. 2 ThürPersVG Gebrauch gemacht.**
Zeile 40: Zeile 40:
 ==== Personalrat als Verantwortlicher ==== ==== Personalrat als Verantwortlicher ====
  
-Dementsprechend muss ein Personalrat alle Pflichten erfüllen, die einem [[Verantwortlicher|Verantwortlichen]] auferlegt sind.+Dementsprechend muss ein Personalrat alle Pflichten erfüllen, die einem [[:Verantwortlicher|Verantwortlichen]] auferlegt sind.
  
 === Überblick über die Pflichten als Verantwortlicher === === Überblick über die Pflichten als Verantwortlicher ===
Zeile 50: Zeile 50:
   - Datenschutz-Verpflichtung der Beschäftigten? Ja, soweit ein Personalrat Beschäftigte hat. Im übertragenen Sinne muss das auch für die Mitglieder des Personalrats gelten. Ein Verweis auf [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+10&psml=bsthueprod.psml&max=true|§ 10]] ThürPersVG (Schweigepflicht) dürfte insoweit nicht ausreichen, da die Beachtung des Datenschutzes etwas anderes (wenn auch in mancher Hinsicht ähnliches) ist.   - Datenschutz-Verpflichtung der Beschäftigten? Ja, soweit ein Personalrat Beschäftigte hat. Im übertragenen Sinne muss das auch für die Mitglieder des Personalrats gelten. Ein Verweis auf [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+10&psml=bsthueprod.psml&max=true|§ 10]] ThürPersVG (Schweigepflicht) dürfte insoweit nicht ausreichen, da die Beachtung des Datenschutzes etwas anderes (wenn auch in mancher Hinsicht ähnliches) ist.
   - [[:betroffenenrechte#transparenzgebot_und_informationspflicht|Informationspflicht]]? Besteht. Insbesondere muss eine [[:betroffene Person]] die Möglichkeit haben sich mittels [[:Datenschutzerklärung|Datenschutzerklärungen]] über die (alle!) Verarbeitungen ihrer Daten zu informieren. Für eine Teil der Verarbeitungen ist eine Verlagerung der Pflicht auf die Dienststelle denkbar.   - [[:betroffenenrechte#transparenzgebot_und_informationspflicht|Informationspflicht]]? Besteht. Insbesondere muss eine [[:betroffene Person]] die Möglichkeit haben sich mittels [[:Datenschutzerklärung|Datenschutzerklärungen]] über die (alle!) Verarbeitungen ihrer Daten zu informieren. Für eine Teil der Verarbeitungen ist eine Verlagerung der Pflicht auf die Dienststelle denkbar.
-  - [[:Auskunftsrecht|Auskunftspflicht]]? Wenn eine betroffene Person ihr Auskunftsrecht geltend macht, muss gemäß [[https://dejure.org/gesetze/DSGVO/15.html|Art. 15]] DSGVO Auskunft erteilt werden; gegebenenfalls einschließlich des [[:Recht auf Kopie|Rechts auf Kopie]].+  - [[:Auskunftsrecht|Auskunftspflicht]]? Wenn eine betroffene Person ihr Auskunftsrecht geltend macht, muss gemäß [[https://dejure.org/gesetze/DSGVO/15.html|Art. 15]] DSGVO Auskunft erteilt werden; gegebenenfalls einschließlich des [[:Recht auf Kopie|Rechts auf Kopie]]. (Anmerkung: Auch für die anderen [[:Betroffenenrechte]] kann der Personalrat von der Betroffenen Person in Anspruch genommen werden.)
   - Löschen von Daten? Ja, personenbezogene Daten sind in der Regel zu löschen, wenn der Zweck ihrer Verarbeitung weggefallen ist. Gesetzliche oder sonst verbindliche Aufbewahrungsfristen sind zu beachten.   - Löschen von Daten? Ja, personenbezogene Daten sind in der Regel zu löschen, wenn der Zweck ihrer Verarbeitung weggefallen ist. Gesetzliche oder sonst verbindliche Aufbewahrungsfristen sind zu beachten.
   - Sicherheit? Mindestens etablierte Standardmaßnahmen sind zu ergreifen. Bei sensiblen Daten, insbesondere wenn [[:besondere Kategorien personenbezogener Daten]] vorliegen, müssen zusätzliche Maßnahmen ergriffen werden. Die Dokumentation muss im [[:VVT]] (siehe oben 2.) erfolgen. Ein übergreifendes Konzept zur Datensicherheit ist wünschenswert.    - Sicherheit? Mindestens etablierte Standardmaßnahmen sind zu ergreifen. Bei sensiblen Daten, insbesondere wenn [[:besondere Kategorien personenbezogener Daten]] vorliegen, müssen zusätzliche Maßnahmen ergriffen werden. Die Dokumentation muss im [[:VVT]] (siehe oben 2.) erfolgen. Ein übergreifendes Konzept zur Datensicherheit ist wünschenswert. 
Zeile 62: Zeile 62:
 Personalrat und Dienststelle müssen als Verantwortliche ihren wechselseiten Datenübermittlungen regeln. Soweit es gesetzliche oder anderweitig bindende übergeordnete Normen gibt, müssen diese benannt und gegebenenfalls konkretisiert werden. Personalrat und Dienststelle müssen als Verantwortliche ihren wechselseiten Datenübermittlungen regeln. Soweit es gesetzliche oder anderweitig bindende übergeordnete Normen gibt, müssen diese benannt und gegebenenfalls konkretisiert werden.
  
-In vielen Fällen wird im Verhältnis von Personalrat und Dienststelle eine Gemeinsame Verantwortlichkeit gemäß [[https://dejure.org/gesetze/DSGVO/26.html|Art. 26]] DSGVO vorliegen, so dass es zwingend einer Vereinbarung bedarf (siehe oben).+In vielen Fällen wird im Verhältnis von Personalrat und Dienststelle eine Gemeinsame Verantwortlichkeit gemäß [[https://dejure.org/gesetze/DSGVO/26.html|Art. 26]] DSGVO vorliegen, so dass es zwingend einer Vereinbarung bedarf (siehe oben). Zur Ausgestaltung siehe: [[https://www.baden-wuerttemberg.datenschutz.de/mehr-licht-gemeinsame-verantwortlichkeit-sinnvoll-gestalten/|Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg: Mehr Licht! – Gemeinsame Verantwortlichkeit sinnvoll gestalten]], wobei das dort verwendete Muster gekürzt werden kann und für eine kurzfristige Verwendung auch radikal gekürzt werden sollte.
  
-Denkbar sind auch Fälle, in denen sowohl die Dienststelle als auch der Personalrat [[:Verantwortlicher|Verantwortliche]] sind, ohne dass eine Gemeinsame Verantwortlichkeit vorliegt. In diesem Falle eine Datenübermittlung auf der übermittelnden Seite eine Form der Verarbeitung und auf empfangenden Seite eine Form der Erhebung nicht bei der Betroffenen Person. Im Verhältnis zur Betroffenen Person müssen dann beide Verantwortliche ihre Pflichten erfüllen, dass bedeutet insbesondere, dass regelmäßig zwei Datenschutzerklärungen und Einträge in den jeweiligen [[:VVT]] notwendig sind.+Denkbar sind auch Fälle, in denen sowohl die Dienststelle als auch der Personalrat [[:Verantwortlicher|Verantwortliche]] sind, ohne dass eine Gemeinsame Verantwortlichkeit vorliegt. In diesem Falle ist eine Datenübermittlung auf der übermittelnden Seite eine Form der Verarbeitung und auf empfangenden Seite eine Form der Erhebung gemäß [[https://dejure.org/gesetze/DSGVO/14.html|Art. 14]] DSGVO nicht bei der Betroffenen Person. Im Verhältnis zur Betroffenen Person müssen dann beide Verantwortliche ihre Pflichten erfüllen, dass bedeutet insbesondere, dass regelmäßig zwei Datenschutzerklärungen und Einträge in den jeweiligen [[:VVT]] notwendig sind
 + 
 +== Vorübergehende Regelung zwischen Dienststelle und Personalrat == 
 + 
 +Angesichts der Ungewissheiten sollte eine vorübergehende Regelung ins Auge gefasst werden, die in etwa wie folgt lauten könnte:\\ \\ 
 +// 
 +Vereinbarung zwischen\\ 
 +...\\ 
 +(Dienststelle)\\ 
 +und \\ 
 +Personalrat der ...\\ 
 +(Personalrat)\\ 
 +\\ 
 +§ 1 Datenschutzrechtliches Verhältnis\\ 
 +Die Parteien gehen davon aus, dass aufgrund § 80 Abs. 1 S. 2 ThürPersVG neben der Dienststelle auch der Personalrat als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO anzusehen ist.\\ 
 +\\ 
 +§ 2 Austausch personenbezogener Daten\\ 
 +(1) Die Parteien sind sich darüber einig, dass wechselseitig die personenbezogenen Daten übermittelt werden, die zur Erfüllung der jeweiligen Pflichten insbesondere aus dem ThürPersVG erforderlich sind. Das betrifft insbesondere die notwendigen personenbezogenen Daten im Rahmen von mitbestimmungspflichtigen Angelegenheiten.\\ 
 +(2) Soweit die jeweiligen Rechtsgrundlagen oder sonstige verbindliche Regelungen Einschränkungen bei der Übermittlung personenbezogener Daten vorsehen, sind diese zusätzlich zum Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO zu beachten.\\ 
 +\\ 
 +§ 3 Pflichten als Verantwortliche\\ 
 +(1) Dienststelle und Personalrat erfüllen jeweils für sich die Pflichten als Verantwortliche insbesondere bei der Sicherheit der Verarbeitung (Art. 32 DSGVO) und der Führung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO). Die Parteien bemühen sich dabei um wechselseitige Unterstützung. Die Dienstelle stellt dem Personalrat die erforderlichen Mittel zur Erfüllung seiner Pflichten zur Verfügung.\\ 
 +(2) Wenn Verarbeitungen vorliegen, bei denen sowohl die Dienststelle als auch der Personalrat Verantwortlicher sind, erfüllt grundsätzlich die Dienstelle die Rechte betroffener Personen gemäß der Artt. 13 ff. DSGVO. Der Personalrat ist jedoch zuständig, wenn die betroffene Person dies ausdrücklich wünscht oder sich eine solche Zuständigkeit aus der Stellung des Personalrates ergibt.\\ 
 +(3) Die Pflicht zur Meldung (Art. 33 DSGVO), Benachrichtigung (Art. 34 DSGVO) und Datenschutzfolgenabschätzung (Art. 35 DSGVO) obliegt der Dienstelle, ausgenommen die Verfahren, bei denen allein der Personalrat Verantwortlicher ist. Die Parteien informieren sich über die Erfüllung derartiger Pflichten jeweils unverzüglich.\\ 
 +\\  
 +§ 4 Weiterentwickung der Vereinbarung\\ 
 +Die Parteien verpflichten sich, gemeinsam die Verarbeitungen personenbezogener Daten zu identifizieren und einer spezielleren Regelung zuzuführen, bei denen das erforderlich ist.// 
 + 
 +== Weitere regelungsbedürftige Themen == 
 + 
 +  * Bestellung Datenschutzbeauftragter 
 +  * Vorgehen bei weiteren Gremien (siehe unten), insbesondere JAV und Assistentenrat 
 + 
 + 
 +=== Verzeichnis von Verarbeitungstätigkeiten === 
 + 
 +Im [[:Verzeichnis von Verarbeitungstätigkeiten]] sind unter anderem folgende Bereiche, bei denen es sich teilweise um mehrere Verfahren handelt dürfte, zu dokumentieren: 
 + 
 +  * Anhörungen 
 +  * [[:Betriebliches Eingliederungsmanagement]] gemäß [[https://www.buzer.de/s1.htm?g=SGB%2BIX&a=167|§ 167]] Abs. 3 SGB IX 
 +  * [[:Email]]-Kommunikation 
 +  * Wahlen, vgl. § 23 ThürPersVG, insb. Aufstellung Wählerverzeichnis 
 +  * Sitzungen, vgl. § 34 Abs. 2 ThürPersVG 
 +    * Einladungen, inkl. Vorlagen 
 +    * Protokolle 
 +  * Zusammenarbeit mit anderen Gremien und Organisationen, §§ 34 Abs. 3, 36 (zu beachten: § 36 Abs. 1 S. 2), 40 ThürPersVG (Abs. 2 ist aber gegenstandslos) 
 +  * Sprechstunden, § 43 ThürPersVG 
 +  * Abrechnung/(Personal-)kosten, § 44 ThürPersVG 
 +  * Schulungsveranstaltungen, § 46 ThürPersVG 
 + 
 +Hinweis: Pflicht zu VVT entfällt soweit die Verarbeitung vollständig "analog" durchgeführt wird gemäß [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=DSG+TH+%C2%A7+2&psml=bsthueprod.psml&max=true|§ 2]] Abs. 4 S. 2 ThürDSG, wonach kein VVT gemäß [[https://dejure.org/gesetze/DSGVO/30.html|Art. 30]] DSGVO zu führen ist, für "nichtautomatisierte Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen".
  
 === Weitere Gremien === === Weitere Gremien ===
Zeile 81: Zeile 131:
   * [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+80&psml=bsthueprod.psml&max=true|Quelle Wortlaut]]   * [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=PersVG+TH+%C2%A7+80&psml=bsthueprod.psml&max=true|Quelle Wortlaut]]
   * [[http://www.parldok.thueringen.de/ParlDok/dokument/71206/68_sitzung_innen_und_kommunalausschuss.pdf#page=66|Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019]]   * [[http://www.parldok.thueringen.de/ParlDok/dokument/71206/68_sitzung_innen_und_kommunalausschuss.pdf#page=66|Quelle Begründung (PDF): Innen-und Kommunalausschuss, 68. Sitzung am 21. März 2019]]
 +
 +
  
 {{tag>Artikel ThuerDSG}} {{tag>Artikel ThuerDSG}}
  
  
Drucken/exportieren
QR-Code
QR-Code § 80 Thüringer Personalvertretungsgesetz (erstellt für aktuelle Seite)