Grundsätze der Datenverarbeitung in der Betriebsratsarbeit
Der Betriebsrat darf personenbezogene Daten verarbeiten, allerdings sind dabei einige Grundsätze zu berücksichtigen und einzuhalten.
Grundsätze zur Verarbeitung personenbezogener Daten
- Grundsatz: Rechtmäßigkeit der Verarbeitung
Für jede Verarbeitung muss eine Rechtsgrundlage vorhanden sein. Diese kann sich beispielsweise aus einem Gesetz, einem Kollektivvertrag oder einer Einzelzustimmung der betroffenen Person ergeben.
- Grundsatz: Zweckbindung
Daten dürfen nur erhoben werden, wenn dafür ein legitimer Zweck festgelegt wurde. Die so erhobenen Daten dürfen auch nur für den ursprünglich festgelegten Zweck verarbeitet werden.
- Grundsatz: Richtigkeit
Die verarbeiteten Daten müssen auf dem neuesten Stand sein.
- Grundsatz: Datenminimierung
Es dürfen nur jene Daten verarbeitet werden, die angemessen sind, um den festgelegten Zweck zu erreichen. Eine "überschießende" Datenerhebung soll dadurch unterbunden werden.
- Grundsatz: Treu und Glauben
Die Verarbeitung muss nach Treu und Glauben erfolgen. Dies ist insbesondere bei Interessenabwägungen zu berücksichtigen.
- Grundsatz: Transparenz
Die personenbezogene Datenverarbeitung muss für die betroffene Person nachvollziehbar sein.
- Grundsatz: Speicherbegrenzung
Die verwendeten Daten dürfen nur solange gespeichert werden, bis der festgelegte Verarbeitungszweck erreicht ist. Nach Ablauf dieser Frist sind die Daten zu löschen oder zu anonymisieren.
- Grundsatz: Integrität und Vertraulichkeit
Die verwendeten Daten müssen vertraulich behandelt und geschützt werden.
Hinweis
Um datenschutzkonform zu sein, müssen bei jeder einzelnen Verwendung von personenbezogenen Daten alle Grundsätze erfüllt sein.
Rechenschaftspflicht
Verantwortliche haben all diese Grundsätze bei jeder Datenverarbeitung anzuwenden und die Einhaltung nachzuweisen (= Rechenschaftspflicht).
Um dies zu gewährleisten, hat man als Verantwortliche/-r (und somit auch als Betriebsrat und BR-Fonds) ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wo alle Verarbeitungen einzeln aufgelistet werden - unter Angabe von Zweck, Löschfrist und allen weiteren Grundsätzen sowie den getroffenen Datensicherheitsmaßnahmen.
Der Betriebsrat braucht keinen Datenschutzbeauftragten!
Es ist wichtig, dass sich jemand um den Datenschutz kümmert. Diese Person sollte aber nicht als Datenschutzbeauftragte/r bezeichnet werden, da sie sonst unter die strengen Vorschriften des/der Datenschutzbeauftragten in der DSGVO fallen würde.
Checkliste: Das sollten Sie beachten
- Zuständigkeit klären
Wer kümmert sich im BR-Büro um den Datenschutz?
- Daten auflisten
Welche Daten habe ich als BR (elektronisch / nicht elektronisch)?
- Zwischen sensiblen und nicht sensiblen Daten unterscheiden
Verarbeite ich beispielsweise Gesundheitsdaten?
- Betroffene ermitteln
Wer ist von der Datenverarbeitung betroffen?
- Empfängerkreise auflisten
An wen werden die Daten übermittelt? Wer kann sie sehen?
- Rechtmäßigkeit prüfen
Habe ich für jede Datenverarbeitung eine rechtliche Grundlage?
- Erhebungen (1-6) im Verarbeitungsverzeichnis festhalten
(inklusive Löschfristen)
- Datensicherheitsmaßnahmen (technisch, personell und organisatorisch) einführen und im Verarbeitungsverzeichnis dokumentieren
- Auftragsverarbeiter erfassen
Beauftrage ich jemand Externen für mich, eine Datenverarbeitung durchzuführen? (spezielle Vorschriften)
- Umgang mit Begehren von der Datenverarbeitung betroffener Personen festlegen
Wie gehe ich als BR mit Anfragen der Betroffenen bezüglich ihrer Rechte auf Auskunft, Berichtigung und Löschung um?