3 Fragen zum Datenschutz im Büro der Interessenvertretung
Seitdem die DSGVO in Kraft ist, sind die Anforderungen an den Datenschutz höher geworden. Das gilt auch für das Büro der Interessenvertretung. Welche Daten dürfen Betriebs- und Personalräte jetzt noch verarbeiten? Müssen alle Daten verschlüsselt sein? Antworten gibt Josef Haverkamp, Autor unseres neu aufgelegten Ratgebers zum Datenschutz.
Welche Auswirkungen hat die DSGVO auf den Datenschutz im Büro der Interessenvertretungen?
Die Datenschutzanforderungen sind höher geworden, daher muss sich eine Interessenvertretung verstärkt um den Datenschutz kümmern und die interne Verarbeitung von personenbezogenen Daten überprüfen und Regeln aufstellen. Konkret bedeutet das, zu klären, wer unter welchen Bedingungen Zugang zu den Räumen der Interessenvertretung hat (Reinigungskräfte, Hausmeister …) und wer auf personenbezogene Daten zugreifen kann und darf (z. B. am PC). Eine Interessenvertretung benötigt daher ein eigenes Sicherheitskonzept, das alle Fragen des Datenschutzes einheitlich festlegt und zwar bis hin zu den Löschfristen und der Art der Löschung.
Welche Daten darf die Interessenvertretung verarbeiten?
Es ändert sich erst einmal nichts, da die DSGVO und das BDSG die Mitbestimmungsrechte der gesetzlichen Interessenvertretungen nicht aushebeln! Trotzdem muss man aufpassen, denn viele Arbeitgeber vertreten die Ansicht, dass die DSGVO fordert, dass jede Anfrage einzeln zu prüfen sei. Auf diesem Hintergrund würden sie gerne nur noch anonymisierte Daten rausgeben. Handelt es sich es um eine Anfrage der Interessenvertretung, bei der die Namen der Beschäftigten nicht notwendig sind, um die Mitbestimmungsrechte wahr zu nehmen, so ist das ok, aber nicht wenn die Namen benötigt werden, um beispielsweise die Einhaltung einer Betriebs- oder Dienstvereinbarung oder eines Gesetzes zu überprüfen.
Müssen Interessenvertretungen jetzt alle ihre Daten verschlüsseln?
Ein wirksamer Schutz personenbezogenen Daten ist nur mit einer guten Verschlüsselung gegeben: Dateien mit personenbezogenen Daten müssen sowohl im täglichen Gebrauch, wie auch bei der Datensicherung verschlüsselt sein. Das Minimum ist bei Windows die Bitlocker-Verschlüsselung, allerdings ist dabei darauf zu achten, dass es immer eine betriebliche Hintertür gibt. Diese muss vom Gremium in einer Betriebs- oder Dienstvereinbarung klar geregelt werden. Auch per Mail sollten keine unverschlüsselten personenbezogenen Daten verschickt werden.
Quelle: www.bund-verlag.de