Nach dem geltenden Datenschutzrecht hat eine verantwortliche Stelle gem. Art. 32 DSGVO unter anderem sog. technisch-organisatorische Maßnahmen (TOM) für die Sicherheit der Datenverarbeitung durch angemessene Vorkehrungen zu ergreifen.
Dabei schreibt die DSGVO lediglich beispielshaft und dabei relativ abstrakt einige Maßnahmen vor, die ein solches Schutzlevel erreichen könnten, wie z.B. die Pseudonymisierung oder Verschlüsselung von personenbezogenen Daten. Auch sollen z.B. die „die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer“ sichergestellt werden.
Geeignete und angemessene Schutzvorkehrungen
Folglich ergibt sich hieraus die Pflicht des Verantwortlichen, für den Betrieb und auch den eigenen Räumlichkeiten entsprechende Maßnahmen zur Sicherheit der Verarbeitung zu treffen, denn schließlich kennen die verantwortlichen Personen des Unternehmens die örtlichen Gegebenheiten am besten. Diese sollten regelmäßig auf ihre Wirksamkeit hin überprüft und unter Umständen angepasst werden.
Der BR mit eigenen Schutzkonzept
Dem Betriebsrat kommt vor diesem datenschutzrechtlichen Hintergrund die besondere Aufgabe zu, neben den allgemeinen Vorkehrungen des Unternehmens auch ggfs. eigene, zusätzliche Sicherheitsvorkehrungen zu treffen, um dem Datenschutz bei der eigenen Arbeit angemessen zu begegnen. Insbesondere das Büro des Betriebsrates, in welchem in der Regel die sensiblen Daten der Beschäftigten (z.B. Bewerbungsunterlagen, bestimmte Auszüge aus Personalakten oder ein Unfallhandbuch) gespeichert oder abgelegt werden, sollte daher durch angemessene Vorkehrungen vor Zugriffen unbefugter Personen geschützt werden. Hier bietet sich ein abschließbarer und sicherer Schrank für die Unterlagen sowie eine eigene Türschließanlage mit einem Schlüssel an, der nur BR-MitgliederInnen gehört. Unter Umständen sollten sensible Papierunterlagen sogar in einem hierfür vorgesehenen Safe aufbewahrt werden.
Bei internen Versammlungen oder sensiblen Gesprächen sollte die Vertraulichkeit der Kommunikation gewährleistet sein. Auch deshalb bietet sich ein eigener, abschließbarer Raum inklusive Sichtschutz (im Falle einer Glastür) oder ein zusätzlicher Raum für bestimmte Gespräche an.
Die IT-Umgebung sollte möglichst eigenständig und auf Grundlage des „need-to-know“-Prinzips nur den Mitgliedern des BR zugänglich sein, so dass es zu keiner Vermischung von Unterlagen und Ordnern kommt. Eine organisatorische Anordnung könnte die „clean desk“-Policy sein, wonach beim Verlassen des Arbeitsplatzes und zum Feierabend sämtliche personenbezogenen Daten in Schränken oder Ablagefächer verschlossen abgelegt werden. Das „papierlose“ Büro dürfte hier in naher Zukunft Abhilfe leisten.
Sofern elektronische Dienste zum Einsatz kommen, die nicht ohnehin vom Arbeitgeber bzw. dem Verantwortlichen gestellt werden, ist der Abschluss von Verträgen über die Auftragsverarbeitung nach Art. 28 DSGVO nach vorheriger Überprüfung des Auftragsverarbeiters zu veranlassen. Hierbei ist es sinnvoll sich schon vorab mit dem Arbeitgeber auf einen Prozess zur Auswahl und Beauftragung von Dienstleistern zu einigen. Dafür kann beispielsweise § 4 unserer Muster-Regelungsabrede helfen (diese finden Sie unter „Muster-Dokumente“).
Ein elektronisches Postfach sollte nur BR-MitgliederInnen zugänglich sein und ggfs. vor Zugriffen der IT-Leitung oder der automatischen Archivierung im Unternehmen ausgenommen sein. Die normale dienstliche E-Mail-Adresse (maxmustermann@firma.de) sollte deswegen nicht für Betriebsratsthemen genutzt werden. Je nach Organisation und auch Größe des Betriebsrats kann es deswegen erforderlich sein, dass eine zusätzliche personalisierte E-Mail-Adresse für alle MitgliederInnen eingerichtet wird (maxmustermannBR@firma.de). Private E-Mail-Adressen der Mitglieder sind ohnehin unzulässig und in jedem Fall auszuschließen.
Ordnungsgemäße Vernichtung von Unterlagen
Auch die ordnungsgemäße Vernichtung bzw. Löschung der Daten und Unterlagen ist sicherzustellen. Jedoch sollte ein Schredder mit entsprechender Schutzklasse wie auch ein Drucker/Scanner nicht in den Räumlichkeiten des Unternehmens stehen, sondern idealerweise im Betriebsratsbüro, um die Einsichtnahme durch andere Beschäftigte oder externe Personen auszuschließen.
Regelmäßige Kontrolle
Die vom BR eigenständig etablierten TOMs sollten in datenschutzBR unter „Datenschutz“ in der Kachel „Technische und organisatorische Maßnahmen“ dokumentiert werden. Anschließend sind die Maßnahmenstets zu kontrollieren und ggfs. durch eine jährliche Kontrolle mit denkbaren Anpassungen/Verbesserungen nach dem Stand der Technik zu evaluieren. Hier sollte im Zweifel der Rat vom Arbeitgeber, Datenschutzbeauftragtem oder externen Beratungsunternehmen eingeholt werden, um in datenschutzrechtlicher Hinsicht eigenständig und sicher im Umgang mit personenbezogenen Daten zu arbeiten.