10.12.2019

So gestalten Sie Ihr Personalratsbüro datenschutzkonform

Nach der Datenschutz-Grundverordnung (DSGVO) sind Maßnahmen zu treffen, um die Datensicherheit zu garantieren. Was heißt das für Sie als Personalrat? Welche Maßnahmen sind für das Personalratsbüro zu treffen? Lesen Sie hier 9 Tipps, mit denen Sie den Datenschutz problemlos gewährleisten. 

1. Umfassender Systemschutz 

Kümmern Sie sich darum, dass es auf allen Computern, Tabletts, Laptops etc., auf denen Sie personalratsbezogene Daten speichern, einen umfassenden und aktuellen Virenschutz gibt. Ihre Dienststelle muss dafür Sorge tragen, dass Ihre Systeme Firewall-geschützt sind. 

2. Richtiger Umgang mit Passwörtern 

Ihre Passwörter sollten sicher sein, also nicht eine simple Zahlenfolge wie 12345, sondern gemischt, das heißt: mit Buchstaben, Zahlen, Sonderzeichen, Groß- und Kleinschreibung und natürlich auch Umlauten. Zudem sollten Sie die Passwörter regelmäßig ändern, das heißt mindestens jeden Monat. Und selbstverständlich sollte allen Kollegen klar sein, dass das Passwort nicht an Dritte weitergegeben wird oder auf einem Post-it am Bildschirm hängt. 

3. Vorsicht bei Mithörern 

Es sollte selbstverständlich sein, dass Telefonate, in denen personenbezogene Daten besprochen werden, nur so geführt werden, dass keine Unbefugten mithören. Dazu gehört auch das berühmte Telefonieren im Zug. Hier erlebt man es immer wieder, dass personenbezogene Daten für alle Mitreisenden hörbar besprochen werden, natürlich nicht nur von Personalräten. Personenbezogene Sachen werden nicht in öffentlichen Verkehrsmitteln, im Café oder im Biergarten besprochen, merken Sie sich das! 

4. Türen und Schränke sind abgeschlossen 

Sobald ein Raum verlassen wird, sind Schränke, Rollcontainer usw., in denen personenbezogene Daten (auch in Papierform) oder Datenträger aufbewahrt werden, abzuschließen. Das gilt selbstverständlich auch für das Personalratsbüro selbst. Die Schlüssel müssen sorgfältig aufbewahrt werden. Reinigungskräfte, Praktikanten oder Besucher dürfen Ihre Daten keinesfalls zu Gesicht bekommen. 

5. Keine Unbefugten am PC oder anderen Datenträgern 

Die PCs des Personalrats benutzen nur Sie und die Mitglieder Ihres Gremiums und sonst keiner. Sie lassen nicht mal schnell den Kollegen X etwas ausdrucken oder Frau Y schnell die E-Mails checken. Die Verlockung, auf verbotene Daten zu gucken, ist zu groß. Lassen Sie es nicht drauf ankommen, das lohnt sich sicherlich nicht! 

6. Richtige Entsorgung von Datenträgern 

Auch hier besteht das Problem in erster Linie (aber nicht nur) bei der Entsorgung von privaten Datenträgern, auf denen Personalratsmitglieder personenbezogene Daten über Kollegen gespeichert haben. 

Beispiel: Daten professionell löschen. Ein Personalrat nutzt für die Personalratsarbeit seinen privaten Laptop. Als er sich ein neues Gerät angeschafft hat, verkauft er den bisher genutzten Laptop auf eBay. Er hat die Daten aus der Personalratsarbeit zwar vorher „gelöscht“, weiß aber nicht, dass es technisch ohne Weiteres möglich ist, diese Daten wiederherzustellen. 

Es gibt eine ganze Reihe von Presseberichterstattungen – auch in Bezug auf Betriebsräte und Gewerkschaften –, in denen verkaufte Computer oder Festplatten untersucht wurden. Häufig waren die Verkäufer der Auffassung, dass die Datenträger ausreichend geleert wurden. Das war in der Regel nicht der Fall. Datenträger, auf denen personenbezogene Daten gespeichert sind, müssen (!) professionell entsorgt werden. Notfalls sollte vor Verkauf von PCs, Laptops, aber auch Kopierern etc. z. B. schlicht die Festplatte ausgebaut und nicht mitverkauft werden. Der Weiterverkauf birgt erhebliche datenschutzrechtliche Risiken. Machen Sie dies auch Ihren Personalratskollegen klar. 

7. Papierunterlagen richtig entsorgen 

Tipp 6 gilt analog für die Entsorgung von Papierunterlagen sowohl im Personalratsbüro als auch zu Hause. Achten Sie darauf, dass nach einer Personalratssitzung sämtliche Unterlagen, aus denen sich personenbezogene Daten ergeben, wieder sicher verschlossen werden. Nicht mehr benötigte Daten und Unterlagen sollten Sie professionell entsorgen lassen. 

8. Unverschlüsselte Übertragung von personenbezogenen Daten per E-Mail 

Die unverschlüsselte Übertragung von personenbezogenen Daten per E-Mail ist ein weiteres Problem. Im Rahmen der Personalratsarbeit passiert dies gelegentlich dann, wenn Gremiumskollegen Informationen mit personenbezogenen Daten per E-Mail an ihre private E-Mail-Adresse schicken, um sie zu Hause weiter zu bearbeiten. Sofern die Datenübertragung nicht verschlüsselt erfolgt, besteht hier ein Problem. Außerdem sollten Sie das – wie schon oben beschrieben – sowieso besser nicht tun. 

9. Backups anfertigen 

Zur Datensicherheit gehört auch, dass verloren gegangene oder beschädigte Daten wiederhergestellt werden können. An einem regelmäßigen Back-up führt also weder aus praktischen noch aus datenschutzrechtlichen Gesichtspunkten ein Weg vorbei. Stellen Sie sicher, dass der Personalrats-PC automatisiert entsprechende Back-ups anfertigt. Prüfen Sie auch, ob sich die Back-ups problemlos zurückspielen lassen. Hier fühlten sich schon viele in einer Scheinsicherheit, weil sie zwar Back-ups hatten, die Rückspeicherung aber nicht sauber funktionierte. 

Weitere Beiträge zu diesem Thema