Auch Sie als Personalrat müssen erhobene Daten schützen und sichern. So sieht es auch der Gesetzgeber in der Anlage zu § 9 Bundesdatenschutzgesetz (BDSG) vor. Dort werden detailliert die technischen und organisatorischen Maßnahmen aufgeführt. Sie sind für die Umsetzung dieser Maßnahmen im Personalratsbüro verantwortlich. Denken Sie hier vor allem an die folgenden Maßnahmen:
Zutrittskontrolle
Unbefugten ist der Zutritt zu Räumen, in denen personenbezogene Daten verarbeitet werden, zu verwehren (Zutrittskontrollsysteme). Das Personalratsbüro ist nur den Personalratsmitgliedern zugänglich zu machen. Sind keine Personen in dem Büro, ist es zu verschließen.
Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Passwörter). Der Zugang zu den PCs ist mit einem Passwort zu sichern. Inwieweit Sie eine personalisierte Benutzeranmeldung durchsetzen oder eine gemeinsame Benutzerkennung für alle Personalratsmitglieder einsetzen, bleibt Ihnen überlassen. Die Passwörter sind vertraulich zu behandeln.
Werden im Personalratsbüro vertrauliche Akten verwahrt, sind diese in verschlossenen Schränken aufzubewahren. Sind auf den PCs oder Datenträgern im Personalratsbüro sensible personenbezogene Daten gespeichert, sollten Sie als Personalrat durchsetzen, dass diese Daten verschlüsselt werden.
Zugriffskontrolle
Jeder Nutzer darf nur auf die Daten zugreifen, für die er eine Berechtigung hat (Benutzerverwaltung). Werden die Daten auf den PCs ausschließlich von Personalratsmitgliedern genutzt, müssen Sie keine Benutzerverwaltung umsetzen.
Im Personalratsbüro müssen alle Personalratsmitglieder auf die gleichen Daten Zugriff erhalten. Haben Sie jedoch eine Hilfskraft im Personalratsbüro beschäftigt, müssen Sie dafür Sorge tragen, dass diese keinen Zugriff auf die personenbezogenen Daten hat.
Weitergabekontrolle
Personenbezogene Daten dürfen bei der Weitergabe nicht unbefugt gelesen, verändert oder entfernt werden können (Verschlüsselung!). Als Personalrat sollten Sie die Weitergabe und den Transport von personenbezogenen Daten aus dem Personalratsbüro hinaus strikt verbieten.
Lassen Sie alle Schnittstellen (DVD-Laufwerke sowie USB-Anschlüsse) der PCs sperren. Hierzu gibt es entsprechende Programme, die Sie über Ihre IT-Abteilung installieren lassen können. In Ausnahmefällen müssen Sie dafür sorgen, dass die Daten nur in verschlüsselter Form transportiert werden.
Eingabekontrolle
Es muss nachträglich geprüft werden können, welche Daten von welchen Personen verarbeitet wurden (Protokollierung). Werden sensible Daten verarbeitet, sollten Sie als Personalrat eine personalisierte Benutzeranmeldung einführen. Nur so können entsprechende Protokolle geführt werden und Sie im Zweifel nachweisen, welche Daten von welchen Personen verarbeitet wurden. Moderne Betriebssysteme und Softwareprodukte können solche Protokolle erstellen. Sprechen Sie dies mit der IT-Abteilung in Ihrer Dienststelle ab!
Auftragskontrolle
Personenbezogene Daten dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden (Auftragsdatenverarbeitung, Verträge, Kontrollen). Wenn Sie personenbezogene Daten an einen Dienstleister oder andere Stellen (Gewerkschaft, Druckereien usw.) geben, so handelt es sich um Auftragsdatenverarbeitung nach § 11 BDSG. Hierbei müssen Sie den entsprechenden vertraglichen Verpflichtungen und Kontrollpflichten nachkommen.
Wenden Sie sich als Personalrat an den betrieblichen Datenschutzbeauftragten. Ihm liegen entsprechende Standardverträge vor.
Verfügbarkeitskontrolle
Personenbezogene Daten müssen gegen zufällige Zerstörung geschützt sein (Datensicherung, Back-up-Systeme). Als Personalrat sind Sie auch dafür verantwortlich, dass die Ihnen anvertrauten Daten vor Verlust geschützt sind. Sind die PCs im Firmennetzwerk, werden die Daten in der Regel zentral gesichert. Ist dies nicht der Fall, sollten Sie die Daten regelmäßig auf Datenträgern (DVD, USB-Stick oder Festplatte) sichern. Speichern Sie diese Datensicherungen in verschlüsselter Form ab und verwahren Sie sie sicher.
Trennungsgebot
Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können (Mandantensysteme). Zwischen den Personalratsmitgliedern ist ein Trennungsgebot nicht erforderlich. Haben jedoch auch andere Personen Zugang zu den PCs, dürfen sie keinen Zugriff auf personenbezogene Daten des Personalrats haben.
Am sichersten ist es, wenn Sie die entsprechenden Daten in verschlüsselter Form speichern. So können die entsprechenden Personen zwar den PC benutzen, haben aber keinen Zugriff auf die verschlüsselten Daten.
Wichtig
Ernennen Sie im Gremium einen eigenen Datenschutzbeauftragten, der die Umsetzung des Datenschutzrechts für den Personalrat in die Hand nimmt. Diese Person ist kein betrieblicher Datenschutzbeauftragter im Sinne des BDSG, sondern kommt aus Ihrem Gremium und dient Ihrer Selbstkontrolle.
Das dafür ausgewählte Personalratsmitglied sollte sich intensiv mit den Vorgaben des Datenschutzrechts befassen und die Aufgaben nach dem BDSG wahrnehmen, die der Datenschutzbeauftragte im Personalratsbüro nicht wahrnehmen kann bzw. darf. Dabei gilt es zu bedenken, dass Sie selbstverständlich eine Kontrolle durch Ihren betrieblichen Datenschutzbeauftragten dulden oder erlauben können. Das gilt besonders dann, wenn ein gutes Vertrauensverhältnis zwischen Ihnen besteht.
Wenn Sie mit Clouds arbeiten
Nutzen Sie bereits Clouds? Wenn ja, speichern Sie Ihre Daten auch auf Systemen eines externen Dienstleisters. Das Problem: Speicherorte, Sicherheitsvorkehrungen und Zugriffsmöglichkeiten ausländischer Behörden unterliegen nicht Ihrer Kontrolle. Werden die Daten etwa bei einem amerikanischen Unternehmen gespeichert, haben amerikanische Behörden uneingeschränkten Zugriff auf diese Daten. Denken Sie hier nur mal an den NSA-Skandal.
Das heißt aber nicht, dass Sie auf Clouds verzichten müssen, das wäre heute auch einfach nicht mehr zeitgemäß. Und außerdem sind Clouds ja auch sehr praktisch. Wenn Sie die folgenden Punkte beachten, dann haben Sie schon einiges für Ihre Datensicherheit getan und können die Cloud verwenden.
• Die Datenspeicherung erfolgt innerhalb der EU.
• Der Anbieter ist zertifiziert (TÜV, ISO 27001).
• Die Verschlüsselung der Daten ist sichergestellt.
• Die Verschlüsselung erfolgt vor der Speicherung in der Cloud.
• Passwörter und Verschlüsselungs-Keys werden sicher verwahrt.
• Der Zugriff auf die Daten erfolgt ausschließlich vom Personalrats-PC aus.
Bitten Sie alle Ihre Kolleginnen und Kollegen, sich an die aufgeführten Punkte zu halten. Dann sollte nichts passieren. Es nützt ja nichts, modern mit Clouds zu arbeiten und dabei Rechtsverstöße zu begehen.
Tipp
Neue Dinge auszuprobieren ist immer gut und oft auch hilfreich. Seien Sie aber im Bereich Internet immer auch vorsichtig. Denn besonders das Internet liefert viele datenschutzrechtliche Stolperfallen und bietet viele Einbruchstellen zum Datenklau! Ich sage immer: Neues probiere ich gerne aus, aber erst wenn ich mich damit auskenne. Sonst kann man in zu viele Fallen tappen und nicht wieder gut zu machenden Schaden anrichten. Das gilt es auf alle Fälle zu vermeiden.
Das müssen Sie bei der Datennutzung und -speicherung beachten
Nach § 3a BDSG dürfen nur so viele Daten erhoben und genutzt werden, wie es zur Aufgabenerfüllung zwingend erforderlich ist. Ebenso müssen Sie die Daten anonymisieren oder pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist. Werden die Daten nicht mehr benötigt, sind sie zu löschen oder zu sperren.
Nachstehend habe ich Ihnen eine Übersicht zusammengestellt, aus der Sie die wichtigsten Maßnahmen entnehmen können, die Sie bei der Verarbeitung und Sicherung Ihrer Daten beachten müssen. Gehen Sie die Übersicht am besten Punkt für Punkt durch. Führen Sie eine Art Datenkalender, in dem Sie notieren, wann welche Daten gelöscht werden können. So bleibt Ihr Datenbestand immer schlank und Sie setzen sich nicht dem Vorwurf des unberechtigten Speicherns von Daten aus.
Oder nehmen Sie sich doch mal alle 6 Monate Ihren PC und Ihren Aktenschrank vor. Werfen Sie alles weg bzw. löschen Sie, was Sie nicht mehr brauchen und auch nicht aus rechtlichen Gründen (Fristen) aufheben müssen. So kommen Sie gar nicht in die Gefahr der Datenklauberei. Und Ihr Büro bleibt auch noch schön aufgeräumt, das ist doch was!
Übersicht: Sicherer Umgang mit Daten |
|
|
Anonymisierung |
Die Daten müssen so verändert werden, dass ein Rückschluss auf die Person ausgeschlossen ist. Eine Anonymisierung muss nur dann durchgeführt werden, wenn dadurch im Verhältnis zum Schutzzweck kein unverhältnismäßiger Aufwand entsteht. Ein typisches Beispiel ist das Schwärzen von Daten. |
|
Pseudonymisierung |
Die Daten müssen dahingehend verändert werden, dass die |
|
Berichtigung |
Personenbezogene Daten sind aktuell zu halten und müssen berichtigt werden, wenn sie fehlerhaft sind (Hinweis des Betroffenen, Daten aus anderen Quellen). Geschätzte Daten sind deutlich als solche zu kennzeichnen. |
|
Löschung |
Personenbezogene Daten sind zu löschen, wenn ihre Speicherung unzulässig oder die Speicherung für den Zweck nicht mehr erforderlich ist (etwa Bewerberdaten nach Ablehnung der Bewerbung). Die Daten sind so zu löschen, dass eine Wiederherstellung unmöglich ist. Ist die Löschung mit einem unverhältnismäßig hohen Aufwand verbunden (Datensicherungen), sind organisatorische Maßnahmen zu ergreifen, die einen Missbrauch verhindern |
|
Sperrung |
Personenbezogene Daten sind zu sperren, wenn einer Löschung gesetzliche oder vertragliche Auf – bewahrungsfristen entgegenstehen (Lohnsteuer, Gleichstellungsgesetze, Rechnungsdaten). Wird die Richtigkeit der Daten von dem Betroffenen bestritten, sind diese Daten ebenfalls zu sperren. |
