Verfahrensverzeichnis
[Start]

 

Seminare zu dem Thema:

E01: Der wirkungsvolle EDV-Ausschuss - Teil : Gläserne Arbeitnehmer

E02: Der wirkungsvolle EDV-Ausschuss - Teil II: Umsetzung der Mitbestimmungsrechte

Ein wichtiges Instrument zur Sicherstellung der Transparenz und zu Dokumentation darüber, dass z. B. die Vorschriften des § 28 Abs. 1 BDSG eingehalten werden, ist ein nach §4e BDSG vorgeschriebenes Verzeichnis. Dieses Verzeichnis muss folgende Angaben enthalten:

  • Name oder Firma der verantwortlichen Stelle (Hinweis: die verantwortliche Stelle ist nicht notwendigerweise auch die speichernde Stelle. Wenn der Arbeit- geber die Datenverarbeitung ganz oder teilweise an ein anderes Unternehmen übertragen hat, so ist dieses andere Unternehmen die speichernde Stelle, die verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG ist und bleibt aber der Arbeit- geber. Vergleiche dazu auch § 11 BDSG, wo es heißt, dass der Auftraggeber einer Datenverarbeitung dafür verantwortlich ist, die Vorschriften zum Datenschutz einzuhalten).
     
  • Die Person(en), die nach Gesetz oder Verfassung des Unternehmens die Verant- wortung trägt/tragen - normalerweise die gesetzlichen Vertreter des Unterneh- mens, z. B. Geschäftsführer, Vorstandsvorsitzende etc.
     
  • Die Person(en), die für die Datenverarbeitung verantwortlich ist/sind.
     
  • Die Anschrift der verantwortlichen Stelle.
     
  • Die Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung (s. § 28 Abs. 1 Satz 2 BDSG).
     
  • Beschreibung der Personengruppen, über die Daten erhoben, verarbeitet oder genutzt werden, also z. B. Arbeitnehmer, Kunden etc.
     
  • Beschreibung der Daten, die über diese Personengruppen erhoben, verarbeitet oder genutzt werden (Hier ist das Gesetz nicht besonders präzise hinsichtlich der Detailgenauigkeit: Bei enger Auslegung bedeutet dies: Sämtliche Datenfelder z. B. der Datenbank, die der Personalverwaltung von SAP HR zugrunde liegt, wenn man den Begriff “Datenkategorien” betrachtet, würde es aber schon ausreichen, grob zu skizzieren, welche Art von Informationen gespeichert werden, also z. B. “Adressdaten, Kontodaten, Anwesenheitsdaten” etc.).
     
  • Empfänger, an die diese Daten weitergegeben werden können.
     
  • Fristen, nach denen die Daten regelmäßig gelöscht werden.
     
  • Ggf. geplante Übermittlung von Daten an Drittstaaten.
     
  • Eine Beschreibung der Maßnahmen, die nach § 9 BDSG und seiner ergänzenden Anlage vorgeschrieben sind, um die Einhaltung des Datenschutzes sicher- zustellen, damit beurteilt werden kann, ob diese Maßnahmen angemessen sind.

Dieses Verzeichnis muss dem Beauftragten für den Datenschutz zur Verfügung ge- stellt werden (§ 4g Abs. 2 BDSG). Die Angaben müssen um die Information ergänzt werden, welche Personen bzw. Personengruppen Zugriff auf die Daten haben.

Der Datenschutzbeauftragte muss dieses Verzeichnis mit Ausnahme des letzten Punk- tes - Beschreibung der Maßnahmen nach § 9 BDSG - und der Liste der zugriffsberech- tigten Personen veröffentlichen. Intern in jedem Fall und, soweit Daten von Personen außerhalb des Betriebes gespeichert werden, auch öffentlich (§ 4g Abs. 2 Satz 2 BDSG).

Ein Beispiel für ein recht knapp gehaltenes aber gerade noch ausreichendes Verfahrens- verzeichnis finden Sie hier.

Um noch einmal zu betonen: Mit personenbezogenen Daten sind nicht nur Daten aus der Personalverwaltung gemeint. Es wurde schon erläutert, dass der Begriff der personenbezogenen Daten sehr weit gefasst ist - auch Betriebsdaten z. B. aus Ma- schinenprotokollen, der Telefondatenerfassung, der Arbeitszeiterfassung, Zugangs- kontrollen, u U. haustechnischen Anlagen, natürlich sämtliche Protokolle, die in IuK-Sys- temen aller Art anfallen (Windows-Ereignisanzeige, SAP-Transaktionsprotokoll, Proxy- Protokolle, Daten aus dem Mail-System etc.) gehören zu den personenbezogenen Daten i. S. d. § 3 BDSG. Und weil diese Daten zu den personenbezogenen Daten gehören, müs- sen sie auch im Verfahrensprotokoll genannt werden - samt Zweckbestimmung.

Der Betriebsrat hat die Pflicht, darüber zu wachen, dass die zum Schutz der Beschäf- tigten geltenden Gesetze im Betrieb eingehalten werden (§ 80 Abs. 1 Nr.1 BetrVG). Damit hat er auch die Aufgabe, darüber zu wachen, ob das Bundesdatenschutz- gesetz eingehalten wird.

Zwei Verpflichtungen aus dem Bundesdatenschutzgesetz sind, das hier beschriebene Verfahrensverzeichnis zu erstellen und größtenteils zu veröffentlichen - zum ersten ist der Betrieb oder das Unternehmen als verantwortliche Stelle verpflichtet, zum zweiten der Beauftragte für den Datenschutz. Also ist ein erster Schritt, den ein Betriebsrat unternehmen sollte, um seine Aufsichtspflicht wahrzunehmen, dieses Verfahrensver- zeichnis anzufordern und zu überprüfen, ob es wirklich - wie in § 4g Abs. 2 Satz 2 BDSG vorgeschrieben - vom Datenschutzbeauftragten für “jedermann” zugänglich gemacht,
z. B. an prominenter Stelle im Intranet oder am Schwarzen Brett veröffentlicht wurde.

Der Arbeitgeber muss dem Betriebsrat lt. § 80 Abs. 2 BetrVG alle Informationen geben, die dieser benötigt, um seine Aufgaben zu erfüllen, ggf. muss er dem Betriebsrat auch schriftliche Unterlagen aushändigen (§ 80 Abs. 2 Satz 2 BetrVG).

Das Verfahrensverzeichnis ist solch eine Unterlage, die der Betriebsrat anfordern kann. Die zu veröffentlichende Fassung des Verfahrensverzeichnisses ist jedoch um zwei Punkte gegenüber der Fassung, die der Datenschutzbeauftragte erhält, gekürzt, nämlich um die Beschreibung der Maßnahmen, die nach § 9 BDSG vorgeschrieben sind und um die Liste der zugriffsberechtigten Personen.

Das veröffentlichte Verfahrensverzeichnis dient jedem potenziell Betroffenen dazu, fest- zustellen, ob und inwiefern er tatsächlich von einer Erfassung, Speicherung, Verarbei- tung oder Nutzung seiner Daten betroffen ist, und welchem Zweck die Daten verwendet werden.

Ein Betriebsrat hat aber ein viel weitergehendes Informationsbedürfnis, weil er ja grund- sätzlich über die Einhaltung des Datenschutzes - jedenfalls soweit es die Arbeitnehmer betrifft - zu wachen hat, und nicht “nur” als potenziell selbst Betroffener. Darum hat ein Betriebsrat einen Anspruch darauf, die gleichen Informationen zu erhalten, wie sie auch der Beauftragte für den Datenschutz erhält, und nicht nur die gekürzte veröffentlichte Fassung.

Ein Betriebsrat sollte daher darauf bestehen, ausführlich über sämtliche Sachverhalte im Zusammenhang mit dem Datenschutz aufgeklärt zu werden. Und damit sind wie bereits mehrfach betont nicht nur die personenbezogenen Daten gemeint, die in der Personal- verwaltung gespeichert sind. Der Betriebsrat hat einen Rechtsanspruch darauf, über die Erhebung, Speicherung, Verarbeitung und Nutzung sämtlicher personen- bezogener Daten der Beschäftigten in allen Systemen, die vom Betrieb oder im Auftrag des Betriebes bestehen, informiert zu werden.

Das können wir für Sie tun:

  • Wir beraten und unterstützen Sie als Sachverständige im Rahmen des § 80 Abs. 3 BetrVG bei Ihren Aufgaben.
     
  • Wir prüfen für Sie und mit Ihnen gemeinsam, wo und in welcher Funktion perso- nenbezogene Daten in Ihrem Betrieb erfasst, gespeichert, verarbeitet oder genutzt werden.
     
  • Wir ermittelt für Sie und mit Ihnen zusammen, ob die Regelungen des Datenschut- zes zum Schutz der Beschäftigten in Ihrem Betrieb eingehalten werden, und ent- wickeln bei Bedarf ein Datenschutzkonzept.
     
  • Wir führen für Sie Schulungen im Rahmen des § 37 Abs. 6 BetrVG durch, die an Ihre Bedürfnisse und Ansprüche angepasst sind.

Hier finden Sie Seminare zu dem Thema:

E01: Der wirkungsvolle EDV-Ausschuss - Teil : Gläserne Arbeitnehmer

E02: Der wirkungsvolle EDV-Ausschuss - Teil II: Umsetzung der Mitbestimmungsrechte

© Axel Janssen, JES Janssen EDV Schulung und Beratung GmbH, Berlin 2001-2010 - Alle Angaben, Inhalte etc. ohne Gewähr

Telefon: 030-305 24 25, Fax: 030-305 24 22


Seminare für alle Betriebsräte und Personalräte

Zum Seminarprogramm