Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Chris Montgomery, Unsplash
In 6 Schritten zur datenschutzkonformen Personalvertretungssitzung
Die Corona-Pandemie hat die Arbeit von Personalvertretungen vor neue Herausforderungen gestellt. Vor allem zu Beginn fehlten darüber hinaus gesetzliche Regelungen. Das sieht mittlerweile anders aus. Dank einer Anpassung der entsprechenden Gesetze dürfen Personalvertretungen Sitzungen virtuell abhalten und sind auch in Telefon- und Videokonferenzen beschlussfähig. Zumindest bis Ende Juni 2021. Die benötigte technische Ausstattung müssen dabei Arbeitgebende zur Verfügung stellen, damit die Personalvertretungen ihren Aufgaben sachgerecht nachkommen kann.
Mit dem Recht auf virtuelle Personalvertretungssitzen kommen allerdings auch einige Anforderungen. Denn gerade in diesen Sitzungen werden zum Teil sensible personenbezogene Daten verarbeitet. Wir zeigen anhand der nächsten 6 Schritte, worauf Sie achten müssen, um datenschutzkonforme Sitzungen abzuhalten.
1. Wählen Sie ein datenschutzkonformes Tool
Bereits bei der Wahl des einzusetzenden Tools sollten Sie auf eine datenschutzkonforme Lösung achten. Vor allem von US-amerikanischer Software ist aufgrund der Schrems II-Problematik abzuraten – zumal da bei Sitzungen der Personalvertretung zum Teil besonders sensible Themen besprochen werden.
Prüfen Sie vor der Nutzung eines Videokonferenzsystems, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Dies ist dann der Fall, wenn sich voraussichtlich ein hohes Schadensrisiko für die Betroffenen ergibt. Müssen Sie keine Datenschutz-Folgenabschätzung durchführen, sollten Sie die Gründe dafür dokumentieren. So kommen Sie Ihrer Rechenschaftspflicht gegenüber der Aufsichtsbehörde nach.
2. Schließen Sie einen Auftragsverarbeitungsvertrag ab
Zusätzlich ist es notwendig, mit den Dienstleistenden der entsprechenden Videokonferenzlösung eine Auftragsverarbeitung zu vereinbaren. In dem Vertrag sollten Sie u.a. geeignete technische und organisatorische Maßnahmen, die dem Schutz von personenbezogenen Daten dienen, vereinbaren. Ist der Standort der Dienstleistenden außerhalb der EU müssen ausreichende Garantien für ein angemessenes Sicherheitsniveau gewährleistet sein, sofern kein Angemessenheitsbeschluss der EU-Kommission für das jeweilige Drittland vorliegt.
3. Nehmen Sie datensparsame Voreinstellungen vor
Laut DSGVO gilt das Prinzip der Datenminimierung. Erheben Sie also so wenige Daten wie möglich und nur so viele wie nötig. Das können Sie bereits durch datensparsame Voreinstellungen technisch vorgeben. Trackingfunktionen sollten Sie z.B. auf jeden Fall ausschalten. Achten Sie zusätzlich darauf, dass diese Einstellungen nicht durch die Teilnehmenden geändert werden können.
4. Schützen Sie Daten vor dem Zugriff Dritter
Sensible Personendaten sind nicht für die Ohren Dritter bestimmt und die Wahrung der Geheimhaltung gilt auch in virtuellen Sitzungen. Stellen Sie daher durch Zugangsbeschränkungen wie Passwörter sicher, dass sich Dritte nicht in die Sitzung einwählen können. In einigen Tools ist es zusätzlich möglich, die Konferenz zu schließen, wenn alle Teilnehmenden anwesend sind, sodass keine weiteren Personen hinzukommen können, selbst wenn sie das Passwort kennen.
Die einzelnen Mitglieder sollten auch vor Ort Maßnahmen treffen, damit keine unbefugten Personen mithören können. Dazu sollten sie unbedingt in einem geschlossenen Raum an der Sitzung teilnehmen.
Betreten Dritte während der Sitzung den Raum eines Mitglieds, sollte das entsprechende Mitglied dies sofort melden. Dann sollten Sie die Sitzung solange unterbrechen, bis die Wahrung der Geheimhaltung wieder sichergestellt ist.
5. Verhindern Sie Aufzeichnungen
Weisen Sie unter allen Umständen darauf hin, dass Aufzeichnungen nicht gestattet sind. Auch hier können Sie in den Voreinstellungen Aufzeichnungen verhindern. Lassen Sie sich zusätzlich von den Beteiligten bestätigen, dass diese keine Aufzeichnungen anfertigen.
6. Informieren Sie alle Mitglieder und erstellen Sie eine Richtlinie
Vor Beginn der Konferenz sollten Sie allen Mitgliedern eine Datenschutzinformation zukommen lassen. Darin erklären Sie insbesondere die Verarbeitungstätigkeiten im Zusammenhang mit dem Einsatz des gewählten Tools.
Zusätzlich kann es sinnvoll sein, eine Richtlinie zum Umgang mit dem Tool und datenschutzkonformen Personalvertretungssitzungen im Allgemeinen zu erstellen. Halten Sie hier die technischen und organisatorischen Maßnahmen und die Regelungen zum Schutz der Geheimhaltung fest. An dieser Stelle können Sie auch auf die Regeln zur Anwesenheit Dritter und zu Aufzeichnungen eingehen.
Videokonferenztools können die Arbeit von Personalvertretungen in der aktuellen Zeit deutlich erleichtern. In Punkto Datenschutz gibt allerdings einiges zu beachten. Arbeiten Sie daher unbedingt mit Ihrem Datenschutzteam zusammen und beziehen Sie es bei Entscheiden mit ein und holen Sie sich bei Unsicherheit externe Unterstützung.
Quellen
Branz, Anja Dr. und Laureen Lee (2020): „Rechtssichere Nutzung von Konferenz-Tools während der Krise“, Haufe, 27. April 2020, https://www.haufe.de/personal/arbeitsrecht/videokonferenz-tools-rechtliche-vorgaben-und-datenschutz_76_514612.html, letzter Zugriff am 07. Mai 2021.
Bundesministerium der Justiz und für Verbraucherschutz (2020): Betriebsverfassungsgesetz, § 129 Sonderregelungen aus Anlass der COVID-19-Pandemie, Gesetze im Internet, https://www.gesetze-im-internet.de/betrvg/__129.html, letzter Zugriff am 07. Mai 2021.
Haufe (2021): „Arbeitgeber muss Ausstattung für virtuelle Betriebsratsarbeit bereitstellen“, https://www.haufe.de/personal/arbeitsrecht/betriebsratsarbeit-in-der-corona-krise_76_512498.html, letzter Zugriff am 07. Mai 2021.
W.A.F. (o.J.): „Betriebsratsbeschluss per Videokonferenz – verlängert bis 30. 06.2021!“, betriebsrat.com, https://www.betriebsrat.com/wissen/coronavirus/betriebsratsbeschluss-videokonferenz/, letzter Zugriff am 07. Mai 2021.