TAGUNGSPROTOKOLL
1. Tag – 09. November 2021
Peter Lindner begrüßt alle Anwesenden und berichtet über die schwierige Zeit der Planung unter den Bedingungen der Pandemie. Letzten Endes blieben jetzt 3 Wochen für die endgültige Planung; aber sie haben das Beste daraus gemacht. Er freut sich, dass trotz der schwierigen Zeit, so viele zur Konferenz angereist sind.
Carina Dejna (WSW) übernimmt und sie freut sich, auch in diesem Jahr die Konferenz moderieren zu können. Sie weist auf ein paar organisatorische Gegebenheiten hin. Auch bittet sie eindringlich darum, die im Hotel herrschenden Hygieneregeln zu beachten und einzuhalten.
Sie richtet Grüße von Werner Albrecht (Geschäftsführer Personal, Immobilien, Bäder bei den SWM) aus, der sich aufgrund einer Sitzung entschuldigen lässt.
Sonja Detmer heißt im Namen des Arbeitskreises ebenfalls alle herzlich willkommen und berichtet, dass nach der letzten Konferenz 2019 in Wuppertal die ersten Vorbereitungen im Januar 2020 in Hannover begonnen haben. Dann kam Corona und alle Planungen wurden auf Eis gelegt. Im April und im Juni 2021 hat der Arbeitskreis die ersten Planungen in Online-Sitzungen wieder aufgenommen. Die erste Sitzung mit hybrider Teilnahme war dann im September in Kassel. Dort hat sich der Arbeitskreis mit der Möglichkeit der Konferenzdurchführung und der Tagesordnung für 2021 befasst. Nachdem die letzten Konferenzen seit 2011 u. a. in Münster, Duisburg, Düsseldorf, Schwerin stattgefunden haben, wird die Frage in die Runde gestellt, ob jemand die Möglichkeit sieht, die Konferenz 2022 auszurichten. Peter Lindner betont, dass der Ausrichter selbstverständlich das gesamte Jahr über durch den Arbeitskreis in den Vorbereitungen unterstützt wird.
Am Donnerstag gibt es die Möglichkeit eigene Themen anzusprechen und zu diskutieren. Wenn es aus der Runde Themen, Fragen, Anregungen oder Vorschläge gibt, können diese jederzeit beim Arbeitskreis eingereicht werden.
Nach einer kurzen Pause gibt Carina Dejna das Wort an Volker Hammer (Secorvo Security Consulting GmbH), der das Thema „Löschkonzepte nach DIN 66398 und Aspekte für den Betriebsrat“ vorstellt. Nach einer kurzen Vorstellung seines beruflichen Werdegangs, beginnt er mit der Frage: Löschen? Was denn? Die Antwort drauf ist: Personenbezogene Daten! Also alle Informationen, die sich auf eine natürliche identifizierbare natürliche Person beziehen. Bei der Möglichkeit der Identifikation müssen alle möglichen Merkmale berücksichtigt werden. Die meisten Unternehmensdaten, bei denen irgendwelcher Personenbezug auftaucht, müssen gelöscht werden. Wenn eine Person nicht identifizierbar ist, ist der Datenschutz nicht zu beachten und fällt nicht mehr unter die Löschvorgaben.
Bei einer Anonymisierung, also der Wegnahme des Personenbezugs, gilt das gleiche. Die Anonymisierung ist allerdings nicht trivial – vor allem dann nicht, wenn die Daten beispielsweise noch für Auswertungen benötigt werden. Denn je weniger Details vorhanden sind, umso weniger wertvoll sind die Daten für Auswertungen.
Die nächste Frage, die geklärt wird ist, warum gelöscht wird? Die DSGVO gibt in Art.5 die Prinzipien vor:
Zulässigkeit, Datenminimierung, Speicherbegrenzung. Hier muss geprüft werden, wann der Zweck beendet ist und dann löschen. Es muss relativ viel Aufwand hinein investiert werden. Art. 5 DSGVO fordert regelmäßiges Löschen.
Die Zwecke selbst ergeben sich aus Art. 6 DSGVO: Einwilligung, Vertragsverarbeitung, gesetzl. Vorgaben, öffentliches Interesse. Wenn keiner dieser Zwecke vorliegt, dürfen die Daten gar nicht erst verarbeitet werden. Neben Art. 5 gibt es Art. 17 DSGVO (=Recht auf Vergessen werden = Löschbegehrung auf Antrag). Der Betroffene kann aber nicht beliebig verlangen, dass gelöscht wird, sondern nur die Daten, für die keine gesetzliche Aufbewahrung vorliegt. Zusammenfassend ist Art 5 DSGVO die Regellöschung und Art 17 DSGVO das Löschen im Einzelfall.
Über Art. 18 DSGVO kann der Betroffene verlangen, dass seine Daten gesperrt und nicht gelöscht werden. Das kommt z. B. vor, wenn Daten noch als Beweismittel für Rechtsstreitigkeiten benötigt werden. Heißt auch, dass bei der Regellöschung nach Art. 5 DSGVO der Art. 18 DSGVO mit berücksichtigt werden muss.
Weiter fordert die DSGVO in Art. 5 (2) eine Rechenschaftspflicht. Viele Aspekte des Löschkonzeptes zielen darauf ab, diese Dokumentation (z. B. für Aufsichtsbehörden) vorhalten zu können.
Die Vorgabe nach Art 5 DSGVO fand sich bereits im BDSG; nur hat dies keiner besonders ernst genommen, da die Strafen sehr niedrig waren. Jetzt sind die Strafen höher und die Unternehmen haben begonnen Löschkonzepte zu etablieren.
Wie schafft man es aber nun ein Löschkonzept einzuführen? Als erstes muss man realisieren, dass Fachprozesse und Recht übereinander gebracht werden müssen. Dazu kommt dann noch die Technik, die ausgebaut werden muss.
Volker Hammer geht in diesem Zusammenhang auf die Entstehung der DIN-Norm 66398 ein, welche vorschlägt, wie Löschen vorangetrieben wird und gibt auch einen Vorschlag zur Dokumentationsstruktur eines Löschkonzeptes. Des Weiteren gibt sie ein paar Begriffe und schlägt eine Vorgehensweise zur Bildung von Löschregeln vor. Auch Inhalte von Umsetzungsvorgaben und notwendige Verantwortlichkeiten werden beschrieben. Über allem aber steht die „Einfachheit als Schlüssel zum Erfolg“.
Die Kernelemente der DIN 66398 werden betrachtet. In der Dokumentationsstruktur werden die Unternehmensleitlinien betrachtet. Die 2. Ebene ist der Katalog der Löschregeln. Idee ist es, die Daten des Unternehmens in Datenarten zu unterteilen und dafür Löschregeln zu definieren. Je nach Unternehmen können das mehrere Hundert Datenarten sein.
Auf die Frage, ob man so einen Standardkatalog als „Blaupause“ für andere Unternehmen verwenden kann, gibt Volker Hammer an, dass die enercity AG einen solchen Katalog erstellt hat und anbietet, diesen Katalog zu lizensieren. Es gibt aber nach seiner Erfahrung im Detail mehr Anpassungsbedarf, als er persönlich gedacht hat. Aber es gibt viel weniger Aufwand, als den Katalog selber neu aufzulegen.
Der Regelkatalog ist technikunabhängig. Deswegen gibt es als dritte Ebene die Umsetzungsvorgaben. Diese sind sinnvoll, weil viele Daten in mehreren Stellen vorkommen.
Dazu wird der Datenbestand des Unternehmens nach datenschutzrechtlich einheitlichen Zwecken aufgeteilt (=Datenarten). Alle Dokumente, die z. B. für Buchhaltung/steuerliche Zwecke fallen unter eine Datenart.
Weitere Beispiele wären Kommen-/Gehen-Zeiten, Arbeitsunfähigkeitsbescheinigungen o. ä. Wenn alle derartigen Daten einen datenschutzrechtlich einheitlichen Zweck haben, fällt dieser Zweck auch gleichzeitig weg und sie fallen unter die gleiche Löschregel.
Die Löschregel setzt sich zusammen aus einer Frist und dem Startzeitpunkt. Für jede Datenart gibt es eine Löschregel. Volker Hammer verdeutlicht dieses Prinzip anhand von Bewerberdaten mit und ohne Einwilligung zum Pooling.
Für die Fristableitung gibt er das Beispiel einer Bestellung (siehe Grafik auf Seite 11) Ein wichtiges Element aus der DIN ist die Gestaltung des Löschprozesses. Dieser Zeitraum muss sich aber vernünftig zu der Aufbewahrung verhalten.
Letztendlich ergibt sich aus der Vorhaltefrist und dem Gestaltungszeitraum die Regellöschfrist.
In diesem Zusammenhang stellt Volker Hammer eine Matrix der Löschklassen vor. Diese Matrix orientiert sich an den Startzeitpunkten und legt Standardlöschfristen (sofort 42 Tage, 1 Jahr, 4 Jahre etc.). Der Startzeitpunkt ist gleich zu setzen mit dem Beginn der Löschfrist. Dies kann das Ende eines Vorgangs oder z. B. auch das Ende der Beziehung zum Betroffenen sein. Diese Matrix wird mit den Datenarten und den dazugehörigen Standardlöschfristen gefüllt. Exemplarisch stellt er die Löschregeln am Beispiel von TollCollect vor.
Letztendlich gibt es noch die Umsetzungsvorgaben in der Dokumentationsstruktur. Löschen fordert überall löschen; also muss es Regeln auch für Backups oder Log-Protokollen geben. Wie wird mit diesen oder mit Projektstrukturen umgegangen? Dies wird im Querschnittsbereich abgewickelt.
Systemspezifisch muss geschaut werden, welche Datenarten gibt es in bestimmten Tabellen (Datenbanken). Da gibt es Konfigurationsparameter. Der Umgang mit Personenbezogenen Daten in manuellen Prozessen würde sich in Arbeitsanweisungen wieder finden. Es muss geschaut werden, wie diese Daten sinnvoll sortiert werden und die Löscherklärungen kommen dann dazu. Der Zusatzaufwand wird möglichst gering gehalten, indem er in den Prozess integriert wird.
Wenn Daten bei Dienstleistern verarbeitet werden, müssen diese angewiesen werden, wie sie zu löschen haben. Hier bleibt der Auftraggeber weiter in der Pflicht.
Die Löschregeln gelten auch in Archiven. Die Aussage, das wäre „technisch nicht möglich“ wird von den Aufsichtsbehörden meist nicht akzeptiert. Die Löschregeln gelten grundsätzlich an allen Stellen -also auch für Datenabzüge und Datenträger. Es gibt aber u. U. Ausnahmenregelungen, die definiert werden müssen.
Für Besondere Abläufe gibt es noch die Möglichkeit einer späteren Löschung z. B. für Daten, die für anstehende Steuerprüfungen aufbewahrt werden müssen. Hier gibt es Daten mit Vorbehalt der Freigabe des Löschlaufs. Gleiches gilt für Datenarten, die z. B. für Beweismittel bei einen Rechtstreit behalten werden müssen.
Der Betriebsrat trägt Sorge für die Schutzrecht der Beschäftigten, wozu auch die Löschverpflichtung für Verantwortliche gehört, da es sich um einen Teil des Datenschutzrechtes handelt.
Somit kann der BR die Löschung für Beschäftigtendaten einfordern. Das Löschen in IT-Systemen kann der Betriebsrat mindestens beeinflussen, da die Ordnung des Betriebes und des Verhaltens der AN im Betrieb betroffen ist. Über die Mitbestimmungspflichtig nach 87 BetrVG sollte der BR bei den Löschregeln und der Umsetzung mitwirken.
Im Rahmen der Mitwirkung am Regelkatalog kann im Unternehmen ein Projekt aufgelegt werden, wie ein Regelkatalog zu erstellen ist. Dort kann sich der BR in die wichtigen Datenarten „einklinken“. Die Dauer der Phase kann zwischen 6 und 12 Monaten liegen. Möglicherweise macht es Sinn, bei der Definition von Datenarten und Löschregeln mitzuwirken. In seiner Beratung werden die Zwecke für die Datenarten dokumentiert, weil darüber die Löschregel definiert wird. Das kann z. B. in eine Betriebsvereinbarung münden oder die Löschregeln müssen angepasst werden. In Projekten, die Volker Hammer begleitet, gibt es ein Review des Regelkatalogs bevor dieser freigegeben wird. Um sicher zu sein, dass die Fachbereiche, der DSB und auch der BR mit den Löschregeln einverstanden sind. Alle Bereiche geben dann Rückmeldung, ob Anpassungen vorgenommen werden müssen. Seine Empfehlung: Beteiligung des BR am Review, weil da festgelegt wird, wie mit Beschäftigtendaten umgegangen wird. Anschließend sollte alles so beschrieben sein, dass es gut begründet ist.
Das Löschkonzept funktioniert nur, wenn es eine Balance zwischen Differenzierung und wenigen Datenarten gibt. Die DIN empfiehlt, einfache Datenarten, einfache Löschregeln und so wenig Datenarten wie möglich, so viele wie nötig. In diesem Sinne sollte der BR mitdiskutieren.
Beschäftigtendaten kommen auch in anderen Datenbankbeständen vor. Als Beispiel nennt Volker Hammer den Datensatz der Kundenbetreuung in einer Datenbank. Volker Hammer wirft die Fragestellung zu Bearbeiterdaten (Ansprechpartner) auf. Zu welchem Zweck werden die Bearbeiterdaten verwendet? Sind sie als Teil des Datensatzes aufzufassen oder sind dafür andere Löschregeln zu definieren, als für die Nutzdaten. Er selber schwankt in der Beantwortung der Frage, kann sich aber der Argumentation, dass sie Teil des Datensatzes sind, anschließen. Es muss aber auch die Frage gestellt werden, wie können die Beschäftigten vor Missbrauch geschützt werden? Möglich wär ein genereller Ausschluss von Leistungs- und Verhaltenskontrolle – ggf. mit der Ausnahme für jeden Datenbestand / jede Anwendung konkrete Zwecke für die Leistungs- und Verhaltenskontrolle zu definieren.
Es wird empfohlen, Löschregeln für Beschäftigtendaten ausschließlich im Regelkatlog zu dokumentieren. Somit ist der Regelkatalog DAS zentrale Dokument und eine Stelle zum Nachschlagen. Nur so wird eine Konsistenz und Übersichtlichkeit erreicht.
Bei Änderungen von Löschregeln könnte z. B. ein Verfahren etabliert werden – z. B. wird eine OE benannt, die verantwortlich für die Pflege ist. Änderungen werden dort beantragt und es wird geprüft, ob Beschäftigtendaten betroffen sind. In einem kleinen Review könnte der BR dann eingebunden werden, damit für die Freigabe bei der Änderung beteiligt und hat im Rahmen der Mitbestimmung Einfluss.
Auch die eigene Daten des BR sind Personenbezogen und unterliegen somit dem Löschen. Datenarten des Betriebsrats können u. a. sein:
- Wahlakten Mitbestimmungsgremien
- Merkmale von Beschäftigen beim BR (Kernstammdaten – z. B. 2 Jahre nach Ausscheiden)
- Personalplanungsdaten – analog der Personalabteilung
- Niederschriften von Mitbestimmungsgremien (Protokolle)
- Betriebsvereinbarungen als „Dokumente der Wissensbasis und Unternehmensorganisation“
Es gibt zwei Datenarten, die schwer umzusetzen sind:
- allgemeine Dateien in Dateisystemen, die nicht in bestehende Datenarten fallen und
- die allgemeinen E-Mails.
Da muss man den Arbeitsstil reflektieren.
Nach ein paar letzten organisatorischen Hinweisen, geht der erste Konferenztag zu Ende.
2. Tag – 10. November 2021
Carina Dejna begrüßt alle Teilnehmer zum 2. Konferenztag und begrüßt als ersten Referenten Prof. Wolfgang Däubler zum Thema „Neues zum Betriebsrätemodernisierungsgesetz“.
Das Betriebsrätemodernisierungsgesetz ist eigentlich ein Betriebsrätestärkungsgesetz. Es hat sich für die Praxis der Betriebsräte einiges geändert. Nicht nur die Möglichkeit der digitalen Sitzung; der Gesetzgeber hat insgesamt 7 Punkte neu geschaffen. Es sind Wichtige und weniger Wichtige dabei.
- BR-Wahl
Wolfgang Däubler erläutert die verschiedenen Möglichkeiten, die es gibt einen Betriebsrat zu etablieren. Im Anschluss geht er auf das vereinfachte Wahlverfahren ein. Das vereinfachte Wahlverfahren kann nun in Betrieben mit in der Regel 101 bis 200 vereinbart werden. Für Wolfgang Däubler ist es aber kein echtes vereinfachtes Verfahren. Denn dazu muss in einer Versammlung sehr viel gemacht werden. Es wird nur einfacher in Betrieben, in denen es bereits einen BR gibt.
- Digitalisierung der BR-Arbeit
129 BetrVG ist ausgelaufen. Dieser Paragraph besagte, dass während der Pandemie BR-Sitzungen in Telefon- oder Videokonferenz abgehalten werden können. Auch Betriebsversammlungen konnten auf diese Weise durchgeführt werden. Es gibt hier eine Neuregelung in § 30 BetrVG in der Fassung Betriebsrätemodernisierungsgesetzes. Der Gesetzgeber hat sich für den Vorrang der Präsenz entschieden und Voraussetzungen für die digitale Durchführung geschaffen:
– Die GO muss angepasst und der Präsenz muss Vorrang gegeben werden.
– Es darf kein Widerspruch durch ¼ der BR-Mitglieder vorliegen; also der Durchführung per Video oder Telefon zu widersprechen
– Die Vertraulichkeit muss gewährleistet sein. Hier reicht, dass die Vertraulichkeit versichert wird.
Diese Voraussetzungen gelten aber nicht nur für die rein technische Durchführung von BR-Sitzungen sondern auch für hybride Veranstaltungen.
Wolfgang Däubler berichtet von einem praktischen Fall, an dem sich am Ende die Frage stellt, was passiert, wenn man eine Betriebsversammlung nicht mehr in Präsenz sondern weiterhin digital durchführt. Das Gesetzt sieht so einen Fall nicht vor. Also kann man überlegen, was passieren kann. Da käme § 23 BetrVG in Betracht. Wenn man nun unterstellt, es sei eine grobe Pflichtverletzung eines Betriebsrates, dann würde sich weiter die Frage stellen, wer dann einen Antrag auf Amtsenthebung z. B. stellen würde. Der Arbeitgeber? Der hat u. U. an der Durchführung mitgewirkt (technisches Equipment)… Die Gewerkschaft? Sehr unwahrscheinlich… Auch eine Unterschriftensammlung für ¼ der Belegschaft ist nicht sehr wahrscheinlich. Also dürfte aus seiner Sicht nichts passieren.
Bei der Möglichkeit, dass ¼ der Betriebsräte einer digitalen BR-Sitzung widersprechen, ist keine Konsequenz dazu gesetzlich geregelt. Deswegen sollte das vorher in der Geschäftsordnung festgelegt werden, was in einem solchen Fall gemacht wird. Der Vorsitzende entscheidet sinnvollerweise mit der Einladung in welcher Form die Sitzung stattfindet.
- Neuregelung zum Datenschutz
Es gibt auch Datenverarbeitung im BR-Büro – er bekommt z. B. Mitteilungen nach § 90 BetrVG. Diese werden gespeichert. Wie lange kann er sie speichern, müssen sie gelöscht werden und wenn ja – wann…? Aber auch BR -Mitglieder speichern auch selbst Informationen/Daten ab. Der BR hat nicht nur das Recht den Arbeitgeber zu Sachverhalten zu fragen sondern er hat auch das Recht Informationen aus dem Internet zu holen. Die Frage ist: darf er das und wer kontrolliert es? In dem Zusammenhang verweist er auf die Entscheidung, dass der betriebliche Datenschutzbeauftragte den BR nicht kontrollieren darf, da dieser als „verlängerter Arm des Arbeitgebers“ angesehen wird. Trotzdem muss der BR den Datenschutz einhalten.
4. Künstliche Intelligenz
Es gibt z. B. Algorithmen, die bei Bewerbungen passende Personen aussuchen, mit denen dann Gespräche geführt werden. Es kennt aber keiner die Kriterien, nach denen diese Auswahl getroffen wird. Dazu können auch Kriterien gehören, die diskriminierend sind. Wolfgang Däubler gibt aus dem Buch „Algorithmus kennt kein Taktgefühl“ ein Beispiel. Seiner Einschätzung nach wird diese Thematik gerade diskutiert und wird noch als Problem auf uns zukommen. Es gibt z. B. auch bestimmte Programme, die eine Stimmanalyse bei Gesprächen durchführen, die auch bisweilen genutzt werden; auch hier kann es dabei zu Diskriminierungen kommen. Vom Gericht wurde dazu wie folgt entschieden: Wenn man nicht weiß, nach welchen Kriterien ausgewählt wird, muss der Arbeitgeber beweisen, dass diese Kriterien diskriminierungsfrei sind.
- 80 (3) BetrVG gibt dem BR das Recht einen Sachverständigen zur Beurteilung von künstlicher Intelligenz heranzuziehen. In der Grundsatzentscheidung wird es als erforderlich angesehen und daher hat der Arbeitgeber die Kosten zu tragen.
Auch bei der Umgestaltung von Arbeitsplätzen nach § 90 BetrVG muss KI berücksichtigt werden.
Zu guter Letzt erklärt Wolfgang Däubler, dass es in § 87 (1) Nr. 14 BetrVG ein Mitbestimmungsrecht in Bezug auf HomeOffice gibt. Der BR hat ein Mitbestimmungsrecht über die Gestaltung bei mobiler Arbeit, dazu gehört jede Arbeit, die außerhalb des Betriebes stattfindet. Bisher gab es im Normalfall keinen Anspruch auf HomeOffice. In der letzten Zeit unter den Gesichtspunkten der Pandemie wurden Arbeitnehmer zum Teil sogar verpflichtet HomeOffice zu machen. Wolfgang Däubler gibt dazu Beispiele.
Jetzt sind Unternehmen auf die Idee gekommen, dass man damit Büroflächen sparen kann und weisen HomeOffice an. Wer das nicht macht, dem droht z. B. eine Änderungskündigung. In dem Zusammenhang erinnert Wolfgang Däubler an den Grundsatz, dass der Arbeitgeber die Voraussetzungen für die Arbeit schaffen muss. Macht er das nicht, muss er trotzdem Vergütung zahlen, da es seine Verantwortung ist. Eine Frage ist auch, welche Aufwandsentschädigung beispielsweise man für die Wohnungsnutzung erhalten kann. Je nach Ausmaß der Nutzung hat das Bundesarbeitsgericht entschieden, dass Aufwand bezahlt werden muss (anteilig der genutzten Fläche).
Als letzter Vortrag des Tages stellt Jan Wiznerowicz mit seinem Thema „Lösch- und Sperrkonzept im BR-Büro“ fest, dass beim BR vielfältige Daten verarbeitet werden und auch der BR die Vorschriften einzuhalten habe. Betroffene haben nach DSGVO Rechte – ein Recht der Betroffenen ist das Recht auf Löschen und Sperren von Daten – auch im Betriebs- und Personalratsbüro.
Jan Wiznerowicz wird einen Einblick geben, welche Fragen man sich stellen muss, wenn ein Konzept (wie z. B. aus dem Vortrag vom 09.11.2021) entwickelt werden soll.
Dazu geht er auf die Begriffserklärungen für die Wörter Löschen und Sperren ein.
Zum Thema Löschen in Art. 4 Nr. 2 DSGVO gibt es zwei Lesarten, die er erläutert. Dann gibt es noch die juristische Theorie dazu: Verhältnismäßigkeitstheorie und die Irreversibilitätstheorie. Die Irreversibilitätstheorie wird aus technischer Sicht – auch vom BSI – für sicheres Löschen vertreten. Über Sperren steht aber nirgends etwas.
Wenn die Grundlagen nicht klar sind, schlägt Jan Wiznerowicz vor, die Definition aus Folie 18 zu verwenden.
Das klassische Löschen z. B. unter Windows ist kein echtes Löschen sondern nur ein Entfernen von Einträgen aus dem Inhaltsverzeichnis; die Binärdaten bleiben erhalten – siehe Grafik Folie 19.
Damit wird nur angezeigt, dass dieser Bereich frei ist, um etwas Neues da hinein zu speichern, was das Betriebssystem irgendwann auch selbständig macht. Abhilfe kann ein Überschreiben der Datenbereiche mit Hilfe von speziellen Programme schaffen.
Bei modernen SSDs verteilt der Controller selbständig. Der Controller sorgt dafür, dass der Datenfluss möglichst gleichmäßig verteilt wird, um die Lebensdauer zu verlängern.
Als Physikalische Vernichtung wäre z. B. die Beschädigung / Zerstörung der Platte eine Möglichkeit.
Bei Datenbanken ist ein Löschen kompliziert. Ist zwar theoretisch forensisch sicher möglich – aber ist auch Gegenstand wissenschaftlicher Arbeiten.
Das nächste Problem ist die Datensicherung. Es gibt Strategien, die in kürzen zeitlichen Abständen und schneller sichern (differentielle Sicherung). Eine Alternative dazu wäre die inkrementelle Sicherung, die nur die Änderungen gegenüber der letzten Teilsicherung sichert. Hierfür gibt er ein Beispiel. Was aber ist, wenn die IT nach der Löschung eine Sicherung wieder einspielt? Dann sind die Daten wieder da. Darum muss man sich Gedanken machen, wie man u. a. das unbeabsichtigte Einspielen von Sicherungen regelt.
Komplizierter wird die Frage bei Cloud-Systemen. Wo sind die Daten alle verteilt? Welche Sicherungsstrategie fährt der Cloud-Anbieter? Und keiner weiß, wann gelöschte Daten endgültig nicht mehr wieder herstellbar sind.
Festgestellt werden kann, dass ein unumkehrbares Löschen von vielen Faktoren abhängig ist und somit ist es ein rein theoretisches Konstrukt. Denn eigentlich ist es im besten Fall ein gut umgesetztes Sperren, da es nicht ausgeschlossen werden kann, dass Daten wieder hergestellt werden können.
Im Urteil vom BAG 2019 wurde festgehalten, wenn der BR sensitive Daten verarbeitet, er auch dafür sorgen muss, dass diese geschützt werden. Gemeint ist damit ein Datenschutzkonzept und dieses muss auch niedergeschrieben werden.
Die Pflicht zur Löschung ergibt sich aus Art. 17 DSGVO und wird von der betroffenen Person ausgelöst – unabhängig von den Voraussetzungen in der Verordnung. Gründe sind u. a.:
- Zwecke liegen nicht mehr vor
- Einwilligung wird widerrufen
- Widerspruch wird eingelegt
- Daten wurden unrechtmäßig verarbeitet
- …
Es gibt in Art. 17 Abs. 3 DSGVO auch Ausnahmen – dazu gehört u. a. auch, dass die Daten für Rechtsstreitigkeiten erforderlich sind. Dazu ist vorstellbar, dass auch der BR / PR eigene Rechtsansprüche verfolgt. Denn der BR erhebt Daten aufgrund gesetzlicher Vorgaben.
Die Sperrpflicht entsteht nur dann, wenn die betroffene Person dies verlangt. Ein Verantwortlicher ist nicht von sich aus verpflichtet Daten zu sperren (Art. 18 Abs. 1 DSGVO). Auch hier liegen Voraussetzungen vor:
- Richtigkeit der Daten wird bestritten (dann muss dies geprüft werden und solange müssen diese gesperrt werden).
- Die Verarbeitung war unrechtmäßig und es wird verlangt die Nutzung einzuschränken, statt sie zu löschen
- Die Daten werden von der betroffenen Person selbst noch benötigt (Rechtstreit), obwohl der Zweck schon erfüllt bzw. weggefallen ist.
- Es liegt ein Widerspruch gegen die Verarbeitung vor und die Prüfung des berechtigten Interesses ist noch nicht abgeschlossen.
Die Folge der Sperrung ist, dass die Verarbeitung nur noch unter 4 Voraussetzungen erlaubt ist:
- Einwilligung
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- Schutz der Rechte einer anderen Person
- wichtiges öffentliches […] Interesse
Heißt für Betriebsräte, dass die Sperre quasi ein Verarbeitungsverbot darstellt.
Für ein Lösch- und Sperrkonzept müssten diverse Fragen gestellt und mit JA oder NEIN beantwortet werden, die dann letztendlich in eine Löschung münden. Dazu gehören Fragen zur Rechtsgrundlage, Erforderlichkeit oder auch ob Zwecke erfüllt sind. Auch die Frage der IT-Systeme und der technischen organisatorischen Maßnahmen muss mit einbezogen werden.
Zusammenfassend lässt sich festhalten, dass die Umsetzung technisch nur unter Schwierigkeiten zu leisten ist.
Jan Wiznerowicz gibt die Anregung, dass der BR auf bestehende Systeme des Arbeitgebers zugreifen sollte, statt die Daten selbst zu verarbeiten – z. B. auf Personalsysteme. Das wäre auch im Sinne des Datenschutzes (Datenminimierung). Außerdem: Für Daten, die man nicht hat, muss es auch kein Löschkonzept geben.
Nach letzten organisatorischen Hinweisen beginnen nach der Mittagspause die NT-Cafés.
3. Tag – 11. November 2021
Nach der Begrüßung zum letzten Tag durch Carina Dejna stellen die Mitglieder des Arbeitskreises die Ergebnisse aus den gestrigen NT-Cafés
- Lösch- und Sperrkonzept
- Betriebsrätemodernisierungsgesetz
- Datenschutz im BR-Büro
vor.
Nach dem Bericht des Arbeitskreises gibt Carina Dejna an Knut Hüneke ab, der einen Change-Erfahrungsbericht hinsichtlich des „Outsourcing“ Datenschutz bei der Einführung workday abgeben wird.
Er fängt mit der Vorstellung des Unternehmens an, welches ein internationaler Konzern im Bereich der Marktforschung mit Sitz in London ist. Der Wechsel vom eigentümergeführte Unternehmen zum internationalen Konzern führt dazu, dass die Spitze alles tut, um sich international aufzustellen. Dazu gehört u. a. der Aufbau konzerneinheitliche HR / HR-Daten. Dazu gehört die personalwirtschaftliche Sicht, die Knut Hüneke im Einzelnen vorstellt.
Des Weiteren gibt es noch die IKT-Sicht. Da geht es u. a. um die konzernweit gleiche IKT und der Eliminierung eigener Anwendungen. Wichtig sind auch noch eine konzerneinheitliche Daten-/Definition sowie konzernweite Prozesse. Der Wunsch des Arbeitgebers war es „Zugriff auf Alles für Alle…“
Mit Hilfe einer Grafik (Folie 8 der Präsentation) stellt Knut Hüneke die bisherige Line des Betriebsrates vor; nämlich Konzentration auf Datenschutz und Leistungs- und Verhaltenskontrolle. Die Strategie des BRs ging über die Abkapselung Deutschlands, so dass keine Zugriffe von außerhalb realisierbar, aber gleichzeitig internationale Geschäfte möglich sind.
Die Konsequenzen sind sehr vielfältig und münden in extrem hohen Aufwänden. Fest steht aber auch, dass dieser „Hebel“ zunehmend komplex und somit kaum noch handhabbar ist. Außerdem stößt das Vorgehen beim Konzern auf großes Unverständnis und hohe Widerstände.
Mit dem Abschluss einer BV schafft man zwar eine Regelung aber damit auch eine Rechtsgrundlage zur Datenverarbeitung, die eigentlich nicht gewünscht ist. Zur Vertiefung geht er auf die Rechtsgrundlagen nach § 26 Abs. 4 BDSG i. V. Art. 88 Abs. 2 DSGVO und gem. Art. 9 Abs. 2 b) DSGVO ein. Fest steht, dass mit der DSGVO ein höheres Bewusstsein für den Datenschutz beim (auch internationalen) Arbeitgeber stattgefunden hat, aber auch eine hohe Unsicherheit besteht.
Zum Datenschutz-„Outsourcing“ berichtet er von 2 Gehversuchen:
- Office 365 mit einer 2teiligen Regelung. Das Problem war, dass durch den Einkauf von Office 365 und der nicht Durchführbarkeit einer globalen Deaktivierung bestimmter Funktionen der Einsatz von Office 365 eigentlich in Deutschland zu untersagt werden müsste.
Als Lösung hat es eine individuelle Nutzungserlaubnis für Analytics-Funktionen und ein Verbot der Nutzung der Funktionen durch den Arbeitgeber gegeben. Alles wurde vor dem Hintergrund einer Ein-Tenant-Installation vorbehaltlich der Zustimmung durch den GBR geregelt.
- workday
Auch gab es eine 2teilige Regelung: GBV nebst Anlagen und zusätzlich eine separate Regelungsabrede zur Wahrnehmung der Kontrollrechte des GBRs zum Datenschutz gem. § 80 (1) 1 BetrVG. Diese Regelungsabrede beinhaltet unter anderem die Vorlage einer Datenschutzfolgeabschätzung mit einer Stellungnahme des betrieblichen Datenschutzbeauftragten oder einer anderen zertifizierten Stelle. Zusätzlich gibt es die Vereinbarung, dass bei Abweichung des Arbeitgebers von den Empfehlungen ein Konfliktregelungsverfahren greift. Wichtig ist, dass die GBV ausschließlich zur Ausgestaltung der Mitbestimmung darstellt und keine Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten sein soll.
Beide Seiten, also Arbeitgeber und auch BR, haben aus der Vorgehensweise gelernt. Aber dadurch, dass die Verantwortung für den Datenschutz beim Verantwortlichen liegt, haben sich beim Arbeitgeber erstaunliche Lerneffekte eingestellt.
Zum Ende der Konferenz bedankt sich Sonja Detmer bei den Gastgebern der Stadtwerke München GmbH und weist darauf hin, dass sich alle Konferenzinformationen auf der Homenpage unter nt-konfernz.de zu finden sind.
Es wird keinen LogIn mehr geben. Teilnehmerlisten werden nicht mehr auf der Homepage veröffentlicht. Wenn der Wunsch nach einer solchen besteht, kann man sich an die Ansprechpartner der Stadtwerke München oder an die Mitglieder des Arbeitskreises wenden.
Andreas Born erklärt, dass er die Zusage erhalten hat und somit die Konferenz 2022 in Essen stattfinden wird.