Datenschutz für die eigene Arbeit umsetzen – aber wie?

TBS-Beraterin Racel Faller über den Umgang der Interessenvertretung mit digitalen Daten

Datenschutz ist ein wichtiger Sparringspartner in der Mitbestimmung von IT-Systemen für die Interessenvertretungen. Denn Datenschutz schützt die persönlichen Daten der Beschäftigten vor Missbrauch und unbefugtem Zugriff.

Dabei ist Datenschutz aber nicht nur ein Thema für Arbeitgeber oder Dienststelle, sondern auch für die Interessenvertretung. So hat sie einerseits die Pflicht, die Einhaltung des Datenschutzes im Betrieb zu überwachen und andererseits selbst datenschutzkonform zu arbeiten.

Den Datenschutz-Prozess etablieren und fortschreiben

Wie kann die Interessenvertretung nun im eigenen Büro den Datenschutz etablieren bzw. optimieren?
Wir empfehlen folgenden Prozess zur Orientierung und Umsetzung von datenschutzkonformer Gremienarbeit:

1. Sensibilisieren: Die Interessenvertretung erkennt das Thema als eigene Aufgabe und Verpflichtung an. In dieser Form sensibilisiert, kommt es zum Austausch und zur Priorisierung.
2. Verantwortung klären: Die Interessenvertretung sollte festlegen, wer für den Datenschutz im Gremium zuständig ist. Das kann zum Beispiel ein Experte oder eine Expertin sein, der oder die sich regelmäßig fortbildet und die anderen Mitglieder berät.
3. Qualifizierung: Die Interessenvertretung sollte sich regelmäßig über die aktuellen gesetzlichen Anforderungen und technischen Möglichkeiten informieren. Dazu können Schulungen, Seminare oder Beratungen des betrieblichen Datenschutzbeauftragten (bDSB) genutzt werden.
4. Bestandsanalyse: Die Interessenvertretung überprüft, welche Daten sie im Büro vorhält, wie sie speichert, nutzt und weitergibt. Dabei sollte sie auch die Risiken für die Betroffenen und den Betriebsrat selbst einschätzen.
5. Entwicklung von Maßnahmen: Die Interessenvertretung sollte geeignete Maßnahmen ergreifen. Dazu gehört zum Beispiel die Löschung von nicht mehr benötigten Daten, die Verschlüsselung von Dateien oder E-Mails, die Absicherung von Geräten oder Räumen oder die Sensibilisierung von Mitarbeitern oder Dritten.
6. Bestand dokumentieren: Die Interessenvertretung sollte ein Verzeichnis erstellen, in dem sie alle Kategorien von Daten und deren Verwendung dokumentiert, um aussagekräftig gegenüber Beschäftigten zu sein.
7. Kontinuierlich den Prozess wiederholen und optimieren: Die Interessenvertretung sollte regelmäßig ihre Maßnahmen im Datenschutz überprüfen und anpassen, vor allem bei Änderungen der Gesetze, der Technik oder am Ende der Wahlperiode des Gremiums.