Risiken richtig abschätzen

Ab 25.5.2018 ist es soweit: Die Datenschutz-Grundverordnung (nachfolgend DS-GVO) gilt unmittelbar. Zeitgleich tritt das BDSG n.F. in Kraft, das das Datenschutzrecht auch für den öffentlichen Bereich des Bundes regelt. In den Bundesländern treten die bisherigen Datenschutzgesetze außer Kraft. In einigen Ländern, wie zum Beispiel Sachsen, Hessen und Hamburg liegen Entwürfe für ein neues Datenschutzgesetz vor. Neu ist die Pflicht zur Datenschutzfolgenabschätzung (nachfolgend DSFA) nach Art. 35 DS-GVO. Das wirkt sich auf die Arbeit der Personalräte im Bund und in Ländern aus. Sie sollten die Neuerungen kennen. Jetzt wird aktive Datenschutzvorsorge von Dienststellen und Personalräten verlangt. Die DSFA gemäß Art. 35 DS-GVO ersetzt die Vorabkontrolle in § 4d Abs. 5 BDSG a. F. Mit der Vorabkontrolle ist sie nur bedingt vergleichbar. Von der Vorabkontrolle gewohnte Ausnahmen entfallen. Die DSFA beinhaltet umfangreichere Pflichten. In der DSFA geht es um den gesamten Lebenszyklus einer Datenverarbeitung.

Ziele der DSFA

Ziel der DSFA ist es, Kriterien des Grundrechtsschutzes anzuwenden, die Folgen von geplanten Datenverarbeitungen zu erfassen sowie objektiv im finalen Bericht zu bewerten. Angemessene Schutzmaßnahmen sind zu entwickeln und umzusetzen. Die DSFA soll bei Datenverarbeitungen mit einem voraussichtlich hohen Risiko vorab klären, inwieweit Risiken für Rechte und Freiheiten natürlicher Personen vermieden werden können. Hierfür sind geeignete Maßnahmen einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren zu definieren. Sie müssen auf ihre Wirksamkeit getestet werden. Der Dienststellenleiter als Verantwortlicher (Art. 4 Nr. 7 DS-GVO) muss die DSFA dokumentieren, um die Nachweispflicht gemäß Art. 5 Abs. 2 DS-GVO zu erfüllen.

Beteiligung der Personalräte

Die DS-GVO sieht in Art. 35 Abs. 9 zwar kein neues Mitbestimmungsrecht für Personalräte vor. Aber der Verantwortliche hat gegebenenfalls den Standpunkt der betroffenen Personen bzw. ihrer Vertreter einzuholen. Soweit Beschäftigtendaten betroffen sind, ist dem Verantwortlichen die Anhörung der Personalräte als risikominimierende Maßnahme generell anzuraten (Art. 22 Abs. 3 DS-GVO und ErwGr 71). Die Vorschrift dient unter anderem dazu, Transparenz bei den betroffenen Personen zu schaffen (Art. 5 Abs. 1 lit. a DS-GVO). Beteiligt der Verantwortliche die Personalräte nicht bzw. folgt nicht ihren Vorschlägen, so hat er dies zu dokumentieren.

Der Personalrat sollte vor allen geplanten Verarbeitungen mit Beschäftigtendaten unbedingt bei der DSFA hinzugezogen werden. Das erfordert der Grundrechtsbezug in Art. 88 Abs. 2 DS-GVO. Hiernach müssen in Dienstvereinbarungen angemessene Maßnahmen zum Schutz der Rechte und Freiheiten der Beschäftigten festgelegt werden. Die grundrechtskonforme DSFA dient dazu, solche Schutzmaßnahmen zu definieren. Datenschutz ist Grundrechtsschutz und Qualitätssicherung. Hierbei kann der Personalrat unverzichtbare Unterstützung leisten.

Den vollständigen Beitrag » Datenschutzrisiken richtig abschätzen« von Eberhard Kiesche finden Sie in »Der Personalrat« 4/2018.

© bund-verlag.de (mst)