Einträge in Verfahrensverzeichnis etc. nötig?

  • Hallo liebe BR-Kolleg*innen,


    ich bin 1-köpfiger BR in einem Kleinunternehmen.

    Wir haben einen externen Datenschutzbeauftragten sowie einen Juristen, der sich intern um den Datenschutz kümmert.


    Nun informierte der Interne darüber, dass für unser Unternehmen ein Datenschutz-Verzeichnis erstellt wurde, welches u.a. auch ein "Verfahrensverzeichnis" enthält. Dort sollen alle datenschutzrelevanten Verfahren aufgenommen werden.


    Nun frage ich mich, ob ich in diesem Verzeichnis auch Dinge ablegen muss... und wenn ja... was?

    Kennt sich da jemand von Euch aus?


    Schöne Grüße,

    imebro

  • Aus dem Bauch heraus würde ich sagen, dass du das auch machen musst. Du verarbeitest in vielen Fällen Datenschutzrelevante Informationen, bei denen sichergestellt sein muss, dass die Daten gesetzeskonform verarbeitet und gespeichert werden. Wir hatten hier schon einmal die Diskussion, ob der BR oder der AG für den Datenschutz im Betriebsrat zuständig und verantwortlich ist. Da könntest du dir Anregungen holen. Wenn du aber nicht willst, dass der AG in deine Daten schaut, dann wirst du bezüglich der Dokumentation von Verfahrensweisen mit dem Datenschutzbeauftragten zusammenarbeiten müssen.

    Besser - da hat Markus völlig Recht - kann dir das der Datenschutzbeauftragte insbesondere in Verbindung mit dem Juristen beantworten. Es hängt auch davon ab, wozu dieses Verzeichnis genutzt werden soll und wie es gestaltet ist.

  • OK und danke für Eure Infos.


    Dann werde ich mal Kontakt zum Datenschutzbeauftragten aufnehmen und ihn bitten, mir das alles mal detailliert zu erklären. Bisher habe ich noch nichts in dieses "Verfahrensverzeichnis" eingestellt. Ich erinnere mich nämlich, dass ich anfangs mal mit ihm ein Gespräch hatte, nachdem er meinte, dass ich im Grunde alles so mache, wie es sein soll (in Bezug auf Datenschutz und wie/wo ich was ablege...).


    Dennoch ist eine direkte Anfrage sicher sinnvoll.


    Danke und Grüße,

    imebro

  • Bei dem Juristen wäre ich ein wenig vorsichtig, da dies ein vom Arbeitgeber bezahlter Jurist ist, der auch die Interessen des AG vertritt. Datenschutzbeauftragte haben einen gewissen Schutz und sind auch nur dem Datenschutz verpflichtet.

    "Ein Kompromiss ist dann vollkommen, wenn alle unzufrieden sind" Aristide Briand

  • ob ich in diesem Verzeichnis auch Dinge ablegen muss

    Vor dem Hintergrund

    ich bin 1-köpfiger BR

    würde ich das verneinen wollen.


    Ja, du bekommst im Rahmen von Anhörungen zu personellen Angelegenheiten sensitive Daten, zweifelsohne richtig. Aber vor dem Hintergrund, dass Du mit den Daten ja nichts weiter machst (da du ja keinen Ausschuss oder gar ein Gremium darüber informieren musst), ist alles was bei Dir damit passiert vollständig in den Prozessen bei HR beschrieben.


    Der einzige Prozess, der evtl. bei dir beschrieben werden müsste, ist, ob und wenn ja wie, du die Daten archivierst. Wenn aber bei euch, was ich, aufgrund der Betriebsgröße, einfach mal vermute, du einfach einen Anhörungsbogen bekommst, auf dem du urschriftlich Deine Zustimmung (oder Ablehnung) dokumentierst und in deinen Protokollen nur steht: Anhörung gem. §99 BetrVG zur Einstellung von Lieschen Müller zum 01. Drölften als "Head of Outgoing Income" - Der Betriebsrat sichtet die vorgelegten Unterlagen und stimmt der Einstellung zu. findet ja u.U. noch nicht einmal eine Datenhaltung bei dir statt.

    Machst du von den Unterlagen Kopien und legst sie bei dir ab, müsstest du u.U. belegen, wie sie gesichert sind gegen unerlaubten Zugriff.


    Oder hast du noch andere Fälle, wo bei dir sensitive Daten anfallen, die ich gerade nicht auf dem Schirm habe?

    Wer fragt ist ein Narr - für fünf Minuten. Wer nicht fragt bleibt ein Narr - sein Leben lang!

  • Hallo Moritz und danke für Deine detaillierte Antwort.


    Tja, als 1-köpfiger BR bin ich sogar bei der Anhörung nach §99 BetrVG raus. Daher erhalte ich nicht einmal die. Bin ja auch nicht bei den Vorstellungsgesprächen dabei.


    Die einzigen Daten, die ich tatsächlich hätte, sind folgende:


    1) meine schriftlichen Aufzeichnungen aus dem jeweiligen Monatsgespräch mit der Chefin und ihrem Stellvertreter. Diese hefte ich in einem Ordner ab, der in einem sicher verschlossenen Schrank steht. Ebenso befindet sich die jeweilige Datei auch noch auf unserem Server... allerdings in einem verschlüsselten Bereich, auf den ausschließlich ich Zugriff habe.


    2) Emails, die entweder von Kolleg*innen an mich gesendet wurden mit Fragen oder auch Emails der Geschäftsführung. Diese sind in einem speziellen Nutzer-Verzeichnis in unserem Emailprogramm abgelegt. Den Zugang zu dem entsprechenden Benutzerkonto habe ebenfalls ausschließlich ich. Diese Daten können also nicht von anderen Personen eingesehen werden.


    Was wäre also da für mich als 1-köpfiger BR zu beachten?

    Müßte ich ggf. sogar nach Ablauf einer bestimmten Zeit Aufzeichnungen aus dem Ordner entfernen?

    Und ggf. das gleiche auch mit Emails, die ein bestimmtes Alter haben?


    Danke und schöne Grüße,

    imebro

  • Die Frage ist was du da alles für Daten von den Kollegen/innen bekommst.
    Geburtstag, Wohnort, Gesundheitsdaten, ....
    Wie und wo werden die gespeichert, gelöscht,.....
    Für mich gehört diese Dokumentation in das Verfahrensverzeichnis.
    Es könnte ja auch mal eine Anfrage nach DGSVO bei dir landen weil der Arbeitgeber kann das ja nicht bearbeiten.

  • Tja, als 1-köpfiger BR bin ich sogar bei der Anhörung nach §99 BetrVG raus.

    Diesen ersten Satz im § 99 BetrVG habe ich immer elegant überlesen. In so kleinen Betrieben war ich nie... (doch einmal, aber da gab es auch keinen BR...)

    Insofern hast du vollkommen Recht - auch das kannst du getrost ignorieren.


    Müßte ich ggf. sogar nach Ablauf einer bestimmten Zeit Aufzeichnungen aus dem Ordner entfernen?

    Und ggf. das gleiche auch mit Emails, die ein bestimmtes Alter haben?

    Ich denke, hier ziehen weniger irgendwelche Datenschutzvorschriften, als gesunder Menschenverstand.


    Wenn sich das Thema erledigt hat (wie auch immer), sollte man die Mails dazu löschen. (Einfach um Ordnung zu halten.)

    Und spätestens mit Ende der Amtszeit (d.h. auch wenn du wiedergewählt wurdest!) sind die Mails zu löschen, bzw. irgendwelche Unterlagen datenschutzgerecht zu vernichten. (Mit Ausnahme der BVen, die natürlich solange aufzuheben sind, wie sie gelten.)


    Für mich gehört diese Dokumentation in das Verfahrensverzeichnis.

    Sorry, aber das Verfahrensverzeichnis ist genau nur dafür da: für Verfahren, meint für feststehende Prozesse, bei denen von vorneherein klar ist, dass und welche persönliche Daten verarbeitet werden.


    Gibt es also ein BEM, dann ist das sicher ein Verfahren, was beschrieben werden muss, aber ganz sicher muss ich nirgendwo beschreiben, wie ich damit umgehe, dass die Kollegin Lieschen Müller mir in ihrer Mail ihre halbe Lebensgeschichte erzählt, nur weil sie meint, ich würde sie dann besser verstehen. Dafür reicht das "normale Mailverfahren" (Zugriff nur für den Postfachinhaber). Der Prozess ist damit beschrieben.



    Es könnte ja auch mal eine Anfrage nach DGSVO bei dir landen

    Das dürfte eigentlich nicht passieren, da durch die Eigenart als einköpfiger BR er keine anderen Daten hat, als die, die ihm die Kollegen anvertraut haben, er sie aber nicht weiter verarbeitet. Der Arbeitgeber würde ja auch nicht bei Meier, Schmidt und Krause anfragen, ob die Müllersche ihnen irgendwelche persönlichen Daten geschickt hat. Warum sollte er das also beim BR tun? Und warum sollte der BR ihm das beantworten? ;)

    Wer fragt ist ein Narr - für fünf Minuten. Wer nicht fragt bleibt ein Narr - sein Leben lang!

    Einmal editiert, zuletzt von Moritz () aus folgendem Grund: Ein Beitrag von Moritz mit diesem Beitrag zusammengefügt.

  • Das dürfte eigentlich nicht passieren, da durch die Eigenart als einköpfiger BR er keine anderen Daten hat, als die, die ihm die Kollegen anvertraut haben, er sie aber nicht weiter verarbeitet. Der Arbeitgeber würde ja auch nicht bei Meier, Schmidt und Krause anfragen, ob die Müllersche ihnen irgendwelche persönlichen Daten geschickt hat. Warum sollte er das also beim BR tun? Und warum sollte der BR ihm das beantworten? ;)

    Ganz einfach. Weil auch der Betriebsrat als Einspersonengremium Daten verarbeitet und das auch die Stellvertreter tun wenn sie nachrücken (Urlaub, Krankheit,...).

    Warum der Betriebsrat das beantworten sollte? Naja das Unternehmen und damit auch der Betriebsrat ist Auskunftspflichtig nach der DGSVO. Und Daten welcher der Betriebsrat verarbeitet liegen nur beim Betriebsrat.
    Ist für die SBV und JAV im übrigen nicht anders.

  • Moritz

    Danke für die weitere Erläuterung.

    Ich verstehe was Du meinst und vom Gefühl her würde ich es auch so einschätzen. War mir nur nicht sicher, ob mein Gefühl auch stimmig ist ;)


    suppenkasper

    Bei uns rückt auch niemand im 1-köpfigen BR nach, denn es gibt keine/n Stellvertreter/in. Es hat sich nie jemand gefunden, der das außer mir noch machen möchte.


    Grüße,

    imebro