Vorlage für Datenverarbeitungsverzeichnis?

  • Hallo Kollegen,


    wir haben einen externen Datenschutzbeauftragten, der recht "träge" ist.... Wir möchten als Gremium seit einem Jahr unseren DSGVO-Verpflichtungen nachkommen und müssen noch ein Datenverarbeitungsverzeichnis erstellen. Wir gehen davon aus, dass alle Gremien im wesentlichen die gleichen Datenkategorien haben und daher die Verarbeitungsverzeichnisse sich ähneln....

    Um Bewegung in die Umsetzung zu bekommen suche ich eine "Vorlage" oder ein Gerüst auf dem wir aufbauen können. Kann mir da jemand bitte weiterhelfen?


    Vielen Dank für Eure Unterstützung


    Uwe

  • Wir hatten keine Matrix sondern haben uns selbst eine Datei gemacht. Jedesmal wenn irgendetwas mit Daten kam haben wir es eingetragen. Stück für Stück. Wir haben unsere Liste wie folgt aufgebaut. Als Beispiel mal Versetzungen. Unter anlage 1 haben wir ein aktuellen Versetzungsantrag verlinkt. (Natürlich ohne personliche Daten) xxx= steht unser Firmenname

    Verabeitungstätigkeit: Ansprechpartner:
    (Zugriff auf Daten)
    Betroffene Personen: Zweck der Verarbeitung: Erfasste Daten: Weitergabe an Dritte: Löschfrist: Art der Sicherung
    gegen Fremdzugriff:
    Versetzungen Vorsitzende des BRs
    Betriebsrat
    beschäftigte der xxxx §§ 99, 95 siehe Anlage 1 Nein nach Betrvg Hardcopy / Steam ->
    xx IT safety konzept
  • Betrifft die Pflicht, ein solches Verzeichnis zu führen, überhaupt den BR, ist der BR "verantwortlich" iSv Art 4 DGSVO? Ich denke nein.


    Betrifft die Pflicht, dieses Verzeichnis über die Daten zu führen, die qua Gesetz dem BR zur Verfügung zu stellen sind, nicht alleine den AG? Ich denke ja.


    Legt der § 79a BetrVG das nicht eindeutig fest? Eben.

  • Ich denke nein.

    Das sah ein von uns konsultierter Fachanwalt anders. Da der BR weitgehend autark/weisungsfrei arbeitet (sich also komplett selbst organisiert), sah er es als notwendig an, dass der BR auch ein eigenes Verarbeitungsverzeichnis erstellt.


    Legt der § 79a BetrVG das nicht eindeutig fest? Eben.

    Wir sind bekanntermaßen IT. Und jeder von uns (ausnahmslos jeder) hat sich schriftlich verpflichtet die geltenden Gesetze einzuhalten. Aber das heißt doch nicht, dass der AG deswegen kein Verarbeitungsverzeichnis erstellen muss.


    Da der AG im Zweifel keine Ahnung hat, was der BR mit den Daten (selbstverständlich im Rahmen der gültigen Gesetze) "veranstaltet", die Prozesse aber beschrieben sein müssen, geht es gar nicht anders, als dass der BR ein eigenes Verzeichnis erstellt.


    Und darum: Eben doch! ;)

    Wer fragt ist ein Narr - für fünf Minuten. Wer nicht fragt bleibt ein Narr - sein Leben lang!

  • Moritz , natürlich darf, kann, muss der AG alle AN, die Zugriff auf entsprechende Daten haben, schulen und verpflichten.


    Das hat aber m.E. nichts mit der "Verantwortlichkeit" der DSGVO zu tun.


    Der § 79a (der erst 2021 im Rahmen des Betriebsrätemodernisierungsgesetzes eingefügt wurde) ist da sehr, sehr deutlich (Fettung von mir): Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften.


    Deswegen meine ich, Euer anwaltlicher Rat ist alt (also wurde vor dem Betriebsrätemodernisierungsgesetz abgegeben) und inzwischen veraltet oder gar von Beginn an falsch.


    Ein interessanter Link erklärt das ganz gut (Fettungen von mir):


    § 79a Satz 2 BetrVG macht deutlich, dass der Arbeitgeber der datenschutzrechtlich Verantwortliche (...) im Sinne der DS-GVO ist. Entgegen der Eigenverantwortung des Betriebsrates bei der Wahrnehmung ihrer Aufgaben, ist der Betriebsrat im datenschutzrechtlichen Sinne lediglich als Teil der verantwortlichen Stelle einzustufen (...). Mit der Regelung in § 79a BetrVG folgt der Gesetzgeber der Auffassung der diesbezüglichen ständigen Rechtsprechung des Bundesarbeitsgerichtes (BAG). Demnach wurde der Betriebsrat noch vor Inkrafttreten der DS-GVO vom BAG lediglich als institutionell unselbständiger Teil der verantwortlichen Stelle des Arbeitgebers eingestuft. Gemäß § 79a Satz 3 BetrVG unterstützen sich Arbeitgeber und Betriebsrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Satz 3 verpflichtet den Betriebsrat und den Arbeitgeber zur Kooperation und zur gegenseitigen Unterstützung. Diese gegenseitige Pflicht zur Unterstützung bei der Einhaltung der datenschutzrechtlichen Vorschriften ist mit der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers auf der einen Seite und der innerorganisatorischen Selbständigkeit und Wertungsfreiheit des Betriebsrats auf der anderen Seite begründet. Im Umkehrschluss bedeutet dies jedoch auch, dass der Betriebsrat nicht Adressat der weitreichenden datenschutzrechtlichen Pflichten der DS-GVO sein kann. Dementsprechend obliegt dem Betriebsrat beispielsweise keine Pflicht zur Führung eines eigenen Verzeichnisses der Verarbeitungstätigkeiten und ebenfalls keine Pflicht zur Benennung eines eigenen Datenschutzbeauftragten.


    Moritz , für Deine Argumentation dann noch interessant: Aus § 79a Satz 3 BetrVG lässt sich jedoch schlussfolgern, dass der Betriebsrat dem Verantwortlichen entsprechende Angaben übermitteln muss, die der verantwortlichen Stelle eine Erstellung der Verzeichnisse der Verarbeitungstätigkeiten für die Betriebsratstätigkeiten ermöglicht. Auch hinsichtlich etwaiger Verletzungen des Schutzes personenbezogener Daten oder im Rahmen der Geltendmachung von Betroffenenrechten ist der Betriebsrat gegenüber dem Verantwortlichen zur unverzüglichen Meldung und Zuarbeit verpflichtet.

    5 Mal editiert, zuletzt von Fried () aus folgendem Grund: Ein Beitrag von Fried mit diesem Beitrag zusammengefügt.

  • Der Betriebsrat muss sich um das Datenverarbeitungsverzeichnis selbst kümmern. Das kann ihm der Arbeitgeber nicht abnehmen weil dieser ganz klar keinen Einblick hat was an Daten der Betriebsrat den so selbst hat. Und hoffentlich auch gar nicht haben will.

    Die Auskunft einer Anfrage gemäß DSGVO gegenüber einem anfragenden Menschen läuft über den Arbeitgeber, welcher sich dann auch an den Betriebsrat wenden wird. Weil der Arbeitgeber ist die klare Schnittstelle nach außen aus dem Unternehmen oder auch internen Mitarbeitern/innen. Deshalb sollte für das Thema der BR einen Ansprechpartner nach außen haben.
    Ist auf jeden Fall mein Wissenstand.

    Gleiches gilt im übrigen auch für die JAV und die SBV.

    Bevor wir einfache oder komplizierte Gesetzen/Verordnungen erlassen sollten wir es vielleicht mit etwas einfachen wie Hochdeutsch versuchen :)

  • Der Betriebsrat muss sich um das Datenverarbeitungsverzeichnis selbst kümmern. Das kann ihm der Arbeitgeber nicht abnehmen weil dieser ganz klar keinen Einblick hat was an Daten der Betriebsrat den so selbst hat. Und hoffentlich auch gar nicht haben will.

    Und wieder einmal ignoriert jemand in einem Thread komplett die vorangegangene inhaltlich differenzierte Argumentation, die sowohl auf einer seit 2021 klaren gesetzlichen Regelung basiert, als auch sehr breit und tief die Aussagen eines Fachinstitutes für Datenschutz einbringt, und haut einfach mal eine uninformierte Meinung raus.

  • Betrifft die Pflicht, ein solches Verzeichnis zu führen, überhaupt den BR, ist der BR "verantwortlich" iSv Art 4 DGSVO? Ich denke nein.

    wird hier ganz gut dargelegt:


    Betriebsräte | Die Landesbeauftragte für den Datenschutz Niedersachsen


    also Verzeichnis nein, aber der BR muss alle notwendigen Angaben zur Verfügung stellen damit der AG das Verzeichnis führen kann

    Nicht die Dinge sind positiv oder negativ, sondern unsere Einstellung macht sie so. (Epiktet, gr. Philosoph)

  • Stimmt.

    Dem Link von rtjum kann man ja entnehmen, dass auf LAG-Ebene teils unterschiedlich entschieden wurde, und dass das BAG nach Einführung der DSGVO noch nicht beteiligt gewesen war. Insofern war der anwaltliche Rat ja nicht falsch, sondern im Sinne der Vorsicht richtig.


    Aus den Einlassungen der DS-Expert:innen geht aber auch klar hervor, dass der § 79a BetrVG das nun eindeutig geregelt hat. Wenn man den liest, braucht man eigentlich auch keine DS-Expertise mehr: Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Da ist kein Platz für Auslegungen.

  • [...]


    also Verzeichnis nein, aber der BR muss alle notwendigen Angaben zur Verfügung stellen damit der AG das Verzeichnis führen kann

    Die Angaben müssen wir als BR aber zusammenstellen, und damit bin ich ja "praktisch" wieder dabei.....


    Die Vorgänge, die einem BR zu schützende Daten in die Hände geben, sind ja prinzipielle eigentlich immer gleich (z.B. Anhörung nach §99 BetrVG e.a.). Da ist doch die Chance groß, dass nicht jeder die ganze Dokumentation von Grund auf erstellen muss... deshalb die Frage nach einer Vorlage.


    Oder gebt ihr die erforderlichen Infos in anderer Form an den AG?


    Uwe

    PS: Danke für die engagierten Antworten und den Link :)

  • Die Angaben müssen wir als BR aber zusammenstellen, und damit bin ich ja "praktisch" wieder dabei.....

    Ja. Und nein. Man muss sich nicht vorab stellvertretend für den AG den Kopf zerbrechen.


    Denn m.E. muss der BR hier eben nicht proaktiv arbeiten, sondern er hat auf ein entsprechendes Ansinnen des AG als dem i.S.d. DSGVO Verantwortlichen reagieren.


    D.h. die AG erstellt nach seinen gesetzlichen Pflichten als Verantwortlicher nach DSGVO das Grundgerüst, das der BR dann im Rahmen seiner Verpflichtungen "befüllt".

  • D.h. die AG erstellt nach seinen gesetzlichen Pflichten als Verantwortlicher nach DSGVO das Grundgerüst, das der BR dann im Rahmen seiner Verpflichtungen "befüllt".

    so sehe ich das auch!

    Nicht die Dinge sind positiv oder negativ, sondern unsere Einstellung macht sie so. (Epiktet, gr. Philosoph)

  • D.h. die AG erstellt nach seinen gesetzlichen Pflichten als Verantwortlicher nach DSGVO das Grundgerüst, das der BR dann im Rahmen seiner Verpflichtungen "befüllt".

    Da schließe ich mich an.


    Man muss sich als BR nicht freiwillig noch mehr Arbeit aufbürden als man schon hat, tatsächlich notwendig ist oder verlangt wird.

    Das sollte man auch als nicht freigestellter BR im Hinterkopf behalten (als Freigestellter aber auch ;) )

  • OK, das Grundgerüst gibt es in Form einer Excel-Tabelle. Allerdings müssen wir jetzt die einzelnen Datenverarbeitungsvorgänge auflisten und die Tabelle damit befüllen...


    Aktuell haben wir 3 BVs zu schließen und sind damit eigentlich ausgelastet.... Aktuell würde mir nur einfallen, die Protokolle durchzusehen und daraus die Vorgänge abzuleiten, die daten "produzieren".

  • Also, der AG hat den BR nun tatsächlich aufgefordert, ihm als Verantwortlichen zuzuarbeiten, und hat das Excel-Grundgerüst geliefert?


    Habt Ihr denn so viele Datenverarbeitungsvorgänge, die unabhängig bzw zusätzlich zu denen laufen, für die z.B. die Personalabteilung zuständig ist? Wie laufen z.B. die Anhörungen nach 99, 100, 102 und 103 ab, über Mail mit Dateianhänge, über Einblick in bestimmte Laufwerke?