Präambel
Der Betriebsrat des DRK Kreisverbands Homburg e.V. muss zu Verwaltungszwecken und zum Erreichen seiner Ziele von seinen Mitgliedern, den Mitarbeitern und eventuell auch von Dritten Daten erheben, verarbeiten, nutzen und übermitteln.
Rechtsgrundlage hierfür sind die einschlägigen gesetzlichen Bestimmungen und Vorschriften, insbesondere das Bundesdatenschutzgesetz, die Datenschutzgrundverordnung und das Telemediengesetz bzw. die Gesetze und Vorschriften, die die vorgenannten Regelungen in der Zukunft ergänzen oder ablösen.
Um diesen Vorgaben gerecht werden zu können, gibt sich der Betriebsrat gemäß § 9 Abs. 2 der Geschäftsordnung diese Datenschutzrichtlinie, welche verbindlich festlegt, wie bei der Datenverarbeitung verfahren und der Datenschutz gewährleistet wird.
Als Nebenordnung ist diese Datenschutzrichtlinie nicht Teil der Geschäftsordnung und wird in ihrer jeweils aktuellen Form auf der Homepage des Betriebsrats zugänglich gemacht.
Der besseren Lesbarkeit wegen findet in diesem Dokument bei Bezeichnungen, die männliche und weibliche Formen haben könnten, lediglich die männliche Form Anwendung. Mit „Mitglied“ sind stets Mitglieder und Ersatzmitglieder gemeint, sofern keine genauere Abgrenzung an der jeweiligen Textstelle erfolgt.
§ 1 Allgemeine Grundsätze
(1) Für den Datenschutz im Betriebsrat ist der komplette Betriebsrat verantwortlich. Dem Vorsitzenden kommt aufgrund seiner organisatorischen Rolle zwar eine herausragende Stellung in diesem Zusammenhang zu, er ist aber nicht der Datenschutzbeauftragte des Betriebsrats.
(2) Der Betriebsrat soll beim Erheben und Verarbeiten von Daten nach dem Prinzip verfahren „so viel wie nötig, so wenig wie möglich“. Daten, die nicht mehr benötigt werden, sind zu löschen, wenn dem keine gesetzlichen Vorgaben entgegenstehen.
(3) Auf keinen Fall ist es dem Betriebsrat gestattet quasi eine zweite Personalakte vorzuhalten.
(4) Da stets von Überschneidungen verschiedener persönlicher Sphären (privat, Arbeit, Betriebsrat, usw.) ausgegangen werden kann, obliegt es jedem einzelnen Mitglied, diese nach bestem Wissen und Gewissen gemäß seiner individuellen Möglichkeiten getrennt zu halten und sich stets der Verantwortung im Umgang mit personenbezogenen Daten bewusst zu sein.
(5) Datenübermittlungen - also das Weiterleiten von Daten an Dritte - sind ohne die ausdrückliche Zustimmung der betroffenen Person nicht gestattet, es sei denn sie sind aufgrund gesetzlicher Vorschriften oder Gerichtsbeschluss geboten.
(6) Änderungen im Bezug auf gemachte Angaben müssen dem Betriebsrat unverzüglich schriftlich mitgeteilt werden, damit eine reibungslose Organisation gewährleistet bleibt.
(7) Jede Person hat das Recht zu erfahren, welche Daten der Betriebsrat von ihr gespeichert hat und wofür und auf welche Art diese Daten verwenden werden. Ansprechpartner bei solchen Fragen ist der Betriebsratsvorsitzende.
(8) Jeder Mitarbeiter kann sich bei Fragen zum Datenschutz an ein Mitglied des Betriebsrats wenden. Auskünfte haben nach bestem Wissen und Gewissen zu erfolgen. Auf den Datenschutzbeauftragten des DRK Kreisverbands Homburg e.V. ist hinzuweisen.
(9) Bei Verdacht auf Verstöße gegen datenschutzrechtliche Vorschriften, haben die Betroffenen das Recht sich an den zuständigen Landesdatenschutzbeauftragen zu wenden.
Zuständig ist das Unabhängige Datenschutzzentrum Saarland, Fritz-Dobisch-Straße 12, 66111 Saarbrücken, www.datenschutz.saarland.de.
§ 2 Betriebsratsmitglieder und die Kommunikation im Betriebsrat
(1) Alle Mitglieder müssen für die Belange des Datenschutzes sensibilisiert und entsprechend informiert sein. Dieses gilt in besonderem Maße für den Vorsitzenden und seine Stellvertretung, da diesen aufgrund ihrer organisatorischen Rolle eine herausragende Stellung für die Einhaltung der datenschutzrechtlichen Bestimmungen zukommt.
(2) Jedes Mitglied ist durch den Vorsitzenden auf die Wahrung des Datengeheimnisses und des Datenschutzes zu verpflichten (Anlage IV). Diese Verpflichtung hat bei jeder Wiederwahl erneut zu erfolgen. Im Falle des Vorsitzenden erfolgt die Verpflichtung durch seine Stellvertretung. Ersatzmitglieder sind auf ihrer ersten Betriebsratssitzung zu verpflichten. Die entsprechenden Formulare sind 10 Jahre aufzubewahren.
(3) Beim Ausscheiden von Mitgliedern ist sicherzustellen, dass sämtliche Mitgliederdaten entweder ordnungsgemäß gelöscht oder an den Betriebsratsvorsitzenden oder ein anderes Betriebsratsmitglied übergeben werden und keine Kopien und Dateien beim bisherigen Mitglied verbleiben (siehe Anhang III). Das scheidende Mitglied wird dabei auch auf die fortwährende Wahrung des Datengeheimnisses verpflichtet. Bis zum Vorliegen einer belastbaren gesetzlichen Regelung, müssen diese Verpflichtungserklärungen 10 Jahre aufbewahrt werden.
(4) Die Mitglieder haben im Rahmen des Wahlverfahrens den Mitarbeitern Kontaktinformationen zur Verfügung gestellt.
Nach der konstituierenden Sitzung des Betriebsrats ist der Betriebsratsvorsitzende ermächtigt, diese Kontaktinformationen zu nutzen so weit es die Ausübung seines Amts erfordert. Allerdings ist zeitnah das Formular „Einwilligung zur Kontaktaufnahme durch den Betriebsrat des DRK Kreisverbands Homburg e.V.“ aus Anhang I zu nutzen.
(5) Die Daten der Mitglieder werden nur zu diesem Anlass gespeichert und ohne ausdrückliche Genehmigung nicht an Dritte weitergegeben. Im Prinzip gilt das auch für eine Weitergabe an den Arbeitgeber, es sei denn es liegt ein berechtigtes Interesse oder eine gesetzliche Regelung vor. Auch Betriebsratsmitglieder können ein berechtigtes Interesse zur Kontaktaufnahme haben, bspw. um einen Antrag zu organisieren.
(6) Die ausgefüllten Formulare werden in einem abschließbaren Schrank in einem Ordner im Betriebsratsbüro aufbewahrt. Der Betriebsratsvorsitzende nimmt eine zusammengefasste Kopie dieser Formulare zu seinen Unterlagen, um diese im Bedarfsfall auch zur Hand zu haben. Dabei gelten die allgemeinen Bestimmungen zur Aufbewahrung solcher Daten (siehe § 10).
(7) Scheidet ein Mitglied aus dem Gremium aus oder erklärt ein Ersatzmitglied seinen Verzicht auf die Anwartschaft, gelten die Einwilligungen noch 6 Monate (gerechnet ab dem 1. Tag des Monats, welcher auf das Monat des Ausscheidens folgt) weiter. Dies ist erforderlich, damit die Mitglieder bei evtl. auftauchenden Fragen noch konsultiert werden könnt.
Nach Ablauf der 6 Monate werden die Kontaktdaten gelöscht.
(8) Die Mitglieder können einer Einwilligung jederzeit (bei Ausscheiden aus dem Gremium siehe Abs. 4) teilweise oder komplett und ohne Nennung von Gründen schriftlich widersprechen. Die Daten werden dann zum nächsten regulären Löschtermin (siehe § 6) gelöscht. Allerdings hat das Gremium Betriebsrat – vertreten durch Vorsitz und Stellvertretung – immer ein berechtigtes Interesse zur Kontaktaufnahme. Daher werden im Zweifelsfall die Kontaktdaten verwendet, die von den Mitgliedern beim Arbeitgeber hinterlegt wurden.
Natürlich können bzw. müssen Einwilligungen auch abgeändert/aktualisiert werden. Hier gilt zunächst die Bringschuld jedes einzelnen Mitglieds.
(9) Die Löschung gemäß Abs. 4 und 5 können vom Betriebsratsvorsitzenden entgegen der Bestimmungen aus § 6 alleine durchgeführt werden.
(10) Nach Beendigung der Mitgliedschaft besteht keine automatische Verpflichtung, Daten und Bildmaterial des ehemaligen Mitglieds unverzüglich von der Internetseite des Betriebsrats zu entfernen.
(11) Es müssen keine Aufzeichnungen darüber angefertigt werden, wem innerhalb des Betriebsrats welche Daten zur Verfügung gestellt wurden.
§ 3 Betriebsangehörige
(1) Die offizielle Kommunikation mit den Betriebsangehörigen des DRK Kreisverbands Homburg e.V. findet in erster Linie durch Aushänge in der Kreisgeschäftsstelle und durch Veröffentlichungen auf der Homepage des Betriebsrats statt.
Darüber hinaus haben die Mitarbeiter die Möglichkeit, dem Betriebsrat über das Formular „Einwilligung zur Kontaktaufnahme durch den Betriebsrat des DRK Kreisverband Homburg e.V.“ (Anhang II) weitere Kommunikationswege zu eröffnen.
Diese Daten werden nicht an Dritte weitergegeben.
(2) Die Regelungen aus § 2 Abs. 3, 5 und 7 gelten entsprechend.
(3) Verlässt ein Mitarbeiter den Betrieb, sind seine Daten spätestens zum nächsten regulären Löschtermin (siehe § 6) zu löschen.
(4) Im Rahmen seiner betrieblichen Mitbestimmung erhält der Betriebsrat regelmäßig Kenntnis von personenbezogenen Daten von Mitarbeitern oder Bewerbern.
Diese Daten sind sobald die entsprechende personelle Maßnahme vom Arbeitgeber entweder durchgeführt oder verworfen wurde, oder der Vorgang allgemein als abgeschlossen gilt, spätestens zum nächsten regulären Löschtermin (siehe § 6) zu löschen, sofern dem keine gesetzlichen Vorgaben entgegenstehen.
(5) Sollte der Betriebsrat aufgrund gesetzlicher Regelungen oder Gerichtsbeschluss Daten von Mitarbeitern an den Arbeitgeber oder andere Mitarbeiter oder Dritte übermitteln müssen, ist darüber eine detaillierte schriftliche Aufzeichnung anzufertigen und aufzubewahren. Die betroffenen Mitarbeiter sind von der Übermittlung unverzüglich in Kenntnis zu setzen, sofern dem nicht gesetzliche Regelungen oder Gerichtsbeschluss entgegenstehen.
(6) Es ist denkbar, dass zur Durchführung bestimmter freiwilliger Veranstaltungen, die dem Betriebszweck dienen, weitere Daten erhoben und verarbeitet werden müssen. Dabei gilt es stets zu beachten, dass wirklich nur Daten erhoben werden, die zur Durchführung der entsprechenden Veranstaltung zwingend erforderlich sind. Diese Daten müssen ausnahmslos auf einer separaten Liste geführt und nach Beendigung der Veranstaltung unverzüglich gesperrt werden. Die Löschfristen sind bereits im Rahmen der Veranstaltungsplanung auszuarbeiten und den betroffenen Mitarbeitern bei Erhebung der Daten mitzuteilen.
§ 4 Betriebsfremde und andere Dritte
(1) Unter bestimmten Umständen muss der Betriebsrat auch von Dritten Daten erheben, insbesondere wenn Veranstaltungen durchgeführt werden, die der Anmeldung bedürfen und Dritten offenstehen, aber eventuell auch zur Kommunikation mit Gewerkschaften, Verbänden, Rechtsanwälten, usw.
Dabei gilt es stets zu beachten, dass wirklich nur Daten erhoben werden, die zwingend erforderlich sind. Diese Daten müssen ausnahmslos auf einer separaten Liste geführt werden.
(2) § 3 Abs. 6 gilt entsprechend.
§ 5 Nutzung von Daten
(1) Bei der Nutzung von Daten - also auch der Weiterleitung von Daten innerhalb des Betriebsrats - ist grundsätzlich zu beachten, dass jeder Funktionsträger nur die Daten nutzt, die er zur Wahrnehmung seiner Funktion zwingend benötigt. Die Datenstruktur und das Datenmanagement müssen darauf ausgelegt sein.
(2) Der Betriebsratsvorsitzende hat uneingeschränkten Zugang zu allen Daten und Informationen, die den Betriebsrat betreffen.
§ 6 Löschfristen und Löschzeitpunkte
(1) Löschfristen bzw. Aufbewahrungsfristen ergeben sich zunächst prinzipiell aus den entsprechenden gesetzlichen Vorschriften. Wo keine Vorgaben gemäß Satz 1 vorliegen, ist gemäß der allgemeinen Grundsätze und speziellen Vorgaben dieser Datenschutzrichtlinie vorzugehen.
(2) Löschungen unterliegen – sofern nicht ausdrücklich etwas anderes vorgeschrieben ist – dem Vier-Augen-Prinzip, d.h. an einer Löschung sind immer mindestens 2 Personen beteiligt, wobei eine Person stets der Betriebsratsvorsitzende sein muss. Weitere Personen können je nach Arbeitsaufwand erforderlich sein.
(3) Löschungen sind mindestens einmal pro Kalendervierteljahr vorzunehmen.
Der Betriebsratsvorsitzende legt in Abstimmung mit den anderen Personen gemäß Abs. 2 einen Termin fest und organisiert den genauen Ablauf, u.U. in Abstimmung mit dem Arbeitgeber.
(4) Jede Löschung ist unter Nennung der Beteiligten, dem Datum sowie Anfangs- und Endzeitpunkt schriftlich zu dokumentieren und von allen Beteiligten durch Unterschrift zu bestätigen. Eine Dokumentation der gelöschten Daten ist nicht erforderlich.
§ 7 Veröffentlichung
(1) Abgesehen von der Veröffentlichung von Daten gemäß § 12 Abs. 2 der Geschäftsordnung, können Bilder und personenbezogene Daten von Betriebsangehörigen oder Betriebsfremden im Rahmen der Berichterstattung über Ereignisse innerhalb des DRK Kreisverbands Homburg e.V. nur mit ausdrücklicher Genehmigung der Betroffenen an die Presse weitergegeben oder auf der Internetseite des Vereins veröffentlicht werden.
(2) Von Personen kann - Einwilligung vorausgesetzt - Folgendes veröffentlicht werden:
a) Name, Vorname
b) Geburtsjahr oder das Alter in Jahren
c) Dauer der Betriebszugehörigkeit
d) Funktion im Betrieb
e) Bild
(3) Bei noch nicht volljährigen Kindern und Jugendlichen sollte bei Veröffentlichungen - auch bei Vorliegen der Einverständniserklärung des rechtlichen Vertreters - stets mit größtmöglicher Umsicht vorgegangen werden. So ist beispielsweise immer in Erwägung zu ziehen, statt des Namens nur den Vornamen zu verwenden.
(4) Bildmaterial und personenbezogene Daten dürfen nicht unbegrenzt lange ins Internet gestellt werden. Daher sind spätestens 2 Jahre nach Veröffentlichung sämtliche Bilder von der Internetseite zu entfernen und evtl. vorhandene Namen durch Kürzel zu ersetzen. Bilder und Kontaktdaten gemäß § 12 Abs. 2 der Geschäftsordnung sind von dieser Regelung ausgenommen. Das Bildmaterial und die Texte können archiviert werden (siehe dazu § 11).
§ 8 Verstöße gegen datenschutzrechtliche Bestimmungen
(1) Jeder Mitarbeiter hat die Möglichkeit Verstöße gegen datenschutzrechtliche Bestimmungen dem Betriebsrat zu melden. Betriebsratsmitglieder sind verpflichtet mögliche Verstöße unverzüglich dem Betriebsratsvorsitzenden zu melden.
(2) Wird der Vorsitzende über einen möglichen Verstoß informiert oder hat er selbst Kenntnis von einem solchen Verstoß, muss er binnen 24 Stunden den Datenschutzbeauftragten des DRK Kreisverbands Homburg e.V. informieren und den Betriebsrat spätestens auf der nächsten Betriebsratssitzung in Kenntnis setzen. Auf dieser Sitzung muss auch geklärt werden, ob unabhängig von der Meldung an den Datenschutzbeauftragten auch die zuständige Aufsichtsbehörde informiert werden muss. Diese Beschlüsse werden mit einfacher Mehrheit gefasst.
(3) Bei entsprechender Beschlussfassung informiert der Vorsitzende binnen 24 Stunden die zuständige Aufsichtsbehörde. Sollte der Vorsitzende verhindert sein, hat die Meldung durch seine Stellvertretung zu erfolgen.
(4) Verstöße gegen die datenschutzrechtlichen Bestimmungen im Allgemeinen und gegen die betriebsratsinternen Vorgaben im Besonderen können unter Umständen zum Ausschluss aus dem Betriebsrat führen.
§ 9 Verzeichnis von Verarbeitungstätigkeiten
(1) Nach vorliegender Rechtsauffassung muss kein Verzeichnis der Verarbeitungstätigkeiten geführt werden.
§ 10 Datensicherheit
(1) Datenschutz ist nur bei entsprechender Datensicherheit möglich. Nun ist es nur schwer möglich, die Maßnahmen zur Datensicherheit starr in einer Datenschutzrichtlinie festzuhalten, da die organisatorischen und technischen Gegebenheiten individuell doch stark unterschiedlich ausfallen dürfte. Daher beschränkt sich diese Datenschutzrichtlinie auf allgemeine Grundsätze.
(2) Das Datensicherheitskonzept orientiert sich an den folgenden 4 Schutzzielen:
◦ Vertraulichkeit, d.h. Daten dürfen für unberechtigte Dritte nicht zugänglich sein
◦ Integrität, d.h. Daten dürfen nicht verfälscht werden können
◦ Verfügbarkeit, d.h. die Daten stehen zur Verfügung und sind nach einem physischen oder technischen Zwischenfall rasch wiederherstellbar
◦ Resilienz, d.h. das System muss gewissen Beanspruchungen standhalten
Außerdem müssen die Risiken realistisch abgeschätzt werden, um entsprechende Schutzvorkehrungen treffen zu können.
§ 11 Archiv
(1) Der Wunsch des Gremiums nach Sicherung der Gremiumsgeschichte und das Recht des Einzelnen auf Vergessenwerden sind nur mit Sorgfalt miteinander zu vereinen. Der Betriebsrat ist sich der Schwierigkeit dieser Aufgabe bewusst und wird immer bemüht sein, die Interessen vernünftig abzuwägen.
(2) Das Archiv bezeichnet dabei weniger einen bestimmten Ort, als eine Sammlung von verschiedenen Materialen. Diese Sammlung soll sich unter Verschluss im Betriebsratsbüro befinden.
(3) Im Archiv lagert der Betriebsrat sowohl Material, welches er selbst angelegt und benutzt hat, als auch solches, das von Dritten stammt. Beispiele sind Bilder und Texte, die auf der Internetseite Verwendung fanden, aber auch Zeitungsartikel. Auch Texte und Bildmaterial von Betriebsratsmitgliedern oder Betriebsangehörigen können dort aufbewahrt werden.
(4) Verantwortlich für das Archiv ist der Vorsitzende, der auch das Archivregister führt, in dem der Inhalt des Archivs aufgelistet ist. Dinge, die im Archiv eingelagert werden sollen, sind ihm zu übergeben.
§ 12 Inkrafttreten
Diese Datenschutzrichtlinie ist auf der Betriebsratssitzung vom 08.03.2023 beschlossen worden und tritt zum 15.03.2023 in Kraft.
Alle bisherigen Datenschutzrichtlinien treten mit Inkrafttreten dieser Datenschutzrichtlinie außer Kraft.
Anhang I) Einwilligung zur Kontaktaufnahme durch den Betriebsrat des DRK Kreisverbands Homburg e.V. (Betriebsrat)
Anhang II) Einwilligung zur Kontaktaufnahme durch den Betriebsrat des DRK Kreisverband Homburg e.V. (Mitarbeiter)
Anhang III) Ausscheiden aus dem Betriebsrat / Verzicht auf die Anwartschaft
Anhang IV) Verpflichtung auf das Datengeheimnis