Die nächste Konferenz wird vom 05. – 07. November 2019 in Wuppertal stattfinden.

2015 Hannover – Tagungsprotokoll

1. Tag – 3. November 2015

Daniel Kaufeld begrüßt die Teilnehmer und erinnert an die Konferenz im Jahr 2005, die schon einmal in Hannover stattgefunden hat.

Der Betriebsratsvorsitzende Martin Bühre und auch der Arbeitsdirektor begrüßen die Teilnehmer. Beide gehen auf die politische Situation in der Energiewirtschaft ein.

Daniel Kaufeld stellt anschließend die Moderatorin Dani Parthum vor, die die nächsten drei Tage durch die Konferenz führt.

Peter Lindner heißt die Teilnehmer ebenfalls willkommen und erklärt, dass die neue Internetplattform in Betrieb genommen worden ist. Außerdem gibt er bekannt, dass die Konferenz 2016 durch Düsseldorf ausgerichtet wird. Für 2017 sind verschiedene Unternehmen im Gespräch, trotzdem werden noch Interessierte gesucht. Wer Lust hat, eine Konferenz auszurichten, kann sich an die Mitglieder des Arbeitskreises wenden.

Dani Parthum leitet zu dem ersten Referenten des Tages, Jörg Schlißke vom TÜV Nord, über, der das Thema Beschäftigtendatenschutz aufgreift. In diesem Zusammenhang geht er auf die Personalakte und deren Aktenführung ein. Auch erklärt er, welche Rechte der Betriebsrat nach BetrVG hat und was die Rechtsprechung dazu sagt.

Im zweiten Teil des Vortrages erklärt Herr Schlißke was es mit dem IT-Sicherheitsgesetz auf sich hat. Hierzu zeigt er die Entwicklung auf und erklärt die Ziele des Gesetzes. Das IT-Sicherheitsgesetz ist u. a. ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Es ist kein eigenständiges sondern ein Artikelgesetz und beinhaltet eine Sammlung von Anforderungen und Erweiterungen bereits bestehender Gesetze. Es findet lediglich Anwendung für KRITIS-Betreiber (KRITIS = Kritischer Infrastrukturen).
Kritische Infrastrukturen sind u. a. Branchen der Strom- und Gasversorgung. Es gibt allerdings auch Anlagen, die von der Anwendbarkeit ausgeschlossen sind. Dazu gehören u. a. Kleinunternehmen, Betreiber von Energieversorgungsnetzen oder auch Betreiber öffentlicher TK-Netze. Zu den Aufgaben von KRITIS-Betreibern gehört die Erhaltung eines angemessenen Mindestniveaus an IT-Sicherheit und die Nachweiserbringung über die Einhaltung durch Sicherheitsaudits. Außerdem muss innerhalb von 6 Monaten eine Kontaktstelle eingerichtet und an das BSI gemeldet werden und erhebliche IT-Sicherheitsvorfällt müssen gemeldet werden (BSI oder BNetzA). Zu den IT-Sicherheitsvorfällen gehören u. a. erhebliche Störungen der Verfügbarkeit, Integrität und Authentizität bei möglichem oder tatsächlichem Ausfall der KRITIS.
Herr Schlißke empfiehlt, die Etablierung einer IT-Sicherheitsorganisation. Die besteht aus einem IT-Sicherheitsbeauftragten, Datenschutzbeauftragten. Zusätzlich die Bildung eines Informationsmanagement-Team, dem zusätzlich der BR, ein CIO und der IT-Leiter angehören.

Nach der Kaffeepause geht es mit Jürgen Fickert von der TBS NRW weiter. Sein Thema Datenschutz bei der Datenverarbeitung außer Haus zeigt unter anderem Praxisfälle der klassischen Auftragsdatenverarbeitung durch z. B. externe IT-Dienstleister. Er geht am Anfang auf die Zulässigkeit der Verarbeitung nach dem BDSG ein und stellt die wichtigsten daraus vor:

§§ 4, 32 und für besondere Arten von Daten § 28 (5-6) BDSG. Im weiteren Verlauf geht er auf die Qualitätsstandards beim Datenschutz ein. Dazu gehören Verfahrensregister, Datenschutzkonzepte mit technischen und organisatorischen Maßnahmen und allgemeine Rechtskriterien.

Für die Datenverarbeitung außer Haus zeigt Herr Fickert Fälle auf und erläutert dazu die Regelungen des § 11 BDSG. Herr Fickert weist darauf hin, dass es kein Konzernprivileg gibt. Das heißt es ist nicht erlaubt Daten zwischen Mutter- und Tochterunternehmen zu verarbeiten.
Es ist nach seiner Ansicht nach schwierig zwischen Auftragsdatenverarbeiten und Datenübermittlung zu unterscheiden. Fachleute sprechen bei der Datenübermittlung auch von Funktionsübertragung. Bei der Auftragsdatenverarbeitung schreibt § 11 BDSG Inhalte eines Vertrages mit dem Datenempfänger vor während es bei der Datenübermittlung gesetzlich kein Vertrag vorgeschrieben ist.
Da eine Datenverarbeitung im Ausland kein großes Thema für die Teilnehmer ist, geht Herr Fickert nur kurz auf die rechtliche Zulässigkeit ein.
Aktuell hat Herr Fickert eine Broschüre zu dem Thema geschrieben, welche unter www.tbs-nrw.de erhältlich ist.

Zum Abschluss des ersten Konferenztages gibt Peter Goor noch organisatorische Informationen bekannt.

 

2. Tag – 4. November 2015

Peter Goor begrüßt die Teilnehmer zum 2. Konferenztag und gibt erste organisatorische Hinweise.

Frau Parthum übernimmt und kündigt den ersten Referenten, Stephan Grabmeier (InnovationEvangelists), an. Herr Grabmeier erklärt die Zukunft der Arbeit anhand verschiedener Beispiele veränderten Konsumverhaltens.

Auch in der Berufswelt wird es nach seiner Ansicht nach Veränderungen geben. Er stellt eine Studie vor, in der Berufe aufgeführt werden, welche wahrscheinlich durch Computer ersetzt werden: Immobilienmakler, Bürokauffrau gehören genauso dazu wie Restaurantköche. In den Berufen der Zukunft wird es Leute geben, die Software bedienen und die, die von Software bedient werden.
Zusätzlich stellt er drei Thesen vor, die er anhand von Beispielen erklärt:

These 1: „Eine Firma wird nirgendwo hinkommen, wenn alles Denken dem Management überlassen wird.“

These 2: „Unternehmen brauchen ein Upgrade ihres Betriebssystems.“

These 3: „Im neuen Betriebssystem brauchen Mitarbeiter und Führungskräfte neue Skills, Methoden und Mindset.“

In diesem Zusammenhang berichtet Herr Grabmeier von einem Projekt „Zukunftstag“, welches bei enercity durchgeführt worden ist. In diesem Projekt konnten Mitarbeiter darstellen, wie sie sich die Arbeit der Zukunft vorstellen und eigene Ideen und Vorschläge an den Vorstand einbringen.

Als nächstes kündigt Frau Parthum Prof. Dr. Peter Wedde mit seinem Thema Mitarbeiter-Screening an. Herr Wedde berichtet, dass nach einer EU-Richtlinie Unternehmen verpflichtet sind ihre Mitarbeiter mit einer Terrorliste abzugleichen. Bei einem Treffer ist es untersagt, diese Person mit finanziellen Mitteln zu unterstützen. Das würde für einen Mitarbeiter bedeuten, dass das Gehalt eingefroren und nicht ausgezahlt wird.
Das Problem dabei ist, dass auch ein Vergleich mit Ähnlichkeiten stattfindet. Damit steigt die Möglichkeit, dass ein Mitarbeiter zu Unrecht herausgefiltert wird, nur weil sein Name einem ähnlich ist, der auf der Terrorliste aufgeführt ist. Durch das Unterstützungsverbot kann das fatale finanzielle Folgen für den Mitarbeiter haben. Er erklärt allerdings auch, dass das Unterstützungsverbot nur für den Betroffenen gilt. Die Familie oder einzelne Familienangehörige sind da nicht eingeschlossen. Es gibt Firmen, die im Verdachtsfall die Familie finanziell unterstützen. Eine endgültige Aufklärung, ob ein Fehltreffer vorliegt kann 3 – 6 Monate dauern.
Herr Wedde weist darauf hin, dass die Banken aufgrund ihrer Vorschriften mit jeder Geldbewegung verpflichtet ist einen Abgleich zu machen und zu screenen. Damit kann sich ein Unternehmen durchaus an die Banken wenden und sich an dieses Screening anhängen. Das würde bedeuten, dass Unternehmen nicht zwangsläufig eine eigene Software anschaffen und / oder einen entsprechenden Dienstleister beauftragen muss.
Eine Nachfrage in der Politik hat ergeben, dass sich die im Zeitraum 2001 bis 2009 eingefrorenen Gelder auf 203,00 Euro belaufen.

Prof. Dr. Wolfgang Däubler (Universität Bremen) ist als nächster Referent mit dem Thema Gläserne Belegschaften an der Reihe.
Er berichtet von einem Fall, in dem ein MA einen sehr kritischen Brief zur Geschäftspraxis verfasst hat. Der Vorstand wollte herausfinden, wer diesen Brief geschrieben hat und kam auf die Idee, den Speichel vom Briefumschlag untersuchen und abgleichen zu lassen. Da Sie bereits ein Personalratsmitglied im Verdacht hatten, luden sie ihn ein und behielten ein von ihm benutze Tasse zurück. Beide Spuren vom Umschlag und vom Glas wurden an ein entsprechendes Labor geschickt. Nachdem das der Verdacht dadurch erhärtet wurde, sollte das Personalratsmitglied gekündigt werden. Das Gremium hat dem Kündigungswunsch nicht zugestimmt und der Vorstand wollte vom Gericht die Zustimmung ersetzt bekommen. Der Verwaltungsgerichtshof hat die gentechnische Untersuchung in Frage gestellt und abschließend die Findungsmethode verneint. Eine gentechnische Untersuchung darf nur aus wichtigen Gründen durchgeführt werden – eine vermeintliche Beleidigung fällt nicht darunter.
Herr Prof. Dr. Däubler geht über zu einer verbreiteten Form der möglichen Kontrolle: der Videokontrolle. In der Gesellschaft gibt es eine Menge an Überwachungskameras. Es gibt die in öffentliche und die in nicht öffentlichen Räumen (z. B. auch in Arbeitsräumen). Der § 6 b BDSG enthält relativ enge Begrenzungen der Videoüberwachung. Unter anderem muss durch Piktogramme auf die Videoüberwachung hingewiesen werden. Im Arbeitsrecht sind die nicht gesetzlich geregelten Fälle interessant. Grundsätzlich sind heimlich angebrachte Kameras verboten. Es gibt eine Ausnahme: Wenn sich ein konkreter Verdacht gegen eine Gruppe oder Person auf eine Straftat richtet. Er berichtet von einem Fall in einer Spielbank, in dem die Roulett-Schale manipuliert wurde.
Vom BAG wurde ein Fall entschieden, in dem in einem Briefverteilzentrum eine verdeckte Videokamera eingesetzt worden ist. Dies ist aber nur in einem bestimmten Bereich und in einem eng beschränkten Zeitraum möglich.
Eine offene Kameraüberwachung zur Überwachung des Arbeitsverhaltens ist gesetzlich nicht möglich. Es ist möglich (z. B. in Supermärkten) zur Abwehr von Diebstählen zu überwachen, aber es dürfen nicht die Kassiererinnen ins Visier genommen werden.
Wenn jemand zu Unrecht überwacht wird, kann Schadensersatz geltend gemacht werden. Hierzu berichtet Herr Prof. Dr. Däubler von einem Fall, in dem ein MA 3.000,00 Euro erhalten hat. Die Beträge sind allerdings nach der Rechtsprechung sehr unterschiedlich und schwanken zwischen 600,00 und 25.000,00 Euro.
Das Thema GPS liegt Herrn Däubler am Herzen. Einer Kontrolle konnte man sich bisher entziehen, in dem man sich örtlich verändert. Hierzu berichtet er von seinen eigenen Erfahrungen. In kleinen Ortschaften weiß jeder, was der andere tut oder welchen Lebensrhythmus er hat. Wenn sich jemand der Umgebung entzieht, ist das Wissen nicht mehr aktuell. Im Zeitalter von GPS ist aber eine Entziehung nicht mehr möglich. Jeder weiß auch dann noch, wo sich eine Person aufhält. Im Arbeitsleben gibt es nur ein überwiegendes Arbeitgeberinteresse, durch das eine Überwachung möglich ist. Nur zu wissen, wo sich jemand aufhält, um ggf. Aufträge besser zu koordinieren. Es gibt keinen wirklich überzeugenden Grund, warum eine ständige Kontrolle wichtig ist.
Als nächstes berichtet er über Spyware, die auf einen PC eines BR-Vorsitzenden aufgespielt worden ist. Es lag der Verdacht vor, dass dieser eine Adminstratorenkennung unrechtmäßig genutzt hat, um Änderungen an der Arbeitszeit vorzunehmen. Diese Spyware machte alle 5 Minuten einen Screenshot und somit war erkennbar was auf diesem Computer getan wurde. Eine anschließend angestrebte Kündigung wurde vom BR-Gremium und vom später eingeschalteten Gericht abgelehnt. Das Gericht argumentierte, dass die Erkenntnisse aus der Spyware seien unverhältnismäßig, da nicht nur die scheinbar unrechtmäßig Administratorenkennung zum Eintrag von Arbeitszeiten sondern auch das Bearbeiten von eMails mit aufgezeichnet worden ist.
Die Sphäre des BR ist für den Arbeitgeber absolut tabu. Der Arbeitgeber darf nicht in die Dateien des Betriebsrates Einsicht nehmen, auch nicht bei einem begründeten Verdacht.
Bei einer unerlaubten Videoüberwachung hat der Beschäftigte das Recht seine Arbeitsleistung zurückzuhalten. Als weitere Folge wird der Lohnanspruch behalten, da der Arbeitgeber seine Pflichten verletzt hat. Diese Art von Zurückbehaltungsrecht ist allerdings außerordentlich selten.
Um die Einhaltung vom Ausschluss der Leistungs- und Verhaltenskontrolle zu kontrollieren gibt es verschiedene Möglichkeiten. Unter anderem gibt es die Möglichkeit, dass dem BR durch den Arbeitgeber ein Leserecht auf bestimmte Dateien eingeräumt wird. Auch kann der BR Arbeitsplätze der Mitarbeiter kontrollieren.
Nicht zuletzt besteht die Möglichkeit, die Aufsichtsbehörde einzuschalten.

Nach der Mittagspause berichtet der Referent Bruno Schierbaum (BTQ Niedersachsen) zu dem Thema Bring your own device. Herr Schierbaum beginnt damit, dass er auf die steuerlichen und lizenzrechtlichen Fragen hinweist, die aufkommen können, wenn private Geräte für dienstliche Zwecke genutzt werden. Hinzu kommen die arbeitszeit- und datenschutzrechtlichen Fragestellungen.

Der Einsatz spezieller Endgeräte (z. B. Smartphones, Tabletts etc.) steht für Bring your own device (BYOD). Das Gerät gehört dabei dem Mitarbeiter und greift auf IT-Ressourcen des Betriebes zu. Meist wird das Gerät durch z. B. MDM-Software an das betriebliche Netzwerk angebunden. Durch eine solche Software ist das Unternehmen u. a. in der Lage, das Smartphone zu orten oder auch die Daten aus der Ferne zu löschen (z. B. bei Verlust).
Beim Umgang mit Apps ist die Empfehlung der Datenschützer, dass Unternehmen mit dienstlichen Apps eine Art App-Store einzurichten.
Bei den datenschutzrechtlichen Anforderungen gehört auch eine Vorabkontrolle. Herr Schierbaum hat den Eindruck, dass in den wenigsten Betrieben eine Vorabkontrolle tatsächlich durchgeführt wird.
Die Nutzung privater Endgeräte kann nur auf freiwilliger Basis erfolgen und die privaten und geschäftlichen Daten sind zu trennen. Bruno Schierbaum macht deutlich, dass § 88 TKG für die private Nutzung zum Tragen kommt.
Bei der dienstlichen Nutzung in der Freizeit kann es Konflikte hinsichtlich des Arbeitszeitgesetzes geben, da diese Zeit natürlich keine Freizeit sondern Arbeitszeit ist. Es gibt Automobilunternehmen, die das Problem teilweise dadurch gelöste, in dem sie die Verbindung zum Firmennetz ab einer bestimmten Uhrzeit unterbunden haben.
Natürlich ist auch bei BYOD ist die Umsetzung der Anlage zu § 9 BDSG eine datenschutzrechtliche Anforderung.
Im Anschluss geht Herr Schierbaum auf die Beteiligungsrechte des Betriebsrates (z. B. §§ 80, 87 BetrVG…) ein. Zusätzlich gibt er Hinweise auf Eckpunkte, die in einer Betriebsvereinbarung geregelt werden sollten, wenn BYOD vom Unternehmen geplant wird.

In folgenden Unterlagen gibt es weitere Informationen zu dem Thema:

  • Artikel Computer & Arbeit „Smartphone-Kontrollen – Mitbestimmung beim Mobile Device Management“
  • Bundesamt für Sicherheit in der Informationstechnik „Überblickspapier Smartphones“

Als weiteres Thema trägt Bruno Schierbaum Aktuelle Fälle aus dem Datenschutz vor. Hier beschränkt er sich auf die Themen:

  • Private Nutzung Internet und E-Mail während der Arbeitszeit
  • Einstellen von personenbezogenen Daten der Beschäftigten ins Internet (Homepage, Facebook etc.)
  • Umgang mit E-Mail-Verteiler
  • Darf ein Arbeitgeber im Internet in Bezug auf Bewerber oder Beschäftigte Recherchen durchführen?
  • Private Nutzung der Sozialen Medien „zu Hause“
  • Social Media Nutzung im Betrieb
  • Internet, E-Mail, Social Media

Zu jedem Thema stellt Bruno Schierbaum einen aktuellen Fall vor und erläutert den Sachverhalt und die Problematik, die dahinter steht. Die entsprechenden Urteile und die Urteilsbegründungen werden von ihm erläutert.
Zusatzinformationen finden sich in den Unterlagen von Herrn Schierbaum „Artikel Computer & Arbeit „Ungeahnte Nebenwirkungen – Facebook und Arbeitsrecht“.

Als letztes moderiert Frau Parthum die Expertenrunde an, in der ein Austausch zu den Themen des Tages stattfindet. Die Referenten des heutigen Tages stehen den Teilnehmern für Fragen und Diskussionen zur Verfügung. Da Herr Grabmeier nicht mehr anwesend ist, nimmt Thomas Dorstewitz als IT-Sicherheitsbeauftragter von enercity an der Diskussionsrunde teil.

Frau Parthum fasst die Themen der Referenten noch einmal zusammen und fragt, wie die heutige Jugend mit dem Datenschutz umgeht. Herr Dorstewitz erklärt, dass viele Veränderungen durch nachwachsende Generationen auf die Unternehmen zukommen. Diese Generation pflegt ihre sozialen Kontakte nicht mehr nur morgens und abends in ihrer Freizeit, sondern sie wollen immer ON sein und aktuell auf Anfragen oder ähnliches reagieren. Die unterschiedlichen Interessengruppen Arbeitgeber und Interessenvertretung und auch die Interessen und Wünsche der (zum Teil jüngerer) Kolleginnen und Kollegen treffen hier aufeinander. In seiner Wahrnehmung ist die nachwachsende Generation eher großzügig mit Themen wie Ortung. Bruno Schierbaum glaubt schon, dass die bekanntgewordenen Datenschutzfälle die meisten doch wieder mehr sensibilisiert hat. In Betrieben, in denen er tätig ist, geht das Thema BYOD eher vom Unternehmen aus, um jüngere Mitarbeiter zu „rekrutieren“ und ihnen als „Bonbon“ zuzugestehen.
Die weitere Vernetzung sorgt nach Herrn Prof. Dr. Wedde für eine Fülle von Informationen. Es weckt nach seiner Meinung Begehrlichkeiten, diese Daten auch verwenden zu können. Das wiederum führt zu der Notwendigkeit der Kontrolle. Die junge Generation lebt teilweise in einer Welt, die von und mit Apps lebt. Dies sind die, die mit Datenschutz nicht viel anfangen können.
Umfragen haben laut Herrn Däubler gezeigt, dass durch die Verschmelzung von Arbeit und Privatleben durchschnittlich 49 Stunden/Woche gearbeitet wird. Es müssen die geschützt werden, die das dieses Übermaß an Arbeit wollen. Andererseits ist die Einhaltung des Arbeitszeitgesetzes nicht mehr kontrollierbar. Das heißt im Umkehrschluss, die Arbeitsmenge muss kontrolliert werden.
Aus dem Teilnehmerkreis wird die Frage nach der Versicherungsfrage gestellt. Wenn unter Maßgabe von BYOD der Arbeitsplatz frei gewählt werden kann, ist es durchaus möglich, dass MA ihre Arbeitsleistung „auf der Parkbank“ erbringen. Was passiert, wenn etwas passiert? Herr Wedde stellt klar, dass der Versicherungsschutz gewahrt ist, wenn man nachweisen kann, dass es Arbeit gewesen ist. Der Nachweis ist natürlich nicht immer einfach.
Frau Parthum stellt die Frage, wie es um das Thema Datenschutz im Ausland bestellt ist. Ist Deutschland gut, mittel oder im hinteren Feld? Herr Däubler glaubt, dass Deutschland schon ganz gut aufgestellt ist.
Die Moderatorin greift das Thema Arbeitsverdichtung auf und fragt, ob das bis in den Vorstand zu eskalieren ist. Thomas Dorstewitz glaubt, dass es zwar durchaus in den Vorstand tragbar ist, aber letztendlich führt ein Vorstand das Unternehmen.
Aus dem Publikum gibt ein Kollege ein Beispiel aus seinem Unternehmen, bei dem es um mobiles Arbeiten geht. Auch da ging es um die Kontrolle der Arbeitszeiten und das damit verbundene Spannungsfeld zwischen Arbeitgeber und Betriebsrat.
Ein weiterer Kollege verweist auf die erhöhte Anzahl der psychischen Erkrankungen im Arbeitnehmerumfeld und verweist darauf, dass die Interessenvertretung auch auf die körperliche Unversehrtheit der Kolleginnen und Kollegen achten müssen.
Ein weiteres Thema wird noch einmal das Mitarbeiter-Screening. Hier stellt sich die Frage, wer einen versehentlich beschuldigten Mitarbeiter rehabilitiert. Prof. Dr. Wedde glaubt, dass sich keiner finden wird. Jeder wird sich darauf zurückziehen wird, dass es sich um offizielle Listen handelt, nach denen gearbeitet worden ist. Seiner Meinung nach, muss eine Entschädigungsmöglichkeit geschaffen werden.
Frau Parthum fasst zum Ende der Runde noch einmal die Thesen zusammen und beendet den 2. Konferenztag.

Zum Abschluss des Tages gibt Peter Goor noch Informationen zur Abendveranstaltung bekannt.

 

3. Tag – 5. November 2015

Der letzte Konferenztag beginnt mit Peter Goor, der auch für diesen Tag organisatorische Informationen an die Teilnehmer gibt.

Frau Parthum übernimmt die Moderation und lässt den gestrigen Tag Revue passieren. Im Anschluss führt sie in das Thema Datenschutz im BR(-Büro) ein. Als erstes beantwortet Lorenz Hinrichs (TBS Niedersachsen) die Frage nach dem Warum muss das sein?

Herr Hinrichs fängt mit der Ausgangssituation an und erläutert, dass sich aus der Arbeit des Betriebsrates viele Daten zur Verarbeitung ergeben. Dazu gehören Daten zur Bearbeitung von

  • personelle Einzelmaßnahmen
  • Qualifizierungsmaßnahmen
  • Mitbestimmungstatbestände nach § 87 BetrVG

Hier stellt sich die Frage, was Betriebsräte unternehmen, um personenbezogene Daten im Gremium zu schützen?
Kurz geht Herr Lorenz auf die allgemeinen Hintergründe zum Datenschutz ein und leitet dann zum Urteil des BAG vom 11.11.1997 über. Dort hat das BAG festgestellt, dass der DSB als „verlängerter Arm“ der Geschäftsführung anzusehen ist. Das bedeutet, dass der DSB keinen Einblick in die Daten des Gremiums hat. Als Konsequenz daraus ergeben sich die Empfehlungen, u. a. einen Datenschutzverantwortlichen zu benennen und die Zulässigkeit der Datenverarbeitung beim BR zu prüfen.
Im weiteren Verlauf geht er auf die Fragen ein, die sich ein Gremium stellen muss. Herr Hinrichs macht deutlich, dass auch der Betriebsrat die Maßnahmen nach Anlage § 9 BDSG einzuhalten hat (TOM) und erläutert die einzelnen Maßnahmen.
Auch auf die Rechte der Betroffenen geht Herr Hinrichs ein. Dazu gehört auch das Auskunftsrecht. Jeder hat das Recht zu erfahren welche Daten von ihm gespeichert werden. Das gilt auch für die Daten, die beim BR gespeichert sind.
Als letztes erklärt er die Zulässigkeit der Datenverarbeitung beim BR:

  • Nur in dem nach BetrVG und BDSG festgelegten Rahmen
  • Verarbeitung nur für konkret festgelegte Zwecke
  • Der Zweck kann nur aus den betriebsverfassungsrechtlichen Aufgaben hergeleitet werden
  • Keine Vorratsspeicherung
  • Löschung der Daten, wenn Zweckbestimmung weggefallen ist

Sein dringlichstes Anliegen ist es, das wichtige Punkte beachtet:

  • Niemals die Benutzerkennungen weitergeben!
  • Schließt Räume, die länger unbesetzt sind, ab!
  • Verwendet sichere Passwörter!
  • Sperrt Arbeitsplatzrechner durch „Strg-Alt-Entf“!
  • Verwahrt Daten, Datenträger und Ausdrucke stets sicher!
  • Shreddert nicht mehr benötigte Dokumente
  • Verwehrt Unbefugten Einsicht in Unterlagen!

und umgesetzt werden:

  • Ernennung eines Datenschutzverantwortlichen aus der Mitte oder
  • Umsetzung der 8 Gebote zum Datenschutz!
  • Beachten der Betroffenenrechte (insbesondere Auskunftsrecht)!
  • Prüfung der Zulässigkeit!
  • Beachten der Datenaskese!

Mit seinem Vortrag So kann das gehen zeigt Reinhard Tyrakowski (deckstein-Consulting GmbH) ergänzt er den Vortrag von Herrn Hinrichs und geht auf die Themen Vertraulichkeit, Integrität und Verfügbarkeit ein. Er berichtet von verschiedenen Fällen in denen genau diese Themen nicht gegeben waren.

Anhand der Software „endorse“ zeigt Herr Tyrakowski eine Möglichkeit den Datenschutz im BR(-Büro) umzusetzen. Möglich ist dies durch Benutzerverwaltung in endorse, Gruppenbasiertes Rechtesystem, Schlüsselbildung, Verschlüsselung der Daten und Verschlüsselung der Datenbank. Außerdem wird das Informations- und Sitzungsmanagement mit dieser Software abgebildet. Zur Verdeutlichung zeigt er in einer Live Demo den Aufbau und Arbeitsweise der Software.

Nach der Kaffeepause kündigt Frau Parthum die Datenschutzbeauftragte des Landes Niedersachsens, Barbara Thiel, an. Ihr 21. Tätigkeitsbericht für 2011/2012 ist unter www.lfd.niedersachsen.de abrufbar. Der 22. Tätigkeitsbericht 2013/2014 ist derzeit in Arbeit und wird voraussichtlich Ende November 2015 im Landtag vorgestellt.

In Ihrer Einleitung geht sie auf den Anspruch des Datenschutzes ein. Hierbei geht es darum, die Persönlichkeit vor Datenmissbrauch zu schützen, Transparenz herzustellen und zu informieren sowie Hilfestellungen zu leisten und zu unterstützen.
Wie allen bekannt ist, hat das Volkszählungsurteil aus dem Jahr 1983 festgestellt, dass es kein belangloses Datum gibt. Im Zeitalter der Digitalisierung wird sich allerdings wird sich das weltweite Datenvolumen alle 2 Jahre verdoppeln. Wir sprechen hier von Zetabytes = eine Zahl mit 21 Nullen… Diese Daten sind weltweit transportier- und kopierbar.
Im weiteren Verlauf erläutert sie das Thema Datenschutz in Zeiten von Big Data. Anforderungen an den Datenschutz sind u. a. das frühzeitige Anonymisieren, die Begrenzung von Datenverknüpfungen und Speicherdauer sowie der Dokumentation der Verantwortlichkeiten.
Ein weiteres Thema ist die Fortentwicklung des Datenschutzes und dort die Datenschutz- Grundverordnung. Die Forderungen sind Datensparsamkeit, Zweckbindung und auch die Wirksame Begrenzung des Profiling. Der Datenschutz muss als Wettbewerbsvorteil begriffen und gelebt werden.

Zum Gesamtabschluss der Konferenz fasst Frau Parthum noch einmal ihre ganz persönlichen Highlights zusammen.

Achim Goltz dankt den Veranstaltern und verweist noch einmal auf die nächste Konferenz, die 2016 in Düsseldorf.

 

 

 

Left Menu Icon
Menu