Übersicht (Checkliste) der Regelungsgegenstände
1. Personalverwaltungsprozesse
Alle Personalverwaltungsprozesse sind zu dokumentieren.
2. Betriebsvereinbarungen
Die Einbindung und Verpflechtung aller bestehenden BVn müssen gewährleistet werden. Es ist zu prüfen, ob und inwieweit das gewährleistet werden kann
3. Rechtsgrundlagen von Verarbeitungsvorgängen
Es sind die Rechtsgrundlagen zu prüfen, auf die die Verarbeitung gestützt wird. Dies ist notwendig, um die Betroffenen entsprechend informieren zu können.
4. Rechenschaftspflichtent
Der Arbeitgeber muss nachweisen können, dass er die Vorgaben der DS-GVO einhält.
5. Transparenz in der Datenverarbeitung
Transparenz gegenüber den Beschäftigten im Hinblick auf die Erhebung und Verarbeitung ihrer personenbezogenen Daten sowie Maßnahmen zur Gewährleistung der Transparenz von Datenverarbeitungen (z.B. regelmäßige Information der Mitarbeiter über Ihre gespeicherten Daten)
6. Einwilligung
Alte Einwilligungen sind zu prüfen, insbesondere auf Freiwilligkeit, Zweckbindung und unkonditioniertes Widerspruchsrecht. Neue Einwilligungen sind ggf. zu gestalten. Zu beachten ist hier u.a. das Kopllungsverbot.
7. Besondere Kategorien personenbezogener Daten
Arbeitgeber müssen die Verarbeitung genetischer und biometrischer Daten zur eindeutigen Identifizierung einer Person (z. B. Authentifizierungs- und Zutrittskontrollsysteme) künftig auf die Einwilligung Art. 6 Abs. 1 lit. a) und Art. 9 Abs. 2 lit a) DS-GVO stützen.
Alternativkann geprüft werden, ob eine solche Datenverarbeitung auf eine andere Rechtsgrundlage i. S. v. Art. 6 DS-GVO gestützt werden kann und Art. 9 Abs. 2 lit. b) DS-GVO i. V. m. § 26 Abs. 3 BDSG vorliegt.
8. Behandlung von Eingaben
Arbeitgeber sollten einen Prozess zur Behandlung von Eingaben der Betroffenen schaffen. Dabei sollten Eingangskanäle und Verantwortlichkeiten definiert werden, um sicherzustellen, dass die Eingaben innerhalb der gesetzlich vorgesehenen Frist bearbeitet werden.
9. Beschäftigtenrechte
a. Benennung der Beschäftigtenrechte
i. Insbesondere im Rahmen der bestehenden Arbeitsverträge und in der Bewerbungsphase ist die Erweiterung der Informationspflichten gegenüber dem Betroffenen zu beachten.
b. Definition des Prozesses zur Auskunftserteilung mit entsprechenden Mustervorlagen
c. Regelung, wie die Betroffenen Ihre Rechte wahrnehmen können: Vereinbarung von Zuständigkeiten und Verfahren.
d. Sicherstellung der Erfüllung von Auskunftsansprüchen
e. Überprüfung und Kontrollen von Einwilligungen und Freiwilligkeit der Einwilligung im Beschäftigungskontext und Anpassung (Kopplungsverbot, Rechtsgrundlage -> Verzeichnis der Verarbeitungstätigkeiten)
10. Zugriffs- und Berechtigungskonzepte
Definition des Personenkreises für jede einzelne Verarbeitung von personenbezogenen Daten und deren aufgabenbezogener Berechtigungen im jeweiligen System
11. Löschung
Bestehende Löschkonzepte im Beschäftigtenbereich sind zu überprüfen.
12. Verarbeitung im Auftrag
Sind Auftragsverarbeiter eingeschaltet oder ist dies geplant, ist mit diesen eine schriftliche Vereinbarung über die Details des Auftrags abzuschließen.
13. Verzeichnis von Verarbeitungstätigkeiten
Arbeitgeber und Auftragsverarbeiter haben ein Verzeichnis zu führen, in das alle Verarbeitungen eingetragen werden, für die sie zuständig sind.
Um sicherzustellen, dass der Betriebsrat seinen Kontrollaufgaben zum Beschäftigtendatenschutz auch gegenüber externen Dienstleistern nachkommen kann, werden entsprechende Regelungen zu Musterverträgen mit externen Dienstleistern, die dem neuen Recht entsprechen getroffen
14. Umsetzung von Privacy by Design / by Default
Überprüfung zur Umsetzung der Vorgaben zur datenschutzfreundlichen Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen. Neue Systeme sollten mit entsprechenden Vorgaben an den Hersteller versehen werden. Bestehende Systeme sollten auf Optionen zur datenschutzfreundlichen Konfiguration geprüft werden.
15. Datenschutz-Folgenabschätzung
Führt die Datenverarbeitung zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen, das nicht eingedämmt wird, folgt ein Konsultationsverfahren mit der Aufsichtsbehörde, in welchem umfassende Informationen zur Verfügung gestellt werden müssen.
Die Betriebsparteien sollten sich deshalb frühzeitig Gedanken über die Risiken manchen, die die Verarbeitung für die Rechte und Freiheiten der betroffenen Person haben kann und entsprechende Prozesse aufsetzen, die sicherstellen, die Risiken minimiert werden können und eine Verarbeitung damit den Kriterien der DS-DVO entspricht.
Regelungen zur Notwendigkeit (Risiko-Schwellwertanalyse) und Ausgestaltung der Datenschutzfolgenabschätzung, einschließlich der Strukturen, Inhalte und Prozesse, konkrete Vorgaben zu technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit bei der Verarbeitung von Beschäftigtendaten
16. Zusammenarbeit im Betrieb (IT, Personal, bDSB – betrieblicher Datenschutzbeauftrage)
Definition der Zusammenarbeit im Betrieb bei der Einführung, Erweiterung oder Veränderung und der Kontrolle von Datenverarbeitenden Systemen, in denen Beschäftigtendaten erhoben oder verarbeitet werden (Prozessbeschreibung)
17. Meldung von Datenschutzverstößen
Es bestehen umfangreiche Meldeverpflichtungen innerhalb der kurzen Frist von 72 Stunden bei Datenschutzverletzungen, die voraussichtlich zu einem Risiko für Rechte und Freiheiten natürlicher Personen führen werden.
18. Videoüberwachung öffentlich zugänglicher Räume
Bei der Videoüberwachung bestimmter Anlagen und Einrichtungen gelten der Schutz von Leben, Gesundheit, Freiheit dort aufhältiger Personen als besonders wichtiges Interesse.
19. Beschäftigtenbegriff – Leiharbeitnehmer
Die Datenerhebung in Bezug auf Leiharbeitnehmer ist gleichlaufend mit Beschäftigten des Stammbetriebes zu gestalten und entsprechend in das Verzeichnis für Verarbeitungstätigkeiten aufnehmen.
20. Benennung Datenschutzbeauftragter
Aufgrund der Ausweitung der Benennungspflicht sollten auch Unternehmen mit weniger als zehn Mitarbeitern prüfen, ob sie zukünftig verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Zudem sollte ggf. dokumentiert werden, warum ein Datenschutzbeauftragter nicht bestellt wird und regelmäßig überprüft werden, ob die Voraussetzungen für die Benennung eines Datenschutzbeauftragten entstehen. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.
Darüber hinaus ist es ratsam die Struktur der Funktion im Konzern zu dokumentieren (Konzerndatenschutzbeauftragter – Koordinatoren und Ihre Zuständigkeiten und Aufgaben)
21. Betriebliches Datenschutzkonzept (TOM)
Vereinbarung über die Anpassung interner Richtlinien, Strategien und Regeln und allgemeine Vorgaben zum Datenschutz im Unternehmen an die neue Rechtslage (eventuelle Über- oder Erarbeitung eines betrieblichen Datenschutzkonzeptes)
22. Externe Audits
Vereinbarung zu externen Audits aller DV-Prozesse und Datenbanken mit Beschäftigtendaten im Unternehmen als Nachweis zur Umsetzung der DS-GVO
23. Sensibilisierung im Hinblick auf den Datenschutz (TOM)
Maßnahmen zur Sensibilisierung der Mitarbeiter (Mitarbeiterinformation) sowie Schulung der Vorgesetzten (LuVK – Leistungs- und Verhaltenskontrolle)
24. DS-GVO Schulungsplan
Regelungen zu DSGVO-Schulungen von Mitarbeitern und Vorgesetzten (Verpflichtung auf Vertraulichkeit) durch Schulungsplan des bDSB
25. Kontrollrechte und Zugriffsbefugnisse des Betriebsrates
Um die Einhaltung der Vorgaben der DSGVO im Beschäftigungskontext zu ermöglichen, benötigt der BR umfangreiche Kontrollmöglichkeiten und Zugriffsbefugnisse. Diese sollten zum einen geregelt aber auch in Richtlinien für Vorgesetzte festgeschrieben sein, um eine reibungslose Zusammenarbeit zu ermöglichen)
26. Konfliktlösungsmechanismen bei Meinungsverschiedenheiten zwischen Arbeitgeber und Betriebsrat
z.B. Einrichtung einer internen Schiedsstelle mit paritätischer Besetzung und einem entsprechenden Ablauf zur Anrufung und zum Ablauf