Die Schwer­be­hin­der­ten­ver­tre­tung (SBV) nimmt im Un­ter­neh­men und Betrieb eine wich­ti­ge Rolle ein, indem sie die In­ter­es­sen der schwer­be­hin­der­ten Mit­ar­bei­ter wahr­nimmt und deren Ein­glie­de­rung in den Ar­beits­pro­zess fördert. Dabei kommt dem Daten­schutz eine be­son­de­re Be­deu­tung zu, da die SBV re­gel­mä­ßig mit sen­si­blen per­so­nen­be­zo­ge­nen Daten ar­bei­tet. Dieser Artikel be­leuch­tet die recht­li­chen Rah­men­be­din­gun­gen und prak­ti­schen An­for­de­run­gen, die Datenschutz­beauftragte, SBV und Un­ter­neh­mens­lei­tung be­ach­ten müssen, um den Daten­schutz im Rahmen der Arbeit der SBV zu gewährleisten.

Recht­li­che Grundlagen

Die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) bildet die zen­tra­le Rechts­grund­la­ge für den Umgang mit per­so­nen­be­zo­ge­nen Daten, ein­schließ­lich der Daten, die von der SBV ver­ar­bei­tet werden. Von be­son­de­rer Re­le­vanz sind die Be­stim­mun­gen zu den be­son­de­ren Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten gemäß Art. 9 DS-GVO, zu denen unter anderem Ge­sund­heits­da­ten zählen. Diese Daten un­ter­lie­gen einem er­höh­ten Schutz, und ihre Ver­ar­bei­tung ist grund­sätz­lich un­zu­läs­sig, sofern nicht eine aus­drück­li­che Ein­wil­li­gung der be­trof­fe­nen Person vor­liegt oder be­son­de­re Aus­nah­me­tat­be­stän­de greifen.

Neben der DS-GVO regelt das So­zi­al­ge­setz­buch IX (SGB IX) die spe­zi­fi­schen Rechte und Pflich­ten der Schwer­be­hin­der­ten­ver­tre­tung. Hier ist klar de­fi­niert, unter welchen Vor­aus­set­zun­gen die SBV per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten darf und welche Auf­ga­ben sie im Rahmen des be­trieb­li­chen Ge­sund­heits­ma­nage­ments wahr­zu­neh­men hat.

Auf­ga­ben der Schwer­be­hin­der­ten­ver­tre­tung im Datenschutz

Die SBV hat re­gel­mä­ßig mit der Ver­ar­bei­tung von Ge­­sun­d­heits- und So­zi­al­da­ten zu tun. Dazu gehört die Er­he­bung und Ver­ar­bei­tung von Daten, die für die Ver­tre­tung und Un­ter­stüt­zung schwer­be­hin­der­ter Men­schen er­for­der­lich sind. Dabei muss die Schwer­be­hin­der­ten­ver­tre­tung si­cher­stel­len, dass sie die An­for­de­run­gen der DS-GVO einhält. Ins­be­son­de­re die Ein­ho­lung und Do­ku­men­ta­ti­on der Ein­wil­li­gung der be­trof­fe­nen Per­so­nen ist für die Recht­mä­ßig­keit der Ver­ar­bei­tung unerlässlich.

Ein wei­te­rer wich­ti­ger Aspekt ist die da­ten­schutz­kon­for­me Do­ku­men­ta­ti­on und Ar­chi­vie­rung der ver­ar­bei­te­ten Daten. Die SBV muss si­cher­stel­len, dass die Daten nur so lange auf­be­wahrt werden, wie es für die Er­fül­lung ihrer Auf­ga­ben er­for­der­lich ist, und danach ord­nungs­ge­mäß ge­löscht (ver­nich­tet) werden.

Rollen und Ver­ant­wort­lich­kei­ten im Datenschutz

Die Ver­ant­wor­tung für den Daten­schutz im Un­ter­neh­men liegt primär bei der obers­ten Un­ter­neh­mens­lei­tung, die gemäss Art. 24 DS-GVO ver­pflich­tet ist, ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men zu treffen, um den Schutz per­so­nen­be­zo­ge­ner Daten zu ge­währ­leis­ten. Diese Ver­ant­wor­tung er­streckt sich auch auf die Tä­tig­keit der SBV; die SBV ist (wie der Be­triebs­rat) Teil des Verantwortlichen.

Der Datenschutz­beauftragte (DSB) spielt eine zen­tra­le Rolle bei der Über­wa­chung und Be­ra­tung der SBV in Da­ten­schutz­fra­gen. Er ist dafür ver­ant­wort­lich, dass die SBV die da­ten­schutz­recht­li­chen Vor­ga­ben einhält (Be­ra­tung), und un­ter­stützt sie bei der Um­set­zung ge­eig­ne­ter Schutz­maß­nah­men. Dabei ist eine enge Zu­sam­men­ar­beit zwi­schen der SBV und dem DSB er­for­der­lich, um da­ten­schutz­recht­li­che Risiken zu minimieren.

Prak­ti­sche Da­ten­schutz­maß­nah­men für die SBV

Um den Daten­schutz im Rahmen der Arbeit der SBV zu ge­währ­leis­ten, müssen spe­zi­fi­sche Maß­nah­men er­grif­fen werden. Zu den wich­tigs­ten gehört die Um­set­zung von tech­­nisch-or­­ga­­ni­­sa­­to­ri­­schen Maß­nah­men gemäß Art. 32 DS-GVO (Si­cher­heit der Ver­ar­bei­tung). Diese um­fas­sen unter anderem die Si­cher­stel­lung der Ver­trau­lich­keit, In­te­gri­tät und Ver­füg­bar­keit der ver­ar­bei­te­ten Daten.

Die SBV sollte zudem klare Zu­griffs­be­schrän­kun­gen im­ple­men­tie­ren, damit nur be­rech­tig­te Per­so­nen Zugang auf die sen­si­blen Daten haben. Ebenso wichtig ist die Kom­mu­ni­ka­ti­on und Spei­che­rung von SBV-Daten, um un­be­fug­ten Zugriff und Da­ten­ver­lust zu ver­mei­den. Dazu gehören die Ver­schlüs­se­lung von Daten und die Ver­wen­dung si­che­rer IT-Infrastrukturen.

Her­aus­for­de­run­gen und Best Practices

Die Arbeit der SBV stellt be­son­de­re Her­aus­for­de­run­gen an den Daten­schutz, ins­be­son­de­re an den Umgang mit Da­ten­pan­nen. Sollte es zu einem Vorfall kommen, bei dem per­so­nen­be­zo­ge­ne Daten kom­pro­mit­tiert werden, ist eine un­ver­züg­li­che In­for­ma­ti­on an die oberste Un­ter­neh­mens­lei­tung und den Da­ten­schutz­be­auf­trag­ten er­for­der­lich, um ge­eig­ne­te Maß­nah­men zu er­grei­fen und den Schaden zu begrenzen.

Eine Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung (DSFA) ist bei der Ver­ar­bei­tung sen­si­bler Daten durch­zu­füh­ren (Art. 35 DSGVO, § 67 BDSG), um po­ten­zi­el­le Risiken früh­zei­tig zu er­ken­nen und zu mi­ni­mie­ren. Darüber hinaus sollten re­gel­mä­ßi­ge Schu­lun­gen und Sen­si­bi­li­sie­rungs­maß­nah­men für die Mit­glie­der der SBV und weitere Be­tei­lig­te (z.B. BEM-Be­ra­­te­rin, Be­triebs­rat, Füh­rungs­kräf­te) durch­ge­führt werden, um si­cher­zu­stel­len, dass alle Be­tei­lig­ten über die ak­tu­el­len da­ten­schutz­recht­li­chen An­for­de­run­gen wie auch der im­ple­men­tier­ten Pro­zes­se (z.B. Ein­ho­lung einer Ein­wil­li­gung) in­for­miert sind.

Schluss­fol­ge­run­gen und Handlungsempfehlungen

Der Daten­schutz ist ein we­sent­li­cher Be­stand­teil der Arbeit der Schwer­be­hin­der­ten­ver­tre­tung. Um den ge­setz­li­chen An­for­de­run­gen gerecht zu werden und das Ver­trau­en der be­trof­fe­nen Mit­ar­bei­ter zu er­hal­ten, müssen Datenschutz­beauftragte, Schwer­be­hin­der­ten­ver­tre­tung und Un­ter­neh­mens­füh­rung eng zu­sam­men­ar­bei­ten und ge­eig­ne­te Maß­nah­men umsetzen.

Die Da­ten­schutz­pro­zes­se müssen re­gel­mä­ßig über­prüft und an­ge­passt werden, um auf neue recht­li­che Ent­wick­lun­gen und tech­no­lo­gi­sche Her­aus­for­de­run­gen re­agie­ren zu können. Durch die Ein­hal­tung der da­ten­schutz­recht­li­chen Vor­ga­ben wird nicht nur das Risiko von Da­ten­schutz­ver­stö­ßen mi­ni­miert, sondern auch ein wich­ti­ger Beitrag zum Schutz der Rechte und Frei­hei­ten der schwer­be­hin­der­ten Mit­ar­bei­ter geleistet.

Für alle wei­te­ren Fragen rund um das Da­ten­schutz­recht stehen Ihnen gerne zur Ver­fü­gung und un­ter­stüt­zen Sie bei der Ein­füh­rung von da­ten­schutz­kon­for­men Pro­zes­sen. Schrei­ben Sie uns consulting@adorgasolutions.de oder rufen Sie einfach an. 

Autorin: Regina Mühlich, Wirtschschafts­ju­ris­tin, Da­ten­schutz­ex­per­tin, Com­pli­ance Manager.

 

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!