Die Schwerbehindertenvertretung (SBV) nimmt im Unternehmen und Betrieb eine wichtige Rolle ein, indem sie die Interessen der schwerbehinderten Mitarbeiter wahrnimmt und deren Eingliederung in den Arbeitsprozess fördert. Dabei kommt dem Datenschutz eine besondere Bedeutung zu, da die SBV regelmäßig mit sensiblen personenbezogenen Daten arbeitet. Dieser Artikel beleuchtet die rechtlichen Rahmenbedingungen und praktischen Anforderungen, die Datenschutzbeauftragte, SBV und Unternehmensleitung beachten müssen, um den Datenschutz im Rahmen der Arbeit der SBV zu gewährleisten.
Rechtliche Grundlagen
Die Datenschutz-Grundverordnung (DS-GVO) bildet die zentrale Rechtsgrundlage für den Umgang mit personenbezogenen Daten, einschließlich der Daten, die von der SBV verarbeitet werden. Von besonderer Relevanz sind die Bestimmungen zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO, zu denen unter anderem Gesundheitsdaten zählen. Diese Daten unterliegen einem erhöhten Schutz, und ihre Verarbeitung ist grundsätzlich unzulässig, sofern nicht eine ausdrückliche Einwilligung der betroffenen Person vorliegt oder besondere Ausnahmetatbestände greifen.
Neben der DS-GVO regelt das Sozialgesetzbuch IX (SGB IX) die spezifischen Rechte und Pflichten der Schwerbehindertenvertretung. Hier ist klar definiert, unter welchen Voraussetzungen die SBV personenbezogene Daten verarbeiten darf und welche Aufgaben sie im Rahmen des betrieblichen Gesundheitsmanagements wahrzunehmen hat.
Aufgaben der Schwerbehindertenvertretung im Datenschutz
Die SBV hat regelmäßig mit der Verarbeitung von Gesundheits- und Sozialdaten zu tun. Dazu gehört die Erhebung und Verarbeitung von Daten, die für die Vertretung und Unterstützung schwerbehinderter Menschen erforderlich sind. Dabei muss die Schwerbehindertenvertretung sicherstellen, dass sie die Anforderungen der DS-GVO einhält. Insbesondere die Einholung und Dokumentation der Einwilligung der betroffenen Personen ist für die Rechtmäßigkeit der Verarbeitung unerlässlich.
Ein weiterer wichtiger Aspekt ist die datenschutzkonforme Dokumentation und Archivierung der verarbeiteten Daten. Die SBV muss sicherstellen, dass die Daten nur so lange aufbewahrt werden, wie es für die Erfüllung ihrer Aufgaben erforderlich ist, und danach ordnungsgemäß gelöscht (vernichtet) werden.
Rollen und Verantwortlichkeiten im Datenschutz
Die Verantwortung für den Datenschutz im Unternehmen liegt primär bei der obersten Unternehmensleitung, die gemäss Art. 24 DS-GVO verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu treffen, um den Schutz personenbezogener Daten zu gewährleisten. Diese Verantwortung erstreckt sich auch auf die Tätigkeit der SBV; die SBV ist (wie der Betriebsrat) Teil des Verantwortlichen.
Der Datenschutzbeauftragte (DSB) spielt eine zentrale Rolle bei der Überwachung und Beratung der SBV in Datenschutzfragen. Er ist dafür verantwortlich, dass die SBV die datenschutzrechtlichen Vorgaben einhält (Beratung), und unterstützt sie bei der Umsetzung geeigneter Schutzmaßnahmen. Dabei ist eine enge Zusammenarbeit zwischen der SBV und dem DSB erforderlich, um datenschutzrechtliche Risiken zu minimieren.
Praktische Datenschutzmaßnahmen für die SBV
Um den Datenschutz im Rahmen der Arbeit der SBV zu gewährleisten, müssen spezifische Maßnahmen ergriffen werden. Zu den wichtigsten gehört die Umsetzung von technisch-organisatorischen Maßnahmen gemäß Art. 32 DS-GVO (Sicherheit der Verarbeitung). Diese umfassen unter anderem die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Daten.
Die SBV sollte zudem klare Zugriffsbeschränkungen implementieren, damit nur berechtigte Personen Zugang auf die sensiblen Daten haben. Ebenso wichtig ist die Kommunikation und Speicherung von SBV-Daten, um unbefugten Zugriff und Datenverlust zu vermeiden. Dazu gehören die Verschlüsselung von Daten und die Verwendung sicherer IT-Infrastrukturen.
Herausforderungen und Best Practices
Die Arbeit der SBV stellt besondere Herausforderungen an den Datenschutz, insbesondere an den Umgang mit Datenpannen. Sollte es zu einem Vorfall kommen, bei dem personenbezogene Daten kompromittiert werden, ist eine unverzügliche Information an die oberste Unternehmensleitung und den Datenschutzbeauftragten erforderlich, um geeignete Maßnahmen zu ergreifen und den Schaden zu begrenzen.
Eine Datenschutz-Folgenabschätzung (DSFA) ist bei der Verarbeitung sensibler Daten durchzuführen (Art. 35 DSGVO, § 67 BDSG), um potenzielle Risiken frühzeitig zu erkennen und zu minimieren. Darüber hinaus sollten regelmäßige Schulungen und Sensibilisierungsmaßnahmen für die Mitglieder der SBV und weitere Beteiligte (z.B. BEM-Beraterin, Betriebsrat, Führungskräfte) durchgeführt werden, um sicherzustellen, dass alle Beteiligten über die aktuellen datenschutzrechtlichen Anforderungen wie auch der implementierten Prozesse (z.B. Einholung einer Einwilligung) informiert sind.
Schlussfolgerungen und Handlungsempfehlungen
Der Datenschutz ist ein wesentlicher Bestandteil der Arbeit der Schwerbehindertenvertretung. Um den gesetzlichen Anforderungen gerecht zu werden und das Vertrauen der betroffenen Mitarbeiter zu erhalten, müssen Datenschutzbeauftragte, Schwerbehindertenvertretung und Unternehmensführung eng zusammenarbeiten und geeignete Maßnahmen umsetzen.
Die Datenschutzprozesse müssen regelmäßig überprüft und angepasst werden, um auf neue rechtliche Entwicklungen und technologische Herausforderungen reagieren zu können. Durch die Einhaltung der datenschutzrechtlichen Vorgaben wird nicht nur das Risiko von Datenschutzverstößen minimiert, sondern auch ein wichtiger Beitrag zum Schutz der Rechte und Freiheiten der schwerbehinderten Mitarbeiter geleistet.
Für alle weiteren Fragen rund um das Datenschutzrecht stehen Ihnen gerne zur Verfügung und unterstützen Sie bei der Einführung von datenschutzkonformen Prozessen. Schreiben Sie uns consulting@adorgasolutions.de oder rufen Sie einfach an.
Autorin: Regina Mühlich, Wirtschschaftsjuristin, Datenschutzexpertin, Compliance Manager.