Datenschutzkonzept der Mitarbeitendenvertretung
(§ 22 Abs. 3 MVG-Baden)
Quelle: MAV Karlsruhe
Präambel für Datenschutz in der Mitarbeitendenvertretung in der
Evangelischen Kirche in Karlsruhe
Als Mitarbeitendenvertretung (im folgenden MAV) der Evangelischen Kirche in Karlsruhe sind wir uns unserer Verantwortung bewusst, den Datenschutz unserer Mitarbeitenden zu gewährleisten und zu schützen. Wir respektieren das Recht auf informationelle Selbstbestimmung und verpflichten uns, personenbezogene Daten nur im Rahmen der gesetzlichen Bestimmungen zu erheben, zu verarbeiten und zu nutzen.
Wir erkennen an, dass der Schutz personenbezogener Daten ein grundlegendes Menschenrecht ist und verpflichten uns, alle erforderlichen Maßnahmen zu ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten unserer Mitarbeitenden zu gewährleisten.
Wir werden sicherstellen, dass alle Mitarbeitenden über ihre Datenschutzrechte informiert sind und dass diese Rechte respektiert werden. Wir werden alle angemessenen technischen und organisatorischen Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten unserer Mitarbeitenden zu gewährleisten.
Wir werden personenbezogene Daten nur für legitime Zwecke erheben, verarbeiten und nutzen und werden sicherstellen, dass diese Daten angemessen und verhältnismäßig sind. Wir werden sicherstellen, dass personenbezogene Daten nur von denjenigen Personen abgerufen werden können, die hierzu befugt sind.
Wir werden unsere Datenschutzbestimmungen regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie den geltenden Datenschutzgesetzen und -bestimmungen entsprechen. Wir werden auch sicherstellen, dass unsere Mitarbeitenden über Änderungen in unseren Datenschutzbestimmungen informiert werden.
Diese Präambel ist Teil unseres Datenschutzkonzeptes und bildet die Grundlage für unsere Verpflichtung, den Datenschutz unserer Mitarbeitenden zu gewährleisten und zu schützen.
I. Rechtsgrundlagen
(Anhang1)
II. Datengeheimnis und Schweigepflicht
Grundsätzlich gilt für alle Mitarbeitenden für die Rechtmäßigkeit der Verarbeitung § 6 DSG-EKD, wonach es untersagt ist, personenbezogene Daten ohne Vorliegen einer der darin aufgeführten Bedingungen zu erheben, zu verarbeiten oder zu nutzen.
Zusätzlich gilt für die Mitglieder der MAV die Schweigepflicht nach § 22 MVG-Baden (unabhängig von den arbeitsvertraglichen oder beamtenrechtlichen Schweigepflichten). Die Mitglieder der MAV sind verpflichtet, über die ihnen im Rahmen ihrer Aufgaben oder Befugnisse bekannt gewordenen Angelegenheiten und Tatsachen Stillschweigen zu bewahren, soweit die Geheimhaltung der Natur der Sache nach erforderlich, von der MAV beschlossen oder die Angelegenheit von der Dienststellenleitung für vertraulich erklärt worden ist.
III. Personalunterlagen, MAV-Vorgänge und kirchlicher Datenschutz
Allgemeine Hinweise
Zur Vorbereitung von Entscheidungen in Personalangelegenheiten (z.B. Einstellung von Stellenbewerberinnen und -bewerbern, Veränderungen und Beendigungen von Beschäftigungsverhältnissen) erhält die MAV von der Dienststellenleitung Personalunterlagen zugesandt oder ausgehändigt (siehe dazu § 34 Abs. 3 MVG-Baden).
Der Vertrauensschutz, der Datenschutz sowie die Fürsorgepflicht der kirchlichen Stellen gegenüber ihren Mitarbeitenden und ihren Bewerbern gebieten es, mit den Personalunterlagen sorgfältig umzugehen, sie sicher aufzubewahren und sie nur insoweit zu offenbaren,
als hierfür eine Rechtsgrundlage vorhanden ist,
die betroffene Person zugestimmt hat oder
die Personalangelegenheit von der Dienststellenleitung öffentlich gemacht wird (z. B. Bekanntgabe einer Umsetzung, Höhergruppierung, Beförderung).
Niederschriften über die Sitzungen der MAV enthalten Beratungsergebnisse und geben teilweise den Verlauf der Beratungen detailliert wieder. Bewerbungsunterlagen enthalten mitunter sehr sensible Informationen, z.B. Zeugnisse, Beurteilungen oder Anerkennung einer Schwerbehinderung.
Ein zu bestimmendes Mitglied der MAV darf die Personalakte eines Mitarbeitenden nur einsehen, wenn die schriftliche Zustimmung der betroffenen Person eingeholt wurde (§ 34 Abs. 4 S. 1 MVG-Baden).
Über Gespräche mit Mitarbeitenden können von Mitgliedern der MAV-Gesprächsvermerke gefertigt werden. Die Unterlagen sind sorgfältig aufzubewahren.
Allgemeine Regelungen
Informationsrechte der MAV
Nach § 34 Abs. 1 S. 1 MVG-Baden ist die MAV zur Durchführung ihrer Aufgaben rechtzeitig und umfassend zu unterrichten. Dabei ist zu prüfen, in welchem Umfang die MAV-Personalunterlagen zur Durchführung ihrer Aufgaben benötigt. § 34 Abs. 3 MVG-Baden konkretisiert die Verpflichtung aus § 34 Abs. 1 S. 1 MVG-Baden dahingehend, dass die für die Entscheidungen der MAV „erforderlichen“ Unterlagen vorzulegen sind. Die Prüfung obliegt der Dienststellenleitung und der MAV. Bei Einstellungen werden der Mitarbeitendenvertretung auf Verlangen jedoch sämtliche Bewerbungen vorgelegt, § 34 Abs. 3 S. 2 MVG-Baden.
Schutz von Personalunterlagen vor unbefugtem Zugriff
Personalunterlagen sind vor Einsichtnahme Dritter zu schützen. Bewerbungs- und Personalunterlagen sind nach Beendigung der MAV-Sitzung der Dienststellenleitung zurückzugeben. Angefertigte Duplikate sind datenschutzgerecht aufzubewahren.
Datenaufbewahrung (siehe Anhang 2)
Auch die MAV darf personenbezogene Daten nur so lange aufbewahren, wie sie für die Aufgabenerfüllung erforderlich sind. Danach sind diese Daten grundsätzlich zu löschen. Die Löschung (Rückgabe oder Vernichtung) der Daten muss nach der Beendigung eines Verfahrens erfolgen. Die MAV darf Vorlagen zu Personalmaßnahmen nicht dauerhaft aufbewahren. Diese sind grundsätzlich zu vernichten, wenn sie für die Aufgabenerledigung nicht mehr erforderlich sind und Aufbewahrungsfristen nicht entgegenstehen.
Folgende personenbezogene Unterlagen können in Akten aufbewahrt werden:
Personalbögen
Schriftverkehr und Gesprächsvermerke, wenn vom Mitarbeiter per Unterschrift bestätigt wurde, dass der Vorgang aufbewahrt werden darf
Zustimmungsvorlagen (Einstellungen, Höhergruppierungen, etc.)
Vorlagen zur Kenntnis (Umsetzungen, Kostenstellenänderungen, etc.)
Kenntnisnahmen (Kopie von Mitarbeitern an MAV, z.B. Wünsche auf AZ-Erhöhung, Überlastungsanzeigen)
Beratungsprotokolle, wenn vom Mitarbeiter per Unterschrift bestätigt wurde, dass der Vorgang aufbewahrt werden darf.
Folgende Unterlagen sind unverzüglich zu vernichten:
Unterlagen von in Rente gegangenen Mitarbeitern
Bewerbungsunterlagen
Beratungen zu Arbeitszeiterhöhungen
Besondere personenbezogene Daten (ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) werden nur bei entsprechendem Anlass und auf Grundlage einer Einwilligung des Betroffenen gespeichert.
Zu vernichtende Akten und Vorgänge sind einer physikalischen und digitalen Vernichtung zuzuführen, bei der gewährleistet ist, dass unbefugte Dritte keine Einsicht nehmen können. Ein geeigneter Papier-Schredder sind im MAV-Büro vorzuhalten.
Wahlunterlagen sind nach 5 Jahren zu vernichten. (§13 WO-MVG-Baden)
Datenschutz bei personenbezogenen Daten Dritter
Die der MAV durch eigene Erhebung oder Mitteilung über die Dienststelle bekannt gewordenen personenbezogenen Daten Dritter unterliegen dem Datenschutz. Dabei ist Folgendes zu beachten:
Es dürfen nur Daten erhoben werden, die erforderlich sind. Dabei ist mit der Datenerhebung sparsam umzugehen.
Die Daten dürfen nur so lange gespeichert werden, wie es für die Tätigkeit der MAV erforderlich ist.
Die Datenübermittlung an Dritte, z.B. Berufsverbände oder Gewerkschaften, ist unzulässig.
Gegenüber der betroffenen Person besteht eine Auskunftspflicht über die zu ihr gespeicherten Daten und die Verpflichtung zur Berichtigung, Löschung oder Sperrung dieser Daten auf Verlangen der betroffenen Person.
Beendigung der Mitgliedschaft
Bei Beendigung der Mitgliedschaft in der MAV haben die Mitglieder der MAV alle in ihrem Besitz befindlichen Unterlagen, die sie in ihrer Eigenschaft als Mitglied der MAV erhalten haben, der MAV auszuhändigen (§ 18 Abs. 5 S.1 MVG-Baden). Nicht mehr benötigte MAV-Unterlagen (insbesondere Duplikate mit Gesprächsvermerken, Tagesordnungen, Protokollen, Handakten usw.) sind durch die MAV datenschutzgerecht zu entsorgen.
IV. Datenschutz- und Datensicherungsmaßnahmen
Zuständig- und Verantwortlichkeit
Die Verantwortung für die Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung trägt die MAV als Gremium. Für die Einhaltung der jeweils anzuwendenden Vorschriften zum Datenschutz und zur Datensicherheit sind alle Mitglieder verantwortlich.
Überwachung
Die Überwachung und Prüfung der im Datenschutzkonzept festgelegten Sicherheitsmaßnahmen erfolgt durch das Gremium in regelmäßigen Abständen.
Fortschreibung
Das Datenschutzkonzept ist in regelmäßigen Abständen fortzuschreiben. Dabei ist zu prüfen, ob sich die Datensicherheitsmaßnahmen bewährt haben.
Unterrichtung der Mitglieder
Die Mitglieder der MAV sind über die bei ihrer Tätigkeit anzuwendenden datenschutzrechtlichen Vorschriften zu unterrichten. Das Datenschutzkonzept ist ihnen auszuhändigen. Der Empfang ist vom Mitglied per Unterschrift zu bestätigen.
Räume, Büromöbel, technische Ausstattung
Nach § 30 Abs. 1 MVG-Baden hat die Dienststelle in erforderlichem Umfang Räume, sachliche Mittel, dienststellenübliche technische Ausstattung und Büropersonal für die Sitzungen, die Sprechstunden und die laufende Geschäftsführung der MAV zur Verfügung zu stellen. Seitens der MAV ist bei Nutzung der Räume und der technischen Ausstattung Folgendes zu beachten:
Räume
Büroräume der MAV sind vor fremden Zugriff zu schützen.
Das Reinigungspersonal darf die Räume der MAV nur im Beisein von Mitgliedern der MAV betreten. Es darf keinen Einblick in Akten oder Vorgänge erhalten.
Es ist sicherzustellen, dass Mitarbeitende bei ihrem Besuch in der MAV andere als die ihre Angelegenheit betreffende personenbezogene Daten, nicht zur Kenntnis nehmen können. Bildschirme sind so aufzustellen, dass sie für Dritte nicht einsehbar sind.
Büromöbel und Schränke
Pro Mitarbeiter wird eine Akte geführt. Personenbezogene Daten werden grundsätzlich in dieser Akte abgelegt, sofern sie aufbewahrt werden dürfen. Für die Akten der MAV sind abschließbarer Schränke vorhanden, damit Unbefugte nicht in die vertraulichen Unterlagen Einsicht nehmen können. Dies gilt auch für Vorgänge, die in der laufenden Bearbeitung sind (Clean-Desk-Anweisung).
Kopierer/ Scannern
Die MAV stellt einen eigenen Drucker/Kopierer zur Verfügung. Beim Austausch oder Verkauf der Geräte ist darauf zu achten, dass eventuell im Kopierer/Scanner vorhandene Speichermedien vollständig gelöscht oder unbrauchbar gemacht werden.
Kennwörter
Jedes MAV-Mitglied hat ein eigenes Benutzerprofil. Die Daten sind im Rahmen der Vorgaben des IT-Sicherheitskonzeptes der Dienststelle zu schützen (Benutzerkennung, Passwortschutz, Firewall bei Internetanschluss, Virenschutz, Verschlüsselung), das Dritte sie nicht unbefugt nutzen können.
Einzelgeräte (PC, Laptop, Notebook, Speichermedien etc.) ohne Anbindung an ein Netzwerk
Arbeitsplatzgeräte und Daten sind gegen unbefugten Zugriff durch Dritte, Manipulation und Diebstahl zu schützen.
Beim kurzfristigen Verlassen des Arbeitsplatzes ist mit Windows + L der Bildschirmschoner zu aktivieren. Bei längerfristiger Abwesenheit muss sich der Benutzer abmelden bzw. den PC herunterfahren.
Wenn sensible Informationen der MAV auf einem lokalen Datenträger gespeichert werden, dann sollte dies verschlüsselt erfolgen. Auf externe Datenträger (USB-Sticks) dürfen nur verschlüsselte Daten gespeichert werden. Nicht mehr benötigte Datenträger sind physikalisch zu zerstören.
Betriebssystem, Browser und Software sind über Updates regelmäßig zu aktualisieren. Das Einzelgerät ist durch zusätzliche Sicherheitsfunktionen wie Firewall und Virenscanner zu schützen. Diese müssen ebenfalls durch Updates aktuell gehalten werden. MAV-Daten werden in Microsoft One Drive gesichert, für Updates und Sicherungen ist der EOK verantwortlich.
Einzelgeräte/Clients (PC, Laptop, Notebook etc.) mit Anbindung an ein Netzwerk
Für die MAV ist ein eigenes Verzeichnis- und ein eigener Dateipfad im Netzwerk einzurichten und mit einem Passwort zu versehen. Es ist sicherzustellen, dass nur MAV-Mitglieder den Verzeichnis- und Dateipfad einsehen und bearbeiten können. In diesem Verzeichnis sind alle MAV-relevanten Dokumente zu speichern. Die Datensicherung muss dann über Tools des genutzten Serversystems erfolgen. Administratoren oder externe Systembetreuer dürfen die gespeicherten elektronischen Dokumente der MAV nicht öffnen. Eine Vertraulichkeitserklärung muss gegenüber dem Dienstgeber sichergestellt werden. Unberechtigte Zugriffe auf elektronische Dokumente der MAV können grundsätzlich für alle Mitarbeitenden arbeitsrechtliche Maßnahmen nach sich ziehen.
Hardware und Software
Die private Nutzung von dienstlicher Hard- und Software ist grundsätzlich möglich. Das Erstellen, Bearbeiten und Speichern von Daten sind nur in der OneDrive Cloud (ekiba.sharepoint.de) zulässig.
Datenspeicherung
Dienstliche Daten dürfen nicht auf privaten Rechnern und private Daten nicht auf
dienstlichen Rechnern gespeichert werden.
Mitarbeitende haben dafür Sorge zu tragen, dass durch den Umgang mit
personenbezogenen Daten keine Persönlichkeitsrechte Einzelner beeinträchtigt
werden. Deshalb ist auf den Schutz von Daten und Informationen gegenüber Dritten
auch beim mobilen Arbeiten besonders zu achten. Vertrauliche Daten und
Informationen sind von Mitarbeitenden so zu schützen, dass Dritte keine Einsicht
und/oder Zugriff nehmen können.
Sonstiges
Im Übrigen gilt die Dienstanweisung zum Umgang mit Daten am Arbeitsplatz (Clean-desk-policy) vom 12.07.2018
Telekommunikation, Intranet und Internet
6.1. Telekomunikation
Es gelten die aktuellen Vereinbarungen zur Telekomunikation.
6.2. Telefonanrufbeantworter
Soweit seitens der MAV-Telefonanrufbeantworter eingesetzt werden, ist sicherzustellen, dass Dritte keinen Zugriff auf die gespeicherten Anrufe haben.
6.3. Internet und Intranet
Bei Veröffentlichungen der MAV im organisationsinternen Intranet bzw. über das Internet sind personenbezogene Daten nicht zu veröffentlichen. Auch Protokolle der MAV sind nicht ungeschützt ins Intra-/Internet zu stellen. Möglich ist dagegen die Veröffentlichung von Beschlüssen (ohne die konkrete Benennung von Personen) zu grundsätzlichen Regelungen wie z.B. zukünftige Gestaltung der Arbeitszeit, Dienstvereinbarungen, aber auch allgemeine Informationen zum Arbeitsrecht und zur Entwicklung der Dienststelle. Sollen neben den dienstlichen Daten der oder des Vorsitzenden der MAV im Internet auch entsprechenden Daten bzw. Fotos anderer MAV-Mitglieder veröffentlicht werden, so ist deren Einwilligung vorher einzuholen. Einer schriftlichen Einwilligung bedarf es grundsätzlich für die Veröffentlichung weiterer Daten von Mitarbeitenden im Intranet und Internet.
E-Mail-Kommunikation
Kontakt
E-Mail-Kommunikation gehört inzwischen zur üblichen Ausstattung von Mitarbeitendenvertretungen. Die MAV kann über die E-Mailadressen mav@kgaka.de (Domain bei STRATO Webmail) oder mav.kgkarlsruhe@kbz.ekiba.de kontaktiert werden.
Grundsätzliches
Jedem Mitglied der MAV muss eine persönliche dienstliche @kbz.ekiba.de Adresse zur Verfügung gestellt werden. Die MAV ist verpflichtet, das MAV-E-Mail-Postfach regelmäßig und zeitnah auf Eingänge zu überprüfen, im Falle der Abwesenheit der oder des Vorsitzenden ist dies gegebenenfalls durch Aktivierung der Abwesenheitsfunktion (z.B. Weiterleitung) oder andere Maßnahmen (z. B. Vertretungsregelung) sicherzustellen. Es ist zu gewährleisten, dass E-Mails der MAV-Mitglieder an ihren Arbeitsplätzen oder im privaten Umfeld von „Dritten“ (z.B. im Rahmen der Vertretung) nicht eingesehen werden können. Bei einem E-Mail-Kontakt der MAV mit einem Mitarbeitenden ist zu berücksichtigen, dass die den Mitarbeitenden in seiner Abwesenheit vertretende Person Kenntnis vom E-Mail-Inhalt erhalten könnte.
Schutz vertraulicher Informationen
Bei der E-Mail-Kommunikation innerhalb der MAV ist der Schutz vertraulicher Informationen in den Vordergrund zu stellen. Unproblematisch und datenschutzrechtlich zulässig ist es, einfache Informationen z.B. die Mitteilung von Terminen, Einladungen zu Begehungen im Rahmen des Arbeitsschutzes oder Nachfragen zu aktuellen Ereignissen über E-Mail zu kommunizieren.
Übermittlung vertraulicher Informationen
Im Hinblick auf sensible Dokumente lässt der Datenschutz die Übermittlung vertraulicher personenbezogener Daten nur eingeschränkt mittels unverschlüsselten E-Mail-Verkehrs zu. Im E-Mail-Verkehr innerhalb der MAV und zwischen der MAV und der Dienstellenleitung oder den Mitarbeitenden ist grundsätzlich zu beachten, dass soweit innerhalb des Kirchennetzes die E-Mails von der absendenden Person zur empfangenden Person über geschützte (getunnelte) Leitungen verschlüsselt übermittelt werden (Transportverschlüsselung), aus Sicht des Datenschutzes ein grundsätzlich sicheres E-Mail-System existiert, das von außen normalerweise nicht angreifbar ist. Es ist innerhalb des E-Mail-Systems sicherzustellen, dass „Dritte“ (z. B. Mitarbeitende über Vertretungsregelungen) nicht auf die E-Mails des MAV-Mitglieds zugreifen können.
Eine sichere E-Mail-Kommunikation liegt aber auf keinen Fall vor, wenn der E-Mail-Verkehr über das Internet abgewickelt wird, da die technischen Möglichkeiten es zulassen, dass Dritte unbefugt den Inhalt zur Kenntnis nehmen oder sogar verändern können.
8. Inkrafttreten und Fortschreibung
Dieses Datenschutzkonzept der Mitarbeitendenvertretung (MAV) wurde mit größter Sorgfalt und unter Berücksichtigung der geltenden Datenschutzgesetze sowie interner Richtlinien erstellt. Es dient dem Schutz der personenbezogenen Daten aller Mitarbeitenden und stellt sicher, dass deren Rechte jederzeit gewahrt bleiben.
Die MAV verpflichtet sich, dieses Datenschutzkonzept mindestens einmal in der Amtszeit zu überprüfen und bei Bedarf an rechtliche, technische oder organisatorische Veränderungen anzupassen. (Anhang 3) Alle Mitglieder der MAV sind angehalten, die in diesem Konzept festgelegten Maßnahmen konsequent umzusetzen und die Vertraulichkeit sowie Integrität der personenbezogenen Daten zu wahren.
Mit der Unterzeichnung dieses Dokuments erkläret die MAV ihr Einverständnis mit den Bestimmungen des Datenschutzkonzepts und verpflichten sich zu dessen Einhaltung.
Das Datenschutzkonzept tritt am 04.12.2025 in Kraft