Verantwortlicher im Datenschutz
Das novellierte BPersVG hat Klarheit geschaffen: Nach § 69 BPersVG n.F. ist der Personalrat auch weiterhin Teil der verantwortlichen Stelle, aber nicht selbst »Verantwortlicher« im Sinne der Datenschutz-Grundverordnung (DSGVO).
Anders und nicht so eindeutig stellt sich die Situation allerdings in den Personalvertretungsgesetzen der Länder dar. Aus den Landespersonalvertretungsgesetzen (LPVG) von Baden-Württemberg, Sachsen-Anhalt, Thüringen und auch Nordrhein-Westfalen lässt sich nach dem Wortlaut der einschlägigen Vorschriften für Personalräte der Status »Verantwortlicher« gemäß Art. 4 Nr. 7 DSGVO erkennen. Für das LPVG Thüringen wird die Verpflichtung für den Personalrat, einen Datenschutzbeauftragten zu benennen, ausdrücklich damit begründet, dass die Personalvertretung einer Dienststelle »Verantwortlicher«, d.h. eine Stelle ist, »die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet«.
In anderen Bundesländern wird den Personalräten diese Verantwortung offensichtlich nicht auferlegt bzw. nicht ausdrücklich ausgeschlossen. In Brandenburg räumt § 94 Abs. 1 LPVG dem behördlichen Datenschutzbeauftragten ein uneingeschränktes Datenschutzkontrollrecht beim Personalrat ein. Dies spricht wiederum dafür, dass Personalräte in Brandenburg »Teil der verantwortlichen Stelle« sind und somit nicht »Verantwortliche«. Der Bayerische Landesdatenschutzbeauftragte formulierte bereits 2019, dass die besseren Argumente dafür sprechen, »den Personalrat einer bayerischen öffentlichen Stelle nicht als eigenständigen Verantwortlichen im Sinn von Art. 4 Nr. 7 DSGVO anzusehen« und dass somit die jeweilige bayerische öffentliche Stelle auch für die Verarbeitung personenbezogener Daten durch den Personalrat verantwortlich sei.
Weiterführende Informationen:
Hajo Köppen, Ist der Personalrat »Verantwortlicher«?, PersR 9/2021, 12
