Anspruch auf verschlüsselte Ablage der BR-Dateien?

Das ist ein Thema das ich an eurer Stelle mit eurem Datenschutzbeauftragten klären würde.

Was unsere BR-Unterlagen angeht liegen die nicht im Netzwerk sondern auf unserem verschlüsselten BR-Notebook das wöchentlich auf einem verschlüsselten USB-Laufwerk gesichert und in einem feuerfesten Schrank, dessen Schlüssel nur der BRV und der Schriftführer hat, aufbewahrt wird. Natürlich gibt es auch für den Betriebsrat eigene Netzlaufwerke aber -> Siehe deinen ersten Satz ;)

Die Frage ist doch, warum hinterlegt der BR sensible Daten oder Dateien in einem Ordner im Intranet?

Ist es wirklich so, dass die GL Zugriff auf die Netzlaufwerke hat? Eigentlich sollte es ein leichtes sein, den Zugriff auf einzelne Bereiche des Intranets über entsprechende Berechtigungen zu lösen, welche vom Systemadministrator verwaltet werden.

Dass dabei die IT die Möglichkeit zur Einsicht hat, liegt dabei in der Natur der Sache und lässt sich wohl kaum anders lösen. Ein latentes Risiko, dass die Administratoren diese umfassenden Zugriffsrechte missbrauchen, besteht natürlich. Es gibt aber auch viele Mechanismen, die diesen Missbrauch sicherlich in den meisten Fällen verhindern: 4-Augen-Prinzip, Prüfungen durch den Datenschutzbeauftragten, systemseitige Protokollierung der Zugriffe - größere Unternehmen haben hier i.d.R. weitreichende Datenschutzkonzepte, die gewährleisten, dass die Administratoren tatsächlich nur bei berechtigtem Interesse auf sensible Daten zugreifen.

Ein verschlüsselter Bereich im Intranet wäre in der Tat eine Vertrauensfrage, denn der Betriebsrat müsste ja nachvollziehen können, ob die Berechtigungen tatsächlich auch korrekt im System hinterlegt sind.

Wir selbst haben einen Bereich, in dem man über die Eigenschaften die erteilten Zugriffsrechte abfragen kann. Zusätzlich verschlüsseln wir aber unsere Sitzungsprotokolle grundsätzlich mit einem Passwort.

Im Hinblick auf das BR-Mail-Postfach können wir auch die Zugriffsberechtigungen einsehen und sehen, dass nur die BR-Mitglieder zugeordnet sind. Hier ist es aber im Zweifelsfall so, dass der BR nicht beeinflussen kann, was eingeht, und ausgehende Mails werden grundsätzlich verschlüsselt versendet.

Das komplizierte daran ist, dass der BR in der Pflicht ist, DSGVO, BSDG und die Bestimmungen nach EuGH einzuhalten, er Arbeitgeber aber der Verantwortliche i.S.d. DSGVO ist. Es schadet also nicht, sich nicht nur auf die Infrastruktur des Unternehmens zu verlassen, sondern selbst durch sensiblen Umgang mit personenbezogenen Daten (z.B. konsequente Verschlüsselung) an einem korrekten Umgang mitzuwirken.

https://www.dr-datenschutz.de/ist-der-betriebsrat-ein-eigener-verantwortlicher-nach-der-dsgvo/

Die Daten liegen im Intranet, damit alle BR-Mitglieder diese ansehen und bearbeiten können.

Datenschutz ist ja das eine. Da kann man auch über die Verantwortung der GL nachdenken. Aber was ist mit der Vertraulichkeit von Informationen aus der Belegschaft? Es gibt sicher Daten, von denen der BR nicht möchte, dass die GL sie sieht. Bei diesen Daten muss ich dann schon sicher sein, dass da keiner außer dem BR dran kommt. Und ein extra Rechner ist für diesen Zweck zu aufwendig, da der ja immer nur von einer Person benutzt werden kann und auch nur in einem Raum.

die Daten gehören auf ein Laufwerksordner, auf das nur BRM Zugriff haben (keine EBRM oder sonstige AN) dann werden TO, Sitzungesprotokolle etc noch Passwort gesperrt, somit ist das sehr sicher.

In das Intranet gehören diese Daten mit Sicherheit nicht, das ist ein BR-Verstoß gegen die Vertraulichkeit.

@Relfe

Kannst Du einem Laien nochmal erklären, wo in diesem Fall Unterschied zwischen einem Laufwerksordner und dem Intranet liegt? Ich stehe da mit meinem technischen Verständnis gerade etwas auf dem Schlauch.

Denn es wird ja gegenwärtig kaum noch lokal gespeichert, sondern in Netzlaufwerken oder Clouds, so dass mit "Laufwerk" eigentlich kein lokales Laufwerk mehr gemeint sein kann.

Wie lässt sich das technisch noch zum Intranet abgrenzen? Bzw. können verschlüsselte Datenbanken nicht Teil des Intranets sein?

Moin,

ich würde den Fokus etwas weg von der physischen Abschottung von Daten hin zu einer rechtlichen Absicherung gehen lassen.

Hintergrund: In vielen größeren Unternehmen existiert heute ein Intranet, z.B. auf der Basis von Sharepoint oder anderen, vergleichbaren Collaboration-Tools. Bestandteil dieser Tools ist i.d.R. eine sehr ausgefeilte Rechteverwaltung für Files und Seiten. Das geht soweit dass auch administrative Zugriffe auf Files oder Seiten beschränkt oder verweigert werden können. Ich kann also als BR mir einen Bereich erschaffen lassen, auf den nur der BR selbst und vielleicht ein sehr sehr ausgesuchter Kreis von einzelnen "Super-Admins" Zugriff (und diesen auch nur eingeschränkt) hat.

Und diese wenigen BR-externen Personen verpflichte ich dann mit einer strafbewehrten Vertraulichkeits- und Verschwiegenheitsverpflichtung. Für den Rest gilt ja grundsätzlich das in BVs/GBVs hinterlegte Verwertungsverbot von Daten (sollte in jeder BV, die sich mit Daten beschäftigt in irgendeiner Form drinstehen). Damit sehe ich den BR eigentlich ausreichend abgesichert. Der Zugriff ist beschränkt, und sollte doch jemand (z.b. durch eine technische Panne o.ä.) Zugriff auf Daten erhalten, darf er sie nicht nutzen, und hat bei Zuwiderhandlung Konsequenzen zu fürchten.

Denn eines gilt auch: Wenn wirklich jemand kriminelle Energie aufwendet, um widerrechtlich an Daten zu gelangen, dann kann er damit auch Erfolg haben. Dann ist es eben wichtig, dass er dafür auch zur Rechenschaft gezogen werden kann.

verschlüsseln kann man seine Daten schließlich selber als BR. Das BAG sieht kein Erfordernis für besondere technische Trennung zB über eigene Server BAG, Beschluss v. 20. April 2016, 7 ABR 50/14

@Muschelschupser

ttps://bsh-ag.de/it-wissensdatenbank/intranet/

Intranet ist wie "Firmen-Internet", ein Netzwerk auf das jeder AN zugreifen kann. Ein Netzwerkordner kann natürlich ein Ordner im Intranet sein, aber die Zugriffrechte auf den einzelnen Ordner lassen sich beschränken, z.B. auf "Personen", ohne gleich alle AN vom Intranet auszuschließen.

Natürlich könnte man auch ein "Intranet" auf den BR beschränken, aber das wäre wie wenn eine Familie mit 4 Personen sich anstatt eines Autos einen Ziehharmonikabus anschafft (kann man machen, man nutzt aber ja maximal 2 Sitzplätze, wenn einer auf dem Fahrersitz und einer den Beifahrer macht.

Klar ist es möglich, einzelne Dateien zu verschlüsseln. Das machen wir momentan auch so, aber das ist recht nervig. Ich würde lieber ein "sicheres Laufwerk" nutzen, nur sperrt sich die GL momentan dagegen. Deshalb war meine Hauptfrage eigentlich, inwieweit wir einen Anspruch auf ein verschlüsseltes Laufwerk gelten machen können.

paula hat doch auf das BAG verwiesen. Da wirst Du schon viel mehr brauchen als "nervt mich"