FAQ Datenschutz in der Schwerbehinderten­vertretung (SBV)

In Deutschland leben fast 17 Mio. Menschen mit einer gesundheitlichen Einschränkung. 7,6 Mio. von ihnen sind mit einem Grad der Behinderung von mindestens 50 Prozent schwerbehindert. Um den Interessen schwerbehinderter und diesen gleichgestellter Personen in Beschäftigungsverhältnissen entsprechend Geltung zu verschaffen, vertritt die Schwerbehindertenvertretung (SBV) die Interessen schwerbehinderter und diesen gleichgestellter Personen im Betrieb oder den Dienststellen, fördert deren Eingliederung und steht diesen beratend und helfend zur Seite.

Im Rahmen der täglichen Aufgaben der SBV werden eine Vielzahl personenbezogener Daten – insbesondere Beschäftigten- und Gesundheitsdaten – verarbeitet, welche nicht nur dem Schutz der Datenschutz-Grundverordnung (DS-GVO), sondern auch dem Schutz spezialgesetzlicher Datenschutzregelungen unterstellt sind. Diese FAQ dient dazu, wesentliche Fragen zur datenschutzkonformen Gestaltung der Arbeit in der SBV zu beantworten und Fallstricke aufzuzeigen.

1. Welche datenschutzrechtlichen Vorgaben hat die SBV bei ihrer täglichen Arbeit einzuhalten und umsetzen?

Die SBV hat – ebenso wie alle Beschäftigten eines Unternehmens/einer Behörde – die Pflicht zur Einhaltung der geltenden Gesetze und damit auch der DS-GVO und sonstiger besonderer datenschutzrechtlichen Rechtsvorschriften.

Dies bedeutet in der Praxis unter anderem, dass die SBV die in Artikel 5 Abs. 1 DS-GVO genannten Grundsätze für die Verarbeitung personenbezogener Daten, für deren Einhaltung die_der Verantwortliche zuständig ist, im Rahmen ihrer SBV-Tätigkeit zu beachten hat. Grundsätze der Datenverarbeitung sind u.a. die Beachtung des Grundsatzes der Datenminimierung (Datensparsamkeit) sowie des Vertraulichkeitsgrundsatzes. Die SBV muss darüber hinaus der_dem Verantwortlichen die für die Durchführung von Datenschutz-Folgenabschätzungen erforderlichen Informationen zuliefern. Weiterhin hat die SBV die geeigneten technisch-organisatorischen Maßnahmen u.a. zur Wahrung der Datensicherheit bei der Datenverarbeitung und zur Löschung von SBV-Unterlagen umzusetzen und der_dem Verantwortlichen unverzüglich Datenpannen nach Artikel 33 DS-GVO aus dem Geschäftsbereich der SBV zu melden.

2. Was muss die SBV im Umgang mit Gesundheitsdaten beachten?

Gesundheitsdaten, z.B. zu einer Behinderung oder deren Gleichstellung, unterstehen als sogenannte personenbezogene Daten besonderer Kategorien nach Art. 9 DS-GVO einem besonderen datenschutzrechtlichen Schutz. Ihre Verarbeitung ist daher nur unter bestimmten Bedingungen zulässig, insbesondere soweit sie erforderlich ist, damit die betroffene Person oder der_die Arbeitgebende die ihnen aus dem Arbeitsrecht oder Sozialrecht erwachsenden Rechte ausüben und ihren diesbezüglichen Pflichten nachkommen können. Im Zusammenhang mit Beschäftigungsverhältnissen und der Arbeit der SBV erfasst dies in erster Linie Fälle, in denen die Verarbeitung von Gesundheitsdaten zur Ausübung von Rechten und Pflichten der Beschäftigten oder aber der Arbeitgebenden, die aus einer Erkrankung oder aber auch aus einer Schwerbehinderung entstehen, erforderlich ist. Erforderlich ist eine Verarbeitung dann, wenn ohne sie die Rechte nicht wahrgenommen kann bzw. die Pflichten nicht erfüllt werden könnten.

Sollen Gesundheitsdaten dagegen ohne gesetzliche Grundlage aufgrund einer Einwilligung verarbeitet werden, muss die Einwilligung insoweit ausdrücklich erteilt werden (Artikel 9 Absatz 2 Buchstabe a DS-GVO).

3. Welche Datenschutzregelungen gelten in der SBV?

Die Arbeit der SBV ist eng mit dem Beschäftigungsverhältnis verbunden, denn die Wahl der SBV/einer Vertrauensperson hängt von der Anzahl schwerbehinderter Menschen in einem Betrieb oder einer Dienststelle ab. Deswegen gelten auch für die SBV die Regelungen des Beschäftigtendatenschutzes, insbesondere die Bestimmungen aus § 26 des Bundesdatenschutzgesetzes (BDSG) bei nicht-öffentlichen Arbeitgebenden bzw. aus § 15 des Landesdatenschutzgesetzes (LDSG) bei öffentlichen Stellen des Landes Baden-Württemberg.

Die Aufgaben der SBV werden in § 178 Sozialgesetzbuch Neuntes Buch (SGB IX) beschrieben und können als Vertretung der Interessen der schwerbehinderten Menschen zusammengefasst werden. U.a. mit Blick auf die Bestimmung der Aufgaben der SBV sind auch sozialrechtliche Regelungen für die Verarbeitung personenbezogener Daten durch die SBV von Bedeutung.

Für die Verarbeitung von Sozialdaten durch Sozialleistungsträger und weitere in § 35 SGB I genannte Stellen gelten spezielle Regelungen, die sich in §§ 67 ff des Zehnten Buchs Sozialgesetzbuch (SGB X) finden. Da die SBV aber nicht zu den in § 35 SGB I genannten Stellen gehört, haben diese Regelungen nur ausnahmsweise Bedeutung für die Arbeit der SBV (s. z. B. § 78 SGB X).

Allgemein gilt auch für die SBV, dass eine Rechtsgrundlage für die Datenverarbeitung erforderlich ist. Rechtsgrundlagen können gesetzliche Vorschriften sein, aber auch Dienst- oder Betriebsvereinbarungen. Liegt keine Rechtsgrundlage vor, muss eine Einwilligung der betroffenen Person für die Datenverarbeitung eingeholt werden.

4. Benötigt die SBV zur Erledigung Ihrer Aufgaben stets eine Einwilligung der betroffenen Person?

Nein, eine Einwilligung ist nicht immer erforderlich, da zahlreiche weitere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten existieren und diese anderen Rechtsgrundlagen explizite Verarbeitungsmöglichkeiten vorsehen. Die Verarbeitung personenbezogener Daten durch die SBV kann daher insbesondere zulässig sein, wenn

• es hierfür eine klare gesetzliche Grundlage gibt, insbesondere die Verarbeitung erforderlich ist i.S.v. § 26 Abs. 1 Satz 1 und ggf. § 26 Abs. 3 BDSG,
• es eine andere spezielle gesetzliche Grundlage gibt (z.B. in den Vorschriften des Sozialgesetzbuches zum betrieblichen Eingliederungsmanagement),
• die beschäftigte Person (bei Gesundheitsdaten: ausdrücklich) eingewilligt hat (wobei mit Blick auf die Nachweisbarkeit im Sinne von Art. 5 Absatz 2 DS-GVO die Einholung einer schriftlichen Einwilligung empfehlenswert ist) oder
• wenn es eine einschlägige kollektivrechtliche Vereinbarung (Betriebsvereinbarung o.ä.) gibt.

5. Ist die SBV eine verantwortliche Stelle im Sinne der DS-GVO und damit verpflichtet, die Datenschutzvorschriften der DS-GVO einzuhalten?

Die Verantwortlichkeit für eine rechtmäßige Datenverarbeitung in der SBV ist nicht spezialgesetzlich geregelt. Nach Auffassung des LfDI ist die SBV nicht Verantwortliche im Sinne von Art. 4 Nr. 7 DS-GVO. Verantwortliche_r auch für die Datenverarbeitung in der SBV ist vielmehr die Dienststelle bzw. der_die jeweilige Arbeitgebende. So bestimmt die SBV insbesondere die Zwecke der Verarbeitungen nicht selbst (diese ergeben sich aus dem SGB IX) und entscheidet auch nicht selbst über die einzusetzenden Mittel (die zur Verfügung stehenden Arbeitsmittel werden durch die Arbeitgebenden vorgegeben).

Aufgrund der besonderen Stellung der SBV als Interessenvertretung der Beschäftigten muss diese aber dennoch dafür Sorge tragen, mit den ihr anvertrauten Daten rechtmäßig umzugehen. So dürfen nur Daten verarbeitet, d.h. erhoben, gespeichert und übermittelt werden, die für die Erfüllung der gesetzlichen Aufgaben der SBV erforderlich sind, soweit nicht die betroffene Person in eine weitergehende Verarbeitung (bei Gesundheitsdaten: ausdrücklich) eingewilligt hat. Die Daten müssen vor unbefugtem Zugriff gesichert sein.

Für die SBV fehlt eine explizite Regelung wie die für den Betriebsrat in § 79a BetrVG. § 79a BetrVG ist aber sinngemäß auf die SBV als Interessenvertretung anzuwenden, das heißt:

• (wie der Betriebsrat auch) hat die SBV bei der Verarbeitung personenbezogener Daten Datenschutzvorschriften einzuhalten,
• (wie für den Betriebsrat auch) sind für jede SBV daher Grundkenntnisse des Datenschutzes und die Beachtung der Regelungen unumgänglich,
• aufgrund ihrer besonderen Stellung muss die SBV dafür Sorge tragen, mit den ihr anvertrauten Daten rechtmäßig umzugehen.

6. Muss die SBV eine_n eigene_n Datenschutzbeauftragte_n benennen?

Nein. Der_die Verantwortliche des Unternehmens oder der öffentlichen Stelle muss eine_n Datenschutzbeauftragte_n für das gesamte Unternehmen/die gesamte öffentliche Stelle benennen, der_die auch für die Belange der Interessenvertretungen zuständig ist.

7. Darf die SBV Einsicht in sämtliche Personaldokumente nehmen?

Nein. Die Aufgaben der SBV sind u.a. in § 178 SGB IX geregelt. Der SBV ist gemäß § 178 Abs. 1 S. 2 Nr. 1 SGB IX u.a. die Aufgabe zugewiesen, darüber zu wachen, dass die zugunsten schwerbehinderter Menschen geltenden Gesetze, Verordnungen, Tarifverträge, Betriebs- oder Dienstvereinbarungen und Verwaltungsanordnungen durchgeführt, insbesondere auch die dem Arbeitgebenden nach den §§ 154, 155 und 164 bis 167 SGB IX obliegenden Verpflichtungen erfüllt werden. Das bedeutet, dass die SBV gewisse Kontrollaufgaben gegenüber Arbeitgebenden hat: Diese Kontrollaufgaben beziehen sich jedoch nicht auf sämtliche Arbeitnehmende, sondern sind ausschließlich auf schwerbehinderte und diesen gleichgestellte Menschen beschränkt. Ein Einsichtnahmerecht auf sog. Gesamtlisten aller Beschäftigten in nicht vollanonymisierter Form besteht daher nicht.

Diese klare Beschränkung des Informationsrechts der SBV wird einzig im Rahmen von Bewerbungsverfahren durchbrochen. Gemäß § 178 Abs. 2 S. 4 SGB IX hat die SBV bei Bewerbungen das Recht auf Einsichtnahme in die entscheidungsrelevanten Teile der Bewerbungsunterlagen, und zwar nicht nur der schwerbehinderten, sondern sämtlicher Bewerber_innen. Entsprechend hat die SBV ein Teilnahmerecht an den Vorstellungsgesprächen der schwerbehinderten und der nicht schwerbehinderten Bewerbenden. Hintergrund dieser Ausnahme ist es, dass die SBV im Rahmen ihrer Beteiligung im Bewerbungsverfahren nur dann eine begründete Stellungnahme abgeben kann, wenn sie auch die Gelegenheit hat, die Eignung der schwerbehinderten Bewerbenden mit der weiterer, nicht schwerbehinderter Bewerbender zu vergleichen.

Ein Recht der SBV auf Einsichtnahme in die Personalakte besteht nur dann, wenn der schwerbehinderte Mensch vorab ausdrücklich hierein eingewilligt hat nach Maßgabe der DS-GVO (§ 178 Abs. 3 SGB IX). Eine nachträgliche Zustimmung genügt hierbei nicht.

8. Ist das Führen einer Schwerbehindertendatei zulässig?

Der_die Arbeitgebende hat der SBV einmal im Jahr ein Verzeichnis der Schwerbehinderten auszuhändigen (§ 163 Abs. 2 S. 3 SGB IX). Oft will die SBV zur Erleichterung ihrer Arbeit darüber hinaus eine Kartei mit zusätzlichen Infos über die schwerbehinderten Beschäftigten anlegen (Schwerbehindertendatei), um passgenau beraten zu können. In dieser sollen Informationen der (schwer-) behinderten Kolleg*innen über Art der individuellen Einschränkungen, betriebliche Maßnahmen, Inhalte geführter Gespräche usw. gesammelt und erfasst werden.

Das Führen einer Schwerbehindertendatei – unabhängig davon, ob diese digital oder in Papier angelegt werden soll, – gehört indes nicht mehr zu den gesetzlichen Aufgaben der SBV. Eine solche Kartei zu erstellen ist gesetzlich nicht vorgesehen. Ohne besonderen Anlass ist das Anlegen einer Kartei daher nicht erforderlich und damit in der Regel unzulässig.

Rechtmäßig kann eine Schwerbehindertendatei somit nur dann angelegt und verwendet werden, wenn die betroffenen Personen hierzu vorab, freiwillig und (bei Gesundheitsdaten) ausdrücklich ihre Einwilligung erteilt haben. Hierbei sind seitens der SBV die Transparenzpflichten zu beachten. Die SBV muss also klar und leicht verständlich darüber informieren, wie lange sie zu welchen Zwecken die Daten der Betroffenen verarbeiten will und dass die Einwilligung jederzeit widerruflich ist, allerdings nur mit Wirkung für die Zukunft; denn durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

9. Darf der_die betriebliche/behördliche Datenschutzbeauftrage (DSB) die Arbeit der SBV kontrollieren? Hat der_die behördliche/betriebliche DSB ein Zutrittsrecht zu den Räumlichkeiten der SBV?

79a BetrVG wird auf die Schwerbehindertenvertretung (SBV) analog angewendet. Wie genau das Zusammenspiel zwischen Arbeitgeber, Datenschutzbeauftragter und SBV funktioniert, ist derzeit gesetzlich nicht geregelt. Wir erhoffen uns Klärung dieser Frage durch das neu geplante Beschäftigungsdatenschutzgesetz.

Die SBV ist entsprechend dem Betriebsrat keine verantwortliche Stelle nach Art. 4 Nr. 7 DS-GVO, da sie z. B. nicht über die Mittel der Verarbeitung entscheidet oder rechtsfähig ist. Danach hat sie auch keinen Datenschutzbeauftragten zu benennen. Gleichwohl ist die SBV bei der Erhebung von personenbezogenen Daten der schwerbehinderten Beschäftigten an den Beschäftigtendatenschutz gebunden. Sie ist ein Teil des Arbeitgebers, der Verantwortlicher nach Art. 4 Nr. 7 DS-GVO ist. Gegen die Kontrolle durch den Datenschutzbeauftragten spricht die Unabhängigkeit der SBV bei der Bewältigung ihrer Aufgaben. Hiergegen lässt sich jedoch einwenden, dass der Datenschutzbeauftragte gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet und hinsichtlich seiner Tätigkeit weisungsunabhängig ist. Die Stellung des Datenschutzbeauftragten folgt aus der DS-GVO. Diese genießt als unmittelbar anwendbares Unionsrecht Anwendungsvorrang, Öffnungsklauseln können beziehungsweise müssen durch Rechtsvorschriften der Mitgliedsstaaten ausgestaltet werden. An einer solchen Öffnungsklausel fehlt es jedoch hinsichtlich einer Einschränkung der Kontrollbefugnisse des Datenschutzbeauftragten nach Art. 39 Abs. 1 Buchstabe b DS-GVO (Gola/Pötters, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022, Art. 39 DS-GVO Rn. 24; Bergt, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 38 DS-GVO Rn. 18). Die besseren Argumente sprechen daher dafür, dass die SBV der Kontrolle des Datenschutzbeauftragten hinsichtlich der Einhaltung des Beschäftigtendatenschutzes unterliegt. Dies gilt jedoch nicht für die Wahrnehmung ihrer sonstigen Aufgaben.

10. Kann die SBV bei Missachtung des Datenschutzes sanktioniert werden?

Ja und nein. Die SBV kann keine Adressatin einer datenschutzrechtlichen Sanktion des LfDI BW sein. Adressat_in möglicher Sanktionen des LfDI ist vielmehr grundsätzlich der_die Arbeitgebende/das Amt als Verantwortliche_r im Sinne der DS-GVO. Ausgenommen sind hiervon sogenannte Mitarbeitendenexzesse oder aber ein „Kollektivexzess“ der SBV. An derartige Verstöße sind jedoch sehr hohe Anforderungen zu legen.

Unabhängig von datenschutzrechtlichen Konsequenzen trifft die Mitglieder der SBV nach § 179 Abs. 7 S. 1 SGB IX eine Pflicht zur Vertraulichkeit und eine besondere Geheimhaltungspflicht. Die SBV ist daher verpflichtet, von Amts wegen bekannt gewordene Geheimnisse nicht zu offenbaren, insbesondere wenn diese zum persönlichen Lebensbereich von schwerbehinderten Menschen gehören. (Die SBV ist ferner auch zur Wahrung von Betriebs‐ und Geschäftsgeheimnissen verpflichtet, wenn diese von den Arbeitgebenden ausdrücklich als geheimhaltungsbedürftig bezeichnet wurden.) Diese Pflichten gelten auch nach dem Ausscheiden aus dem Amt. Eine Ausnahme besteht gegenüber der Bundesagentur für Arbeit, den Integrationsämtern und den Rehabilitationsträgern, da diese Einrichtungen keine Dritte, also Fremde, im Sinne des Gesetzes sind (§ 179 Abs. 7 Satz 2 und 3 SGB IX). Eine weitere Ausnahme ist, wenn von den betroffenen Menschen eine Gefahr für Leib und Leben ausgeht, und zwar für sich selbst (geäußerte Suizidabsicht) oder für andere (Androhung von Gewalttaten). Keine Geheimhaltungspflicht besteht zudem, wenn die betroffene Person in die Offenbarung eingewilligt hat, sowie in der Zusammenarbeit mit dem Betriebs- bzw. Personalrat und den Stufenvertretungen. Wird die Geheimhaltungspflicht nicht eingehalten, so kann dies (straf-)rechtliche Konsequenzen nach sich ziehen (vgl. § 237a Abs. 1 und § 237b SGB IX).

11. Was ist bei der Aufbewahrung von SBV-Unterlagen zu beachten?

Die Digitalisierung stellt die Arbeit der SBV vor hohe Herausforderungen. Im Zuge der Umstellung von Verfahren wird dabei unter Zeitdruck oftmals auf notwendige technische und organisatorische Maßnahmen zur IT-Sicherheit verzichtet. Dabei stellt die Datenschutz-Grundverordnung in Artikel 32 deutliche Anforderungen an die Sicherheit der Verarbeitung. Personenbezogene Daten müssen auf allen Ebenen vor Zugriff und Veränderung von Dritten zum Beispiel durch starke Verschlüsselung geschützt werden und dürfen nicht (auch nicht unabsichtlich) an Dritte weitergegeben werden. Die Schwerbehindertenvertretung hat dabei jeweils ein angemessenes Schutzniveau einzuhalten.

Daher sind Unterlagen der SBV stets so aufzubewahren, dass sie vor unbefugtem Zugang geschützt sind. Das bedeutet für die Arbeit der SBV, dass Unterlagen nicht offen herumliegen dürfen, sondern in einem abschließbaren Schrank aufbewahrt werden müssen. Digitale Unterlagen/Dateien sollten entsprechend in einem abgeschotteten Netzwerkbereich des jeweiligen Arbeitgebenden abgelegt werden, und der Zugriff auf diesen Bereich sollte ausschließlich der SBV vorbehalten sein. Entsprechend muss der SBV ein eigener, gegen fremde Zugriffs- und Leserechte abgesicherter Zugang zur Informations- und Kommunikationstechnik zur Verfügung gestellt werden (s. hierzu noch Frage Nr. 13). Der Schutz gegen Zugriff Dritter gilt auch gegenüber dem Personal- bzw. Betriebsrat. Eine gemeinsame Raum- oder Gerätenutzung würde zu erheblichen Datenschutzrisiken führen, z.B. dann, wenn Betriebsratsmitglieder bei gemeinsamer Raumnutzung in ein Beratungsgespräch über die Stellung eines Antrags auf Feststellung des Grades der Behinderung „hineinplatzen“ oder die SBV zur Antragstellung den PC des Betriebsrats nutzen muss und dem Betriebsrat somit zwangsläufig sensible Daten bekannt werden.

Für Sprechstunden und unterstützende Hilfe beim Ausfüllen von Antragsformularen muss der SBV auch ein besonderer Raum zur alleinigen Nutzung zur Verfügung stehen, in dem unbeobachtet und ohne Gefahr des Mithörens die SBV mit der zu beratenden und unterstützenden Person sprechen kann. Gleiches gilt bei der Nutzung elektronischer Kommunikationswege. Auch hier muss sichergestellt werden, dass die im Mailverkehr bei der SBV eingehenden Anfragen der beschäftigten Personen und die Antworten der SBV nicht von Dritten mitgelesen werden können.

Bei der Aufbewahrung von SBV-Unterlagen im Homeoffice müssen gesteigerte Vorsichtsmaßnahmen getroffen werden, um z.B. eine beiläufige Kenntnisnahme durch Dritte zu verhindern. Hierbei ist gesteigerte Sorgfalt notwendig.

12. Darf die SBV Unterlagen auch dann noch aufbewahren und vorhalten, wenn der konkrete Förderbedarf bereits abgeschlossen ist?

Nein, eine über den Förderbedarf hinausgehende Speicherung der Unterlagen ist nicht ohne weiteres zulässig. Abgesehen von eventuell einschlägigen gesetzlichen Aufbewahrungspflichten dürfen personenbezogene Daten nur so lange aufbewahrt werden, wie dies zur Erfüllung des ursprünglichen Verarbeitungszwecks erforderlich ist. Sobald der Zweck einer (gesetzlichen) Aufgabe erreicht ist, tritt eine Zweckerreichung ein. Folglich dürfen Unterlagen ab diesem Zeitpunkt nicht für den bloßen späteren Bedarfsfall aufbewahrt werden. Eine solche bevorratende Datenspeicherung – die sinnvoll sein kann, wenn die betroffene Person weiterhin Unterstützung der SBV in Anspruch nehmen will, ohne jedes Mal die gesamten Unterlagen neu einreichen zu müssen – ist gesetzlich nur dann zulässig, wenn die betroffene Person vorab hierzu unter Festlegung des Zwecks der weiteren Verarbeitung ihre ausdrückliche, eindeutige und aktive Einwilligung erteilt hat. Diese Einwilligung ist entsprechend von der SBV zu dokumentieren. Die Freiwilligkeit der Einwilligung wird in dieser Situation vielfach gemäß § 26 Absatz 2 Satz 1 und 2 BDSG begründbar sein.

13. Die SBV verwendet die allgemeine EDV der Arbeitgebenden: Wie kann verhindert werden, dass die IT-Admins des Unternehmens / der öffentlichen Stelle Kenntnis erlangen können von den im Netzwerkbereich der SBV gespeicherten sensiblen Daten?

Insbesondere um Aufwände im Bereich der IT-Administration und IT-Sicherheit einzusparen, ist es in der Praxis der Schwerbehindertenvertretungsarbeit durchaus üblich, dass die SBV die IT des Unternehmens / der öffentlichen Stelle nutzt. Zur Bereitstellung von Informations- und Kommunikationstechnik sind die Arbeitgebenden nach § 179 Abs. 9 SGB IX i.V.m § 40 Abs. 2 BetrVG im erforderlichen Umfang grundsätzlich auch verpflichtet. Entsprechend gelten dann zum Großteil die gleichen technischen und organisatorischen Maßnahmen wie sonst bei den Arbeitgebenden. Über die Mittel (IT-Systeme) der Verarbeitung personenbezogener Daten kann die SBV oftmals also nicht uneingeschränkt selbst entscheiden. Um zu verhindern, dass die IT-Administration des Arbeitgebenden Zugriff auf die sensiblen Daten der SBV-Arbeit (Dateienablage, E-Mail-Postfächer etc.) hat und somit Kenntnis über besondere Kategorien personenbezogener Daten erlangen kann, gilt es, entsprechende technisch-organisatorische Maßnahmen nach Art. 32 DS-GVO zur Absicherung einzurichten. Dies erfolgt durch Einrichtung eines entsprechenden Rollen- und Zugriffskonzepts:

• Wir empfehlen größeren Unternehmen/Organisationen, die Administrationsrollen in Standardadmins und eine_n SBV-Admin zu unterteilen.
  Standardadministrationskonten sind hierbei darauf beschränkt, reguläre Tätigkeiten, wie z.B. die Bearbeitung von Tickets, Softwareinstallation und -updates sowie das Zurückspielen von Dateien aus dem Backup in allgemeine Bereiche des Unternehmens/ der öffentlichen Stelle, vorzunehmen. Zugriffe auf die SBV-Ablage sowie die SBV-E-Mail-Postfächer sollten den Standardadministrationskonten hingegen vorenthalten werden. Der Zugriff hierzu erfolgt über das gesondert vorhandene SBV-Administrationskonto, welches entsprechend berechtigt ist. Um technisch auszuschließen, dass Standardadmins eigenmächtig Zugriff auf die SBV-Inhalte erlangen können, sollten die Login-Daten (Benutzername und Passwort) von der SBV verwaltet bzw. aufbewahrt werden. Verlangt beispielsweise die SBV das Zurückspielen von Daten aus dem Backup, wird dies über das Benutzerkonto des SBV-Adminkontos erfolgen. Diese Tätigkeit wird üblicherweise mit Unterstützung der IT Fachkräfte geschehen, die aufgrund ihrer technischen Fachkenntnisse sonst Standardadmins sind. Jegliche Nutzung des SBV-Admin-Benutzerkontos ist nur unter Mitwirkung der SBV möglich: Zum einen darf das Passwort ausschließlich der SBV bekannt sein, zum anderen dürfen administrative Tätigkeiten und Dateizugriffe nur unter Beaufsichtigung der SBV erfolgen. Durch dieses 4-Augen-Prinzip kann der_die SBV-Admin daher nur dann auf die SBV-Inhalte zugreifen, wenn er_sie einzelfallbezogen durch die SBV legitimiert wird. Nach erfolgtem Zugriff durch den_die SBV-Admin sollte die SBV dann immer ein neues Zugangspasswort festlegen, um sicherzustellen, dass das nunmehr bekanntgewordene Passwort des SBV-Admins nicht im Rahmen späterer Logins (wieder-)verwendet werden kann. Änderungen an den Berechtigungen sind automatisch zu protokollieren und regelmäßig zu überprüfen.
• Wenn diese Lösung – insbesondere bei Arbeitgebenden mit kleineren Organisationen wie KMU oder öffentlichen Stellen – nicht in Betracht kommt, sind andere hohe Schutzmaßnahmen (vergleichbar mit dem Schutz besonders sensibler Dokumente des Vorstands, s. auch zum Vorbild der betriebsärztlichen Betreuung Frage Nr. 11) durchzuführen, um damit Zugriffe durch andere als die Schwerbehindertenvertretung (einschließlich der Administrator_innen) auszuschließen. Um abzusichern, dass sich Administrator_innen auch nicht nachträglich Zugriffsrechte auf die Daten der SBV einräumen, sollte das Rollen- und Zugriffskonzept z.B. vorsehen, dass alle Änderungen der Zugriffsrechte durch die Administrator_innen protokolliert werden (Audit Logs). Alternativ können relevante Dateien nach dem Stand der Technik verschlüsselt werden, wenn sichergestellt ist, dass nur die SBV Zugriff auf die Schlüssel und damit die Daten hat. Es ist den Systemadmins nicht erlaubt, personenbezogene und/oder personenbeziehbare Daten oder Dateien aus einem Berechtigungskreis in einen anderen zu übertragen. Dienstliche Anweisungen dieser Art sind unrechtmäßig und daher von der Systemadministration abzulehnen. Für die Tätigkeit als Vertrauensperson und Stellvertretung ist eine eigene E-Mail-Adresse und ein getrennter Speicherort für die Daten der SBV einzurichten, damit unter Einhaltung der Geheimhaltungsverpflichtung und erforderlichen Vertraulichkeit auch eine Trennung zwischen der Amtstätigkeit und der beruflichen Tätigkeit stattfinden kann. Die SBV hat das Recht, durch lesenden Zugriff auf alle Systemfunktionen jederzeit die Einhaltung dieser Vereinbarung zu kontrollieren und zu überprüfen. Mitarbeitende der Systemadministration/ Anwendungsentwicklung sind der SBV zu Auskünften über Systeminhalte und deren Anwendungen verpflichtet. Anfallende Protokolle können eingesehen werden und sind ggf. zu erläutern.

Unabhängig davon, welche der vorgenannten Lösungen gewählt wird, ist stets darauf zu achten, dass wegen der Sensibilität der von der SBV verarbeiteten Daten auch Backups und etwaige sonst abgelegte Dateien verschlüsselt werden (s. auch schon oben zu Frage Nr. 11).

14. Können SBV-Akten beim Ausscheiden aus dem Amt direkt an  Amtsnachfolgende übergeben werden?

Nein, dies ist nicht ohne weiteres möglich. Unterlagen, die nicht im Rahmen der regulären Beteiligungsverfahren bei der SBV befindlich sind, können nur dann an Amtsnachfolgende weitergegeben werden, wenn die betroffene Person in dieses Vorgehen zuvor eingewilligt hat. Wurde durch die betroffene Person keine vorherige Einwilligung erteilt, so sind die erhaltenen Unterlagen vom ausscheidenden SBV-Mitglied an die betroffene Person zurück zu geben.

15. Arbeit der SBV im Homeoffice und im mobilen Arbeiten: Ist eine Beratung schwerbehinderter Beschäftigter durch die SBV aus dem Homeoffice oder von unterwegs zulässig?

Die Flexibilisierung des Arbeitsortes bringt auch für die Arbeit der SBV neue Herausforderungen mit sich. Werden Aufgaben außerhalb des SBV-Büros erbracht, so besteht u.a. ein gesteigertes Risiko, dass Dritte „mithören“ oder unbefugt Kenntnisnehmen können, dass unsichere öffentliche Netzwerkzugänge verwendet werden oder dass Geräte verlustig gehen können. Gleichwohl darf die SBV Beratungen auch außerhalb des SBV-Büros anbieten, jedoch sind hierbei zwingend folgende Rahmenbedingungen einzuhalten:

• Prüfen Sie die einzelnen Aufgaben kritisch hinsichtlich ihrer „Mobilfähigkeit“!
• Sensibilisieren und schulen Sie die Mitglieder der SBV regelmäßig.
• Sichern Sie Ihre Tätigkeit rechtlich durch Richtlinien, Vereinbarungen oder Kollektivvereinbarung ab.
• Legen Sie verbindliche betriebliche Ansprechpersonen und Meldewege fest!
• Auf hinreichend sichere Zugangssperren und Verschlüsselung bei mobilen Endgeräten und Speichermedien achten!

16. Ist es zulässig, die Schwerbehindertenversammlung digital abzuhalten? In welcher Form muss die Übertragung stattfinden?

Ja, aktuell besteht bis zum Ablauf des 7. April 2023 die Möglichkeit, die Schwerbehindertenversammlung „mittels audiovisueller Einrichtungen“ abzuhalten. Die SBV kann mindestens einmal im Kalenderjahr eine Versammlung schwerbehinderter Menschen im Betrieb (bzw. in der Dienststelle) durchführen (§ 178 Abs. 6 SGB IX). Gemäß § 129 BetrVG i.V.m. § 178 Abs. 6 Satz 2 SGB IX gelten die Vorschriften für Betriebsversammlungen auch im SBV-Bereich und ermöglicht es, die Schwerbehindertenversammlung „mittels audiovisueller Einrichtungen“ durchzuführen. Eine Aufzeichnung der Versammlung ist ausdrücklich verboten. Dies bietet der SBV die Gelegenheit, ihre Arbeit darzustellen und die schwerbehinderten und gleichgestellten Beschäftigten umfassend zu informieren und u.a. auch ihren Tätigkeitsbericht zu erstatten.

Die Verwendung von audiovisuelle Einrichtungen erfordert, dass bei der Schwerbehindertenversammlung die Übertragung mittels Ton und Bild zu erfolgen hat. Eine Schwerbehindertenversammlung ausschließlich über Telefonkonferenz ist demnach unzulässig. Außerdem gehört dazu, dass die Teilnehmenden mit den Veranstaltenden und Redner_innen während der Schwerbehindertenversammlung über unterschiedliche Tools (z.B. Wortmeldungen, Chats) kommunizieren können. Schließlich dient die Schwerbehindertenversammlung, egal ob präsent oder digital, dem Austausch zwischen der SBV und der relevanten Beschäftigtengruppe.

Aktuell gibt es keine dauerhafte Vorschrift, die es erlaubt, Schwerbehinderten- oder Betriebsversammlungen virtuell durchzuführen. Nach dem Auslaufen der Sonderregelung des § 129 BetrVG (alte Fassung) im März 2022 hat sich der Gesetzgeber erneut für eine befristete Lösung in § 129 BetrVG entschieden.

17. Darf die Schwerbehindertenversammlung auch als hybride Veranstaltung abgehalten werden?

Aktuell lässt sich nicht abschließend beantworten, ob auch sogenannte Hybridveranstaltung zulässig sind. Der Begründung des Gesetzesentwurfs (BT-Drucksache 20/188 vom 6. 12. 2021) lässt sich jedoch entnehmen, dass eine Übertragung in Videokonferenzräume des jeweiligen Betriebs sowie die Übertragung über das Internet ermöglicht werden soll. Das spricht für die Versammlung in Hybridform. Inwieweit die gesetzliche Vorgabe der audiovisuellen Nutzung hierbei noch eingehalten wird, wenn die Teilnehmenden die Videofunktion abschalten und somit nur noch eine Telefonkonferenz umgesetzt wird, ist fraglich. Grundsätzlich kann jedoch davon ausgegangen werden, dass das Angebot der Schwerbehindertenversammlung mittels einer Videoübertragung dem Gesetz genügt.

FAQ aktualisiert am 11.10.2023