Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

05. Oktober 2022

Betriebsrat & DSGVO – was ist formal zu beachten (Teil 2)?

DP+
Ein Betriebsrat kann sich nicht darauf zurückziehen, dass er nur Teil des Verantwortlichen ist. Wie alle anderen Abteilungen muss er seinen Part beitragen, um die DSGVO zu erfüllen.
Bild: iStock.com / fizkes
0,00 (0)
Lösch-, Rollen- und Berechtigungskonzept
Wie sieht ein BR-Löschkonzept aus? Warum braucht der BR ein eigenes Rollen- und Berechtigungskonzept? Sind eigene Datenschutzhinweise erforderlich? Und wenn ja, in welcher Form?
Wie im ersten Teil gezeigt unterfallen die personenbezogenen Daten, die der Betriebsrat (BR) verarbeitet und bei sich speichert, den Löschpflichten der Datenschutz-Grundverordnung (DSGVO) nach Art. 17. Denn aus Sicht der DSGVO ist ein BR nur eine normale Abteilung im Unternehmen, für die sämtliche DSGVO-Regelungen gelten. Das hat auch der deutsche Gesetzgeber in § 79a Betriebsverfassungsgesetz (BetrVG) 2021 klargestellt.

Von den BR-Löschfristen zum BR-Löschkonzept

Genau genommen ist der in der Praxis verwendete Begriff der „Löschfristen“ nicht ganz korrekt. Denn das Löschen ist ein einmaliger Vorgang, kein Zeitraum – der richtige Begriff ist „Speicherfristen“.

Die Speicherfristen muss der BR zwingend in seinem Verarbeitungsverzeichnis nennen (siehe Art. 30 Abs. 1 DSGVO). Die Nennung der Fristen sagt allerdings noch nichts darüber, wie technisch gelöscht wird, wer bzw. welche Rolle im BR dies übernimmt, wo zu löschen ist, wer dies kontrolliert etc. Diese Themen sind für die Praxis wichtig. Denn es nützt wenig, zwar zu wissen, wann man löschen muss – nicht aber, wer dies tun soll und wie es zu erfolgen hat.

Daher legt man diese Punkte typischerweise fest – das entsprechende Dokument wird als „BR-Löschkonzept“ bezeichnet. Die Speicherfristen machen dort meist den geringsten Teil aus. Viel aufwendiger ist, die anderen Punkte zu regeln.

Checkliste für ein BR-Löschkonzept

Folgende Themen sollte ein BR-Löschkonzept ansprechen und festlegen:

  • Liste der Datenkategorien, die der BR speichert, wie Anhörungen, Sitzungsprotokolle, Geha…
Dr. Robert Selk
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Robert Selk
Dr. Robert Selk
Dr. Robert Selk, LL.M., ist Rechtsanwalt und Fachanwalt für IT-Recht in München und dort Partner der Rechtsanwaltskanzlei SSH. Er betreut das Referat IT-Recht, Datenschutz und gewerblicher Rechtschutz. Herr Dr. Selk promovierte im Bereich Datenschutz und Internet und ist seit vielen Jahren als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig sowie Mitgründer und Gesellschafter der TSC Toedt, Dr. Selk & Coll GmbH.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.