Betriebsrat & DSGVO – was ist formal zu beachten (Teil 2)?
DP+
Bild: iStock.com / fizkes
Lösch-, Rollen- und Berechtigungskonzept
Wie sieht ein BR-Löschkonzept aus? Warum braucht der BR ein eigenes Rollen- und Berechtigungskonzept? Sind eigene Datenschutzhinweise erforderlich? Und wenn ja, in welcher Form?
Von den BR-Löschfristen zum BR-Löschkonzept
Genau genommen ist der in der Praxis verwendete Begriff der „Löschfristen“ nicht ganz korrekt. Denn das Löschen ist ein einmaliger Vorgang, kein Zeitraum – der richtige Begriff ist „Speicherfristen“.
Die Speicherfristen muss der BR zwingend in seinem Verarbeitungsverzeichnis nennen (siehe Art. 30 Abs. 1 DSGVO). Die Nennung der Fristen sagt allerdings noch nichts darüber, wie technisch gelöscht wird, wer bzw. welche Rolle im BR dies übernimmt, wo zu löschen ist, wer dies kontrolliert etc. Diese Themen sind für die Praxis wichtig. Denn es nützt wenig, zwar zu wissen, wann man löschen muss – nicht aber, wer dies tun soll und wie es zu erfolgen hat.
Daher legt man diese Punkte typischerweise fest – das entsprechende Dokument wird als „BR-Löschkonzept“ bezeichnet. Die Speicherfristen machen dort meist den geringsten Teil aus. Viel aufwendiger ist, die anderen Punkte zu regeln.
Checkliste für ein BR-Löschkonzept
Folgende Themen sollte ein BR-Löschkonzept ansprechen und festlegen:
- Liste der Datenkategorien, die der BR speichert, wie Anhörungen, Sitzungsprotokolle, Geha…
Weiterlesen mit DP+
Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?
Verfasst von
Dr. Robert Selk
Dr. Robert Selk, LL.M., ist Rechtsanwalt und Fachanwalt für IT-Recht in München und dort Partner der Rechtsanwaltskanzlei SSH. Er betreut
das Referat IT-Recht, Datenschutz und gewerblicher Rechtschutz. Herr Dr. Selk promovierte im Bereich Datenschutz und Internet und ist seit vielen Jahren als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig sowie Mitgründer und Gesellschafter der TSC Toedt, Dr. Selk & Coll GmbH.
