Betriebsrat & DSGVO – was ist formal zu beachten (Teil 2)?
Von den BR-Löschfristen zum BR-Löschkonzept
Genau genommen ist der in der Praxis verwendete Begriff der „Löschfristen“ nicht ganz korrekt. Denn das Löschen ist ein einmaliger Vorgang, kein Zeitraum – der richtige Begriff ist „Speicherfristen“.
Die Speicherfristen muss der BR zwingend in seinem Verarbeitungsverzeichnis nennen (siehe Art. 30 Abs. 1 DSGVO). Die Nennung der Fristen sagt allerdings noch nichts darüber, wie technisch gelöscht wird, wer bzw. welche Rolle im BR dies übernimmt, wo zu löschen ist, wer dies kontrolliert etc. Diese Themen sind für die Praxis wichtig. Denn es nützt wenig, zwar zu wissen, wann man löschen muss – nicht aber, wer dies tun soll und wie es zu erfolgen hat.
Daher legt man diese Punkte typischerweise fest – das entsprechende Dokument wird als „BR-Löschkonzept“ bezeichnet. Die Speicherfristen machen dort meist den geringsten Teil aus. Viel aufwendiger ist, die anderen Punkte zu regeln.
Checkliste für ein BR-Löschkonzept
Folgende Themen sollte ein BR-Löschkonzept ansprechen und festlegen:
- Liste der Datenkategorien, die der BR speichert, wie Anhörungen, Sitzungsprotokolle, Geha…