Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. So steht es in § 79a BetrVG.
Dies bedeutet für den Betriebsrat, dass er bei seiner Arbeit die Grundsätze des Datenschutzes aus § 5 DSGVO zu beachten hat. Einer dieser Grundsätze ist der Grundsatz der Speicherbegrenzung. Danach dürfen personenbezogene Daten nur solange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Auch wenn der Betriebsrat nur Teil der verantwortlichen Stelle ist und nicht selbst Verantwortlicher, wird in der Praxis der Arbeitgeber nicht vorgeben können, wann der Betriebsrat welche personenbezogenen Daten zu löschen hat. Daher ist der Betriebsrat selbst aufgerufen, den Beschäftigtendatenschutz in seiner Sphäre umzusetzen und sich über die Aufbewahrungsdauer und der anschließenden Vernichtung von personenbezogenen Daten eigenständig Gedanken zu machen.
Im ersten Schritt stellt sich die Frage, wo bei der Betriebsratsarbeit überhaupt personenbezogene Daten anfallen. Danach geht es um die Frage, wie lange die Daten aufbewahrt werden sollten.
Interne Organisation
Wenn es um die inneren Angelegenheiten des Betriebsrats geht, so kommen als Quelle für personenbezogene Daten insbesondere Betriebsversammlungen, Betriebsratssitzungen oder der Austausch zwischen den Mitgliedern bzw. zwischen alten und neuen Mitgliedern in Betracht. Bei Betriebsversammlungen und Betriebsratssitzungen geht es vor allem um erstellte Protokolle, die personenbezogene Daten enthalten. Außerdem sind Listen mit Kontaktdaten vorhanden, um Einladungen zu versenden.
Bei der Aufbewahrung von Protokollen hat der Betriebsrat einen weiten Spielraum, wie lange diese aufbewahrt werden sollen. Solange die Protokolle eine rechtliche Bedeutung haben, etwa wenn es um Verhandlungen und Beschlüsse zu Betriebsvereinbarungen geht, sollten diese mindestens so lange aufbewahrt werden, solange die Betriebsvereinbarung gilt. Man wird es im Sinne von § 35 BDSG regelmäßig als unverhältnismäßig ansehen können, aus den einzelnen Papierprotokollen die Namen der Teilnehmer zu löschen, zumal das Interesse an der Löschung der betroffenen Personen als gering anzusehen ist.
Bei den Protokollen sollte man sich daher als Gremium fragen, ob man diese in der Vergangenheit schon einmal für die Arbeit benötigt hat und wie weit man dafür in den Protokollen zurückgehen musste. Das kann ein guter Anhaltspunkt für die Aufbewahrungsdauer sein.
Ähnlich verhält es sich bei Protokollen für Betriebsversammlungen. Auch hier muss sich das Gremium die Frage stellen, wie oft man in der Vergangenheit alte Protokolle für die Arbeit benötigte, um daraus eine Aufbewahrungsdauer abzuleiten.
Kontaktlisten für die Einladungen sollten stets aktuell gehalten und, sobald Beschäftigte bzw. Betriebsratsmitglieder ausgeschieden sind, die Kontakte gelöscht werden. Hier steht vor allem die Richtigkeit der Listen im Vordergrund.
Dasselbe gilt für den Austausch zwischen den Betriebsratsmitgliedern. Die Kontaktdaten sollten ebenso stets aktuell gehalten werden. Bei einem Wechsel sämtlicher Betriebsratsmitglieder ist eine Löschung der Kontaktdaten alter Mitglieder vorzunehmen. Allenfalls für die Dauer der Übergabe der Betriebsratsarbeit können die Daten noch genutzt und aufbewahrt werden.
Verwendet der Betriebsrat zur Ausübung seiner Tätigkeiten zulässigerweise Beschäftigtendaten, hat dieser festzulegen, durch welche technischen und organisatorischen Maßnahmen die Daten vor Missbrauch geschützt werden. Als Beispiel hierzu kann eine betriebsratsinterne Geschäftsordnung dienen, die konkrete und geeignete Maßnahmen benennt und die der Betriebsrat nach pflichtgemäßem Ermessen umzusetzen hat. Ist das Mitbestimmungsverfahren beendet, hat der Betriebsrat die diesbezüglich zur Verfügung gestellten Beschäftigtendaten unverzüglich zu löschen oder an den Arbeitgeber zurückzugeben. Eine weitergehende, ohne konkreten Anlass stattfindende Aufbewahrung der Daten durch den Betriebsrat ist rechtswidrig.
Austausch mit Beschäftigten
Bei einer Sprechstunde mit Beschäftigten, die ein Anliegen an den Betriebsrat herantragen, können personenbezogene Daten anfallen. Erst als Notiz im Rahmen einer Mitschrift, später bei der Übertragung auf den Rechner und je nach weiterer Bearbeitung tauchen Daten ggf. in den Sitzungsprotokollen auf.
Eine starre Aufbewahrungsdauer kann hier nicht vorgegeben werden. Zu Sitzungsprotokollen wurde bereits oben etwas gesagt. Für die Notizen sollte gelten, dass diese vernichtet werden, sobald die Angaben auf den Rechner übertragen worden sind. Danach sollten die Angaben gelöscht werden, sobald das Anliegen des Beschäftigten sich erledigt hat.
Personenbezogene Daten bei der Ausübung der Mitbestimmung
Bei der Mitbestimmung in sozialen bzw. personellen Angelegenheiten fallen eine Vielzahl von personenbezogenen Daten der Beschäftigten an. Dies können Bewerbungsunterlagen, Angaben zur Ein- oder Umgruppierung, Versetzung oder auch Kündigung sein.
Daneben fallen immer wieder personenbezogene Daten an, wenn Betriebsvereinbarungen umgesetzt werden, etwa wenn bei Schichtbetrieben, die aufgestellten Dienstpläne für die Kolleg*Innen geprüft werden.
Auch hier gibt es keine starre Aufbewahrungsdauer. Hier gilt ebenfalls, dass die Unterlagen vernichtet werden sollten, sobald der entsprechende Prozess abgeschlossen ist.
Bei Bewerbungen heißt dies beispielsweise, wenn das Verfahren von der Personalabteilung beendet und eine Person eingestellt worden ist. Sollten im Nachgang Probleme auftauchen, etwa ein*e abgelehnte*r Bewerber*in klagt gegen die Ablehnung, können die Unterlagen bei der Personalabteilung erneut angefordert werden, da diese dort noch vorliegen. Eine Aufbewahrung auf Vorrat sollte vermieden werden.
Ähnliches gilt bei Verfahren nach Art. 99 BetrVG oder nach § 102 BetrVG. Auch hier sollten die Unterlagen nur für die Dauer des Verfahrens aufbewahrt und dann vernichtet werden.
Sollte es zur Uneinigkeit zwischen Betriebsrat und Arbeitgeber in bestimmten Verfahren kommen und die Unterlagen für Einigungsstellen oder Zustimmungsersetzungsverfahren vor dem Arbeitsgericht benötigt werden, können die Unterlagen für die Dauer dieser Verfahren aufbewahrt und genutzt werden.
Vernichtung nach der Aufbewahrungsdauer
Im letzten Schritt geht es um die Vernichtung von Daten. Sobald das Ende der Aufbewahrung erreicht ist, sollte der Betriebsrat die Unterlagen über einen professionellen Dienstleister vernichten lassen oder einen eigenen Schredder (Schutzstufe P4) zur Vernichtung nutzen. Bei elektronischen Daten sollte die Löschung durch Mehrfachüberschreibung sichergestellt werden.
Fazit
Der Betriebsrat hat es in der Hand, die Aufbewahrungsdauer für die von ihm verarbeiteten personenbezogenen Daten eigenständig zu definieren. Klar muss aber sein, dass er die Unterlagen nicht unendlich lange aufbewahren darf. Dies wäre ein Verstoß gegen die DSGVO. Die oben genannten Beispiele sollen zeigen, dass es lediglich einer Begründung der Aufbewahrungsdauer bedarf, die plausibel ist.