open search
close
Datenschutz

DSGVO und Löschfristen vs. Aufbewahrungspflichten

Print Friendly, PDF & Email

In unserem Beitrag vom 13. Feburar 2019 hatten wir bereits berichtet, dass die Vorschriften der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) für Unternehmer verschärfte Informations- und auch Löschungspflichten vorsehen. Unternehmen, die diesen Verpflichtungen nicht hinreichend nachkommen, drohen hohe Haftungsrisiken. Im Rahmen eines effektiven Datenschutz-Compliance-Systems empfiehlt es sich daher, Löschkonzepte oder jedenfalls Vorgaben in den Unternehmen zu entwickeln, aus denen sich die einzuhaltenden Löschfristen für alle im Unternehmen verarbeiteten Daten ergeben. Die Entwicklung eines solchen Löschkonzeptes liegt im Spannungsfeld zwischen den (teilweise auch gesetzlich) vorgegebenen Speicher- und Aufbewahrungspflichten und den gesetzlichen Vorgaben zur Löschung und Datensparsamkeit personenbezogener Daten.

Datenverarbeitung und Löschungsverpflichtung nach der DSGVO

Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten u.a. dann rechtmäßig, wenn diese auf einer Einwilligung des Betroffenen (Art. 6 Abs. 1 a), zur Erfüllung von Vertragszwecken (Art. 6 Abs. 1 b) oder auf einer anderen Rechtsgrundlage, einem sogenannten Erlaubnistatbestand, beruht (Art. 6 Abs. 1 c). Im Arbeitsrecht stellt insbesondere § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) einen solchen Erlaubnistatbestand dar. Danach dürfen Mitarbeiterdaten verarbeitet werden, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Wichtig ist, dass auch eine rechtmäßig erfolgte Datenerhebung und -verarbeitung nicht unbegrenzt gespeichert und aufbewahrt werden darf, sondern strenge inhaltliche und vor allem zeitliche Grenzen gelten. Die Datenspeicherung ist gemäß Art. 5 DSGVO nur so lange zulässig, wie es für den vorher festgelegten, eindeutigen sowie legitimen Zweck erforderlich und angemessen ist (Grundsatz der Speicherbegrenzung und Datenminimierung). Entfällt der Zweck, besteht nach Art. 17 DSGVO die Verpflichtung des datenschutzrechtlich Verantwortlichen – in dem Fall der Arbeitgeber – zur Löschung des Datensatzes.

Ausnahmen der Verpflichtung zur Datenlöschung

Eine wichtige Ausnahme von der Löschpflicht besteht jedoch, wenn die weitere Verarbeitung und Speicherung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, Art. 17 Abs. 3 b). Für Beschäftigungsverhältnisse von praktischer Relevanz sind hierbei die Aufbewahrungs- und Dokumentationspflichten nach den Vorschriften des deutschen Arbeits-, Handels-, Sozialversicherungs- und Steuerrechts. Daneben kann gemäß Art. 17 abs. 3 e auch ein eigenes, berechtigtes Interesse (sog. Beweissicherungsinteresse) des Verantwortlichen an einer längeren Aufbewahrung bestehen (z.B. bei potentiellen Rechtsstreitigkeiten).

Aufbewahrungsfristen mit Bezug zum Arbeitsrecht

Im Arbeitsrecht reichen Aufbewahrungsfristen von etwa zwei Monaten bis zu 30 Jahren. Sie lassen sich aus unterschiedlichen Gründen herleiten (Spezialgesetz, BV, TV, Arbeitsverträge) und können auf verschiedene Weisen dargestellt und kategorisiert werden, wie z.B. anhand der Dateninhalte. Im Weiteren sollen nach aufsteigender Dauer wichtige praxisrelevante Aufbewahrungsfristen, die einem Unternehmer im Arbeitsrecht begegnen, dargestellt werden.

  • Aufbewahrungsfrist von (mindestens) sechs Monaten

Die Aufbewahrung von Bewerbungsunterlagen abgelehnter Bewerber ist für mindestens sechs Monate zulässig. Die Gesamtfrist setzt sich dabei aus der zweimonatigen Ausschlussfrist des § 15 Abs. 4 AGG, der dreimonatiges Klagefrist des § 61b Abs. 1 ArbGG und einem Sicherheitszuschlag von einem Monat zusammen.

  • Aufbewahrungsfrist von (mindestens) zwei Jahren

Geht es um die Möglichkeit einer Aufsichtsbehörde, die Einhaltung von Schutzvorschriften bezüglich bestimmter Arbeitnehmergruppen zu überprüfen oder eine Erlaubnis zu erteilen, verlängern, aufzuheben oder zu versagen, sind zumeist Aufbewahrungspflichten mit einer Mindestdauer von zwei Jahren vorgesehen.

Beispielhaft hierfür ist § 16 Abs. 2 Arbeitszeitgesetz (ArbZG), wonach der Arbeitgeber verpflichtet ist, die über die werktägliche Arbeitszeit des § 3 S. 1 hinausgehende Arbeitszeit der Arbeitnehmer aufzuzeichnen sowie ein Verzeichnis der Arbeitnehmer zu führen, die in eine Verlängerung der Arbeitszeit gemäß § 7 Abs. 7 eingewilligt haben und für mindestens zwei Jahre aufzubewahren.

  • Aufbewahrungsfrist von (mindestens) drei Jahren

Der wichtigste Fall für die Praxis besteht für eine Frist von drei Jahren nach der regelmäßigen Verjährungsfrist der §§ 195, 199 Bürgerliches Gesetzbuch (BGB). So müssen die Bewerbungsunterlagen eines erfolgreichen, folglich eingestellten Bewerbers bis zu drei Jahre nach Schluss des Kalenderjahres, in dem das Arbeitsverhältnis beendet wurde, aufbewahrt werden. Grund hierfür ist die Verjährung des Zeugnisanspruches gemäß § 109 Gewerbeordnung (GewO) nach der allgemeinen Frist von drei Jahren.

  • Aufbewahrungsfrist von (mindestens) sechs Jahren

Eine Aufbewahrungspflicht von mindestens sechs Jahren folgt aus dem Steuer- und Sozialversicherungsrecht. Nach § 147 Abs. 1 Nr. 2, 3 und 5 Abgabenordnung (AO) gilt diese Aufbewahrungsfrist für Handels- und Geschäftspapiere, wie Rechnungen, Lieferscheine, Kostenvoranschläge und Bewirtungsbelege und sonstige steuerrelevanten Unterlagen, beginnend mit Schluss des Kalenderjahres, in dem sie entstanden sind.

  • Aufbewahrungsfrist von zehn Jahren

Aufbewahrungsfristen von zehnjähriger Dauer und länger ergeben sich insbesondere aus dem Steuer- und Handelsrecht. Dies betrifft nach § 147 Abs. 1 Nr. 1, 4 und 4a AO Bücher, Jahresabschlüsse, die Eröffnungsbilanz und die zu ihrem Verständnis erforderlichen Unterlagen, beginnend mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht worden oder der Buchungsbeleg, wie Lohnabrechnung, Bankauszug oder Betriebskostenabrechnung, entstanden ist.

Praxishinweis

Es zeigt sich, dass die Löschfristen aus der DSGVO eng mit den Aufbewahrungsfristen aus anderen Rechtsgebieten verknüpft sind. Der datenschutzrechtlich Verantwortliche, somit der Arbeitgeber, unterliegt dabei einer laufenden Pflicht zur Überprüfung des Bestehens von Löschungspflichten. Um die bei Verstößen gegen die DSGVO drohenden schwerwiegenden Haftungsrisiken zu minimieren, müssen sich Arbeitgeber die Löschungsverpflichtung, die damit einhergehende, kollidierende Aufbewahrungspflicht und die jeweiligen Fristen vergegenwärtigen. Hierbei ist insbesondere zu beachten, dass sich bei einem Nebeneinander von verschiedenen Aufbewahrungsfristen, die längst einschlägige Frist hinterlegt werden sollte.

Lisa Ryßok-Lösch

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Senior Associate
Lisa Ryßok-Lösch berät und vertritt nationale und internationale Unternehmen in sämtlichen Bereichen des individuellen und kollektiven Arbeitsrechts. Ein besonderer Schwerpunkt ihrer Tätigkeit liegt in der laufenden arbeitsrechtlichen Beratung von Unternehmen sowie der Betreuung von Kündigungsschutzstreitigkeiten.
Verwandte Beiträge
Compliance Neueste Beiträge Whistleblowing & Investigations

Internal Investigations: Kostenersatz bei Compliance-Untersuchungen

Sofern gegen einen Arbeitnehmer der Verdacht besteht, gegen Compliance-Vorschriften verstoßen oder eine erhebliche Verfehlung begangen zu haben, sind vom Arbeitgeber entsprechende unternehmensinterne Untersuchungen einzuleiten. Diese sog. Internal Investigations gewinnen in der Praxis immer größere Bedeutung, sie haben jedoch auch ihren Preis. Da viele Unternehmen keine Erfahrungen mit solchen Situationen haben, werden häufig externe Spezialisten, wie etwa Detektive oder spezialisierte Anwaltskanzleien hinzugezogen, um die Verdachtsmomente umfassend…
Datenschutz Neueste Beiträge

Kann der Auskunftsanspruch nach Art. 15 DS-GVO rechtsmissbräuchlich sein? Ja, sagt das LAG Sachsen!

Das LAG Sachsen hat entschieden, dass ein Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ausscheidet, wenn das Auskunftsbegehren rechtsmissbräuchlich ist. Anlass der Entscheidung war, dass ein Arbeitnehmer während eines laufenden Rechtsstreits gegen den Arbeitgeber Auskunftsansprüche geltend machte. Diese Informationen wollte der Arbeitnehmer gegen den Arbeitgeber verwenden, um seine behaupteten Überstunden beweisen zu können. Das LAG urteilte, dass dieser Zweck nicht von der DS-GVO gedeckt und…
Datenschutz ESG Neueste Beiträge Video

Beschäftigtendaten – darf man sie zum Beispiel für ESG-Befragungen einfach nutzen? (Video)

Im Laufe eines Arbeitslebens sammeln Arbeitgeber von ihren Mitarbeitenden viele Daten, beginnend bei der Bewerbung über die Einstellung und auch während des Beschäftigungsverhältnisses. Teilweise werden diese Informationen auch durch Umfragen aktiv gesammelt – derzeit sehr aktuell etwa beim Thema ESG. Dabei stellt sich die Frage, ob diese einmalig für einen bestimmten Zweck gesammelten Daten auch für andere Zwecke als den ursprünglichen genutzt werden können, etwa…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert