open search
close
Datenschutz

DSGVO und Löschfristen vs. Aufbewahrungspflichten

Print Friendly, PDF & Email

In unserem Beitrag vom 13. Feburar 2019 hatten wir bereits berichtet, dass die Vorschriften der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) für Unternehmer verschärfte Informations- und auch Löschungspflichten vorsehen. Unternehmen, die diesen Verpflichtungen nicht hinreichend nachkommen, drohen hohe Haftungsrisiken. Im Rahmen eines effektiven Datenschutz-Compliance-Systems empfiehlt es sich daher, Löschkonzepte oder jedenfalls Vorgaben in den Unternehmen zu entwickeln, aus denen sich die einzuhaltenden Löschfristen für alle im Unternehmen verarbeiteten Daten ergeben. Die Entwicklung eines solchen Löschkonzeptes liegt im Spannungsfeld zwischen den (teilweise auch gesetzlich) vorgegebenen Speicher- und Aufbewahrungspflichten und den gesetzlichen Vorgaben zur Löschung und Datensparsamkeit personenbezogener Daten.

Datenverarbeitung und Löschungsverpflichtung nach der DSGVO

Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten u.a. dann rechtmäßig, wenn diese auf einer Einwilligung des Betroffenen (Art. 6 Abs. 1 a), zur Erfüllung von Vertragszwecken (Art. 6 Abs. 1 b) oder auf einer anderen Rechtsgrundlage, einem sogenannten Erlaubnistatbestand, beruht (Art. 6 Abs. 1 c). Im Arbeitsrecht stellt insbesondere § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) einen solchen Erlaubnistatbestand dar. Danach dürfen Mitarbeiterdaten verarbeitet werden, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Wichtig ist, dass auch eine rechtmäßig erfolgte Datenerhebung und -verarbeitung nicht unbegrenzt gespeichert und aufbewahrt werden darf, sondern strenge inhaltliche und vor allem zeitliche Grenzen gelten. Die Datenspeicherung ist gemäß Art. 5 DSGVO nur so lange zulässig, wie es für den vorher festgelegten, eindeutigen sowie legitimen Zweck erforderlich und angemessen ist (Grundsatz der Speicherbegrenzung und Datenminimierung). Entfällt der Zweck, besteht nach Art. 17 DSGVO die Verpflichtung des datenschutzrechtlich Verantwortlichen – in dem Fall der Arbeitgeber – zur Löschung des Datensatzes.

Ausnahmen der Verpflichtung zur Datenlöschung

Eine wichtige Ausnahme von der Löschpflicht besteht jedoch, wenn die weitere Verarbeitung und Speicherung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, Art. 17 Abs. 3 b). Für Beschäftigungsverhältnisse von praktischer Relevanz sind hierbei die Aufbewahrungs- und Dokumentationspflichten nach den Vorschriften des deutschen Arbeits-, Handels-, Sozialversicherungs- und Steuerrechts. Daneben kann gemäß Art. 17 abs. 3 e auch ein eigenes, berechtigtes Interesse (sog. Beweissicherungsinteresse) des Verantwortlichen an einer längeren Aufbewahrung bestehen (z.B. bei potentiellen Rechtsstreitigkeiten).

Aufbewahrungsfristen mit Bezug zum Arbeitsrecht

Im Arbeitsrecht reichen Aufbewahrungsfristen von etwa zwei Monaten bis zu 30 Jahren. Sie lassen sich aus unterschiedlichen Gründen herleiten (Spezialgesetz, BV, TV, Arbeitsverträge) und können auf verschiedene Weisen dargestellt und kategorisiert werden, wie z.B. anhand der Dateninhalte. Im Weiteren sollen nach aufsteigender Dauer wichtige praxisrelevante Aufbewahrungsfristen, die einem Unternehmer im Arbeitsrecht begegnen, dargestellt werden.

  • Aufbewahrungsfrist von (mindestens) sechs Monaten

Die Aufbewahrung von Bewerbungsunterlagen abgelehnter Bewerber ist für mindestens sechs Monate zulässig. Die Gesamtfrist setzt sich dabei aus der zweimonatigen Ausschlussfrist des § 15 Abs. 4 AGG, der dreimonatiges Klagefrist des § 61b Abs. 1 ArbGG und einem Sicherheitszuschlag von einem Monat zusammen.

  • Aufbewahrungsfrist von (mindestens) zwei Jahren

Geht es um die Möglichkeit einer Aufsichtsbehörde, die Einhaltung von Schutzvorschriften bezüglich bestimmter Arbeitnehmergruppen zu überprüfen oder eine Erlaubnis zu erteilen, verlängern, aufzuheben oder zu versagen, sind zumeist Aufbewahrungspflichten mit einer Mindestdauer von zwei Jahren vorgesehen.

Beispielhaft hierfür ist § 16 Abs. 2 Arbeitszeitgesetz (ArbZG), wonach der Arbeitgeber verpflichtet ist, die über die werktägliche Arbeitszeit des § 3 S. 1 hinausgehende Arbeitszeit der Arbeitnehmer aufzuzeichnen sowie ein Verzeichnis der Arbeitnehmer zu führen, die in eine Verlängerung der Arbeitszeit gemäß § 7 Abs. 7 eingewilligt haben und für mindestens zwei Jahre aufzubewahren.

  • Aufbewahrungsfrist von (mindestens) drei Jahren

Der wichtigste Fall für die Praxis besteht für eine Frist von drei Jahren nach der regelmäßigen Verjährungsfrist der §§ 195, 199 Bürgerliches Gesetzbuch (BGB). So müssen die Bewerbungsunterlagen eines erfolgreichen, folglich eingestellten Bewerbers bis zu drei Jahre nach Schluss des Kalenderjahres, in dem das Arbeitsverhältnis beendet wurde, aufbewahrt werden. Grund hierfür ist die Verjährung des Zeugnisanspruches gemäß § 109 Gewerbeordnung (GewO) nach der allgemeinen Frist von drei Jahren.

  • Aufbewahrungsfrist von (mindestens) sechs Jahren

Eine Aufbewahrungspflicht von mindestens sechs Jahren folgt aus dem Steuer- und Sozialversicherungsrecht. Nach § 147 Abs. 1 Nr. 2, 3 und 5 Abgabenordnung (AO) gilt diese Aufbewahrungsfrist für Handels- und Geschäftspapiere, wie Rechnungen, Lieferscheine, Kostenvoranschläge und Bewirtungsbelege und sonstige steuerrelevanten Unterlagen, beginnend mit Schluss des Kalenderjahres, in dem sie entstanden sind.

  • Aufbewahrungsfrist von zehn Jahren

Aufbewahrungsfristen von zehnjähriger Dauer und länger ergeben sich insbesondere aus dem Steuer- und Handelsrecht. Dies betrifft nach § 147 Abs. 1 Nr. 1, 4 und 4a AO Bücher, Jahresabschlüsse, die Eröffnungsbilanz und die zu ihrem Verständnis erforderlichen Unterlagen, beginnend mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht worden oder der Buchungsbeleg, wie Lohnabrechnung, Bankauszug oder Betriebskostenabrechnung, entstanden ist.

Praxishinweis

Es zeigt sich, dass die Löschfristen aus der DSGVO eng mit den Aufbewahrungsfristen aus anderen Rechtsgebieten verknüpft sind. Der datenschutzrechtlich Verantwortliche, somit der Arbeitgeber, unterliegt dabei einer laufenden Pflicht zur Überprüfung des Bestehens von Löschungspflichten. Um die bei Verstößen gegen die DSGVO drohenden schwerwiegenden Haftungsrisiken zu minimieren, müssen sich Arbeitgeber die Löschungsverpflichtung, die damit einhergehende, kollidierende Aufbewahrungspflicht und die jeweiligen Fristen vergegenwärtigen. Hierbei ist insbesondere zu beachten, dass sich bei einem Nebeneinander von verschiedenen Aufbewahrungsfristen, die längst einschlägige Frist hinterlegt werden sollte.

Lisa Lösch

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Senior Associate
Lisa Lösch berät und vertritt nationale und internationale Unternehmen in sämtlichen Bereichen des individuellen und kollektiven Arbeitsrechts. Ein besonderer Schwerpunkt ihrer Tätigkeit liegt in der laufenden arbeitsrechtlichen Beratung von Unternehmen sowie der Betreuung von Kündigungsschutzstreitigkeiten.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Schadensersatz nach der DSGVO – wer beweist was?

Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers sind ein beliebtes Instrument, um im Arbeitsgerichtsprozess Druck auf den Arbeitgeber auszuüben. Häufig wird jedoch übersehen, dass der Arbeitnehmer nicht nur den Datenschutzverstoß darlegen, sondern auch beweisen muss, hierdurch einen konkreten Schaden erlitten zu haben. Demgegenüber muss der Arbeitgeber beweisen, dass ihn kein Verschulden trifft, um der Schadensersatzforderung entgegenzutreten. Nach allgemeinen prozessualen Grundsätzen obliegt es demjenigen,…
Individualarbeitsrecht Neueste Beiträge

Wenn Arbeitgeber Bewerber googeln: Informationspflicht und Datenschutz im digitalen Zeitalter

Internetrecherchen spielen für Arbeitgeber im Bewerbungsprozess eine immer größere Rolle. Im digitalen Zeitalter gibt es eine hohe Diversität an Informationen über Personen im Netz. Dadurch kann das Internet Informationen über Bewerber bieten, die über die in den eingereichten Bewerbungsunterlagen hinausgehen. Arbeitgeber müssen allerdings einiges beachten, wenn sie die Namen von Bewerbern in eine Suchmaschine eingeben und dadurch erlangte Informationen im Auswahlverfahren verwerten möchten. Arbeitgeber müssen bei…
Compliance Neueste Beiträge Whistleblowing Whistleblowing & Investigations

Datenschutz vs. Hinweisgeberschutz: Wo endet der Identitätsschutz?

Das Hinweisgeberschutzgesetz („HinSchG“) hat in vielen Unternehmen ein stärkeres Bewusstsein für interne Meldesysteme und den Schutz von Hinweisgebern geschaffen. Während die Einführung von Hinweisgebersystemen zur Aufdeckung von Missständen und zur Förderung einer transparenten Unternehmenskultur beiträgt, bringt sie auch komplexe datenschutzrechtliche Herausforderungen mit sich. Wir zeigen, was es zu beachten gilt. Personen, die mit der Bearbeitung von eingehenden Meldungen beauftragt sind, sog. Meldestellenbeauftragte, müssen sicherstellen, dass…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.