open search
close
  • Suche
    • Autoren Über uns Kliemt.de Home
    Datenschutz

    DSGVO und Löschfristen vs. Aufbewahrungspflichten

    Print Friendly, PDF & Email

    In unserem Beitrag vom 13. Feburar 2019 hatten wir bereits berichtet, dass die Vorschriften der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) für Unternehmer verschärfte Informations- und auch Löschungspflichten vorsehen. Unternehmen, die diesen Verpflichtungen nicht hinreichend nachkommen, drohen hohe Haftungsrisiken. Im Rahmen eines effektiven Datenschutz-Compliance-Systems empfiehlt es sich daher, Löschkonzepte oder jedenfalls Vorgaben in den Unternehmen zu entwickeln, aus denen sich die einzuhaltenden Löschfristen für alle im Unternehmen verarbeiteten Daten ergeben. Die Entwicklung eines solchen Löschkonzeptes liegt im Spannungsfeld zwischen den (teilweise auch gesetzlich) vorgegebenen Speicher- und Aufbewahrungspflichten und den gesetzlichen Vorgaben zur Löschung und Datensparsamkeit personenbezogener Daten.

    Datenverarbeitung und Löschungsverpflichtung nach der DSGVO

    Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten u.a. dann rechtmäßig, wenn diese auf einer Einwilligung des Betroffenen (Art. 6 Abs. 1 a), zur Erfüllung von Vertragszwecken (Art. 6 Abs. 1 b) oder auf einer anderen Rechtsgrundlage, einem sogenannten Erlaubnistatbestand, beruht (Art. 6 Abs. 1 c). Im Arbeitsrecht stellt insbesondere § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) einen solchen Erlaubnistatbestand dar. Danach dürfen Mitarbeiterdaten verarbeitet werden, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist.

    Wichtig ist, dass auch eine rechtmäßig erfolgte Datenerhebung und -verarbeitung nicht unbegrenzt gespeichert und aufbewahrt werden darf, sondern strenge inhaltliche und vor allem zeitliche Grenzen gelten. Die Datenspeicherung ist gemäß Art. 5 DSGVO nur so lange zulässig, wie es für den vorher festgelegten, eindeutigen sowie legitimen Zweck erforderlich und angemessen ist (Grundsatz der Speicherbegrenzung und Datenminimierung). Entfällt der Zweck, besteht nach Art. 17 DSGVO die Verpflichtung des datenschutzrechtlich Verantwortlichen – in dem Fall der Arbeitgeber – zur Löschung des Datensatzes.

    Ausnahmen der Verpflichtung zur Datenlöschung

    Eine wichtige Ausnahme von der Löschpflicht besteht jedoch, wenn die weitere Verarbeitung und Speicherung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, Art. 17 Abs. 3 b). Für Beschäftigungsverhältnisse von praktischer Relevanz sind hierbei die Aufbewahrungs- und Dokumentationspflichten nach den Vorschriften des deutschen Arbeits-, Handels-, Sozialversicherungs- und Steuerrechts. Daneben kann gemäß Art. 17 abs. 3 e auch ein eigenes, berechtigtes Interesse (sog. Beweissicherungsinteresse) des Verantwortlichen an einer längeren Aufbewahrung bestehen (z.B. bei potentiellen Rechtsstreitigkeiten).

    Aufbewahrungsfristen mit Bezug zum Arbeitsrecht

    Im Arbeitsrecht reichen Aufbewahrungsfristen von etwa zwei Monaten bis zu 30 Jahren. Sie lassen sich aus unterschiedlichen Gründen herleiten (Spezialgesetz, BV, TV, Arbeitsverträge) und können auf verschiedene Weisen dargestellt und kategorisiert werden, wie z.B. anhand der Dateninhalte. Im Weiteren sollen nach aufsteigender Dauer wichtige praxisrelevante Aufbewahrungsfristen, die einem Unternehmer im Arbeitsrecht begegnen, dargestellt werden.

    • Aufbewahrungsfrist von (mindestens) sechs Monaten

    Die Aufbewahrung von Bewerbungsunterlagen abgelehnter Bewerber ist für mindestens sechs Monate zulässig. Die Gesamtfrist setzt sich dabei aus der zweimonatigen Ausschlussfrist des § 15 Abs. 4 AGG, der dreimonatiges Klagefrist des § 61b Abs. 1 ArbGG und einem Sicherheitszuschlag von einem Monat zusammen.

    • Aufbewahrungsfrist von (mindestens) zwei Jahren

    Geht es um die Möglichkeit einer Aufsichtsbehörde, die Einhaltung von Schutzvorschriften bezüglich bestimmter Arbeitnehmergruppen zu überprüfen oder eine Erlaubnis zu erteilen, verlängern, aufzuheben oder zu versagen, sind zumeist Aufbewahrungspflichten mit einer Mindestdauer von zwei Jahren vorgesehen.

    Beispielhaft hierfür ist § 16 Abs. 2 Arbeitszeitgesetz (ArbZG), wonach der Arbeitgeber verpflichtet ist, die über die werktägliche Arbeitszeit des § 3 S. 1 hinausgehende Arbeitszeit der Arbeitnehmer aufzuzeichnen sowie ein Verzeichnis der Arbeitnehmer zu führen, die in eine Verlängerung der Arbeitszeit gemäß § 7 Abs. 7 eingewilligt haben und für mindestens zwei Jahre aufzubewahren.

    • Aufbewahrungsfrist von (mindestens) drei Jahren

    Der wichtigste Fall für die Praxis besteht für eine Frist von drei Jahren nach der regelmäßigen Verjährungsfrist der §§ 195, 199 Bürgerliches Gesetzbuch (BGB). So müssen die Bewerbungsunterlagen eines erfolgreichen, folglich eingestellten Bewerbers bis zu drei Jahre nach Schluss des Kalenderjahres, in dem das Arbeitsverhältnis beendet wurde, aufbewahrt werden. Grund hierfür ist die Verjährung des Zeugnisanspruches gemäß § 109 Gewerbeordnung (GewO) nach der allgemeinen Frist von drei Jahren.

    • Aufbewahrungsfrist von (mindestens) sechs Jahren

    Eine Aufbewahrungspflicht von mindestens sechs Jahren folgt aus dem Steuer- und Sozialversicherungsrecht. Nach § 147 Abs. 1 Nr. 2, 3 und 5 Abgabenordnung (AO) gilt diese Aufbewahrungsfrist für Handels- und Geschäftspapiere, wie Rechnungen, Lieferscheine, Kostenvoranschläge und Bewirtungsbelege und sonstige steuerrelevanten Unterlagen, beginnend mit Schluss des Kalenderjahres, in dem sie entstanden sind.

    • Aufbewahrungsfrist von zehn Jahren

    Aufbewahrungsfristen von zehnjähriger Dauer und länger ergeben sich insbesondere aus dem Steuer- und Handelsrecht. Dies betrifft nach § 147 Abs. 1 Nr. 1, 4 und 4a AO Bücher, Jahresabschlüsse, die Eröffnungsbilanz und die zu ihrem Verständnis erforderlichen Unterlagen, beginnend mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht worden oder der Buchungsbeleg, wie Lohnabrechnung, Bankauszug oder Betriebskostenabrechnung, entstanden ist.

    Praxishinweis

    Es zeigt sich, dass die Löschfristen aus der DSGVO eng mit den Aufbewahrungsfristen aus anderen Rechtsgebieten verknüpft sind. Der datenschutzrechtlich Verantwortliche, somit der Arbeitgeber, unterliegt dabei einer laufenden Pflicht zur Überprüfung des Bestehens von Löschungspflichten. Um die bei Verstößen gegen die DSGVO drohenden schwerwiegenden Haftungsrisiken zu minimieren, müssen sich Arbeitgeber die Löschungsverpflichtung, die damit einhergehende, kollidierende Aufbewahrungspflicht und die jeweiligen Fristen vergegenwärtigen. Hierbei ist insbesondere zu beachten, dass sich bei einem Nebeneinander von verschiedenen Aufbewahrungsfristen, die längst einschlägige Frist hinterlegt werden sollte.

    Lisa Ryßok-Lösch
    Rechtsanwältin
    Fachanwältin für Arbeitsrecht
    Senior Associate
    Lisa Ryßok-Lösch berät und vertritt nationale und internationale Unternehmen in sämtlichen Bereichen des individuellen und kollektiven Arbeitsrechts. Ein besonderer Schwerpunkt ihrer Tätigkeit liegt in der laufenden arbeitsrechtlichen Beratung von Unternehmen sowie der Betreuung von Kündigungsschutzstreitigkeiten.
    vCard downloaden
    Verwandte Beiträge
    Datenschutz Neueste Beiträge

    Sonderkündigungsschutz des Datenschutzbeauftragten

    Der Datenschutzbeauftragte (DSB) genießt nach deutschem Recht besonderen Kündigungsschutz. Die Reichweite dieses Sonderkündigungsschutzes war nach Inkrafttreten der DSGVO unklar, da die deutsche Regelung über die europäischen Vorgaben hinausgeht. Zwischenzeitlich haben EuGH und BAG entschieden, dass der deutsche Kündigungsschutz des Datenschutzbeauftragten grundsätzlich mit dem Europarecht vereinbar ist. Unternehmen sind daher gut beraten, wenn sie sich vor einer Bestellung detailliert Gedanken machen, wen sie benennen wollen. Die DSGVO…
    Digitalisierung in Unternehmen Neueste Beiträge

    KI – Mehr als nur ein Freizeitspaß!

    Aktuell macht künstliche Intelligenz (KI) in Form der Anwendung ChatGPT von sich reden. ChatGPT ist ein sogenannter Chatbot, ein textgesteuertes Dialogsystem, welches im November 2022 vorgestellt wurde und welches sich selbst durch sogenanntes bestärkendes Lernen laufend verbessert. Diese Anwendung zeigt der breiten Öffentlichkeit, was bereits jetzt mit künstlicher Intelligenz möglich ist. Die Reaktionen auf das Tool reichen von Erstaunen einerseits bis Besorgnis („gruselig“) andererseits. ChatGPT…
    Datenschutz Individualarbeitsrecht Neueste Beiträge

    Neues zum Auskunftsanspruch (nicht nur) des Arbeitnehmers

    Der Auskunftsanspruch nach Art. 15 DS-GVO ist ein beliebtes Instrument der Arbeitnehmerseite. In der Mehrzahl der Fälle in der Praxis drängt sich auf Arbeitgeberseite der Eindruck auf, dass hier nicht das reine Interesse am Schutz der eigenen Daten ausschlaggebender Beweggrund ist. Vielmehr wird der Auskunftsanspruch im Arbeitsverhältnis häufig dann geltend gemacht, wenn ohnehin Streit aufgekommen ist. Eine aktuelle Entscheidung des EuGH hat nun die bislang…
    Abonnieren Sie den KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

    Die Abmeldung ist jederzeit möglich.