open search
close
Datenschutz

DSGVO und Löschfristen vs. Aufbewahrungspflichten

Print Friendly, PDF & Email

In unserem Beitrag vom 13. Feburar 2019 hatten wir bereits berichtet, dass die Vorschriften der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) für Unternehmer verschärfte Informations- und auch Löschungspflichten vorsehen. Unternehmen, die diesen Verpflichtungen nicht hinreichend nachkommen, drohen hohe Haftungsrisiken. Im Rahmen eines effektiven Datenschutz-Compliance-Systems empfiehlt es sich daher, Löschkonzepte oder jedenfalls Vorgaben in den Unternehmen zu entwickeln, aus denen sich die einzuhaltenden Löschfristen für alle im Unternehmen verarbeiteten Daten ergeben. Die Entwicklung eines solchen Löschkonzeptes liegt im Spannungsfeld zwischen den (teilweise auch gesetzlich) vorgegebenen Speicher- und Aufbewahrungspflichten und den gesetzlichen Vorgaben zur Löschung und Datensparsamkeit personenbezogener Daten.

Datenverarbeitung und Löschungsverpflichtung nach der DSGVO

Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten u.a. dann rechtmäßig, wenn diese auf einer Einwilligung des Betroffenen (Art. 6 Abs. 1 a), zur Erfüllung von Vertragszwecken (Art. 6 Abs. 1 b) oder auf einer anderen Rechtsgrundlage, einem sogenannten Erlaubnistatbestand, beruht (Art. 6 Abs. 1 c). Im Arbeitsrecht stellt insbesondere § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) einen solchen Erlaubnistatbestand dar. Danach dürfen Mitarbeiterdaten verarbeitet werden, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Wichtig ist, dass auch eine rechtmäßig erfolgte Datenerhebung und -verarbeitung nicht unbegrenzt gespeichert und aufbewahrt werden darf, sondern strenge inhaltliche und vor allem zeitliche Grenzen gelten. Die Datenspeicherung ist gemäß Art. 5 DSGVO nur so lange zulässig, wie es für den vorher festgelegten, eindeutigen sowie legitimen Zweck erforderlich und angemessen ist (Grundsatz der Speicherbegrenzung und Datenminimierung). Entfällt der Zweck, besteht nach Art. 17 DSGVO die Verpflichtung des datenschutzrechtlich Verantwortlichen – in dem Fall der Arbeitgeber – zur Löschung des Datensatzes.

Ausnahmen der Verpflichtung zur Datenlöschung

Eine wichtige Ausnahme von der Löschpflicht besteht jedoch, wenn die weitere Verarbeitung und Speicherung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, Art. 17 Abs. 3 b). Für Beschäftigungsverhältnisse von praktischer Relevanz sind hierbei die Aufbewahrungs- und Dokumentationspflichten nach den Vorschriften des deutschen Arbeits-, Handels-, Sozialversicherungs- und Steuerrechts. Daneben kann gemäß Art. 17 abs. 3 e auch ein eigenes, berechtigtes Interesse (sog. Beweissicherungsinteresse) des Verantwortlichen an einer längeren Aufbewahrung bestehen (z.B. bei potentiellen Rechtsstreitigkeiten).

Aufbewahrungsfristen mit Bezug zum Arbeitsrecht

Im Arbeitsrecht reichen Aufbewahrungsfristen von etwa zwei Monaten bis zu 30 Jahren. Sie lassen sich aus unterschiedlichen Gründen herleiten (Spezialgesetz, BV, TV, Arbeitsverträge) und können auf verschiedene Weisen dargestellt und kategorisiert werden, wie z.B. anhand der Dateninhalte. Im Weiteren sollen nach aufsteigender Dauer wichtige praxisrelevante Aufbewahrungsfristen, die einem Unternehmer im Arbeitsrecht begegnen, dargestellt werden.

  • Aufbewahrungsfrist von (mindestens) sechs Monaten

Die Aufbewahrung von Bewerbungsunterlagen abgelehnter Bewerber ist für mindestens sechs Monate zulässig. Die Gesamtfrist setzt sich dabei aus der zweimonatigen Ausschlussfrist des § 15 Abs. 4 AGG, der dreimonatiges Klagefrist des § 61b Abs. 1 ArbGG und einem Sicherheitszuschlag von einem Monat zusammen.

  • Aufbewahrungsfrist von (mindestens) zwei Jahren

Geht es um die Möglichkeit einer Aufsichtsbehörde, die Einhaltung von Schutzvorschriften bezüglich bestimmter Arbeitnehmergruppen zu überprüfen oder eine Erlaubnis zu erteilen, verlängern, aufzuheben oder zu versagen, sind zumeist Aufbewahrungspflichten mit einer Mindestdauer von zwei Jahren vorgesehen.

Beispielhaft hierfür ist § 16 Abs. 2 Arbeitszeitgesetz (ArbZG), wonach der Arbeitgeber verpflichtet ist, die über die werktägliche Arbeitszeit des § 3 S. 1 hinausgehende Arbeitszeit der Arbeitnehmer aufzuzeichnen sowie ein Verzeichnis der Arbeitnehmer zu führen, die in eine Verlängerung der Arbeitszeit gemäß § 7 Abs. 7 eingewilligt haben und für mindestens zwei Jahre aufzubewahren.

  • Aufbewahrungsfrist von (mindestens) drei Jahren

Der wichtigste Fall für die Praxis besteht für eine Frist von drei Jahren nach der regelmäßigen Verjährungsfrist der §§ 195, 199 Bürgerliches Gesetzbuch (BGB). So müssen die Bewerbungsunterlagen eines erfolgreichen, folglich eingestellten Bewerbers bis zu drei Jahre nach Schluss des Kalenderjahres, in dem das Arbeitsverhältnis beendet wurde, aufbewahrt werden. Grund hierfür ist die Verjährung des Zeugnisanspruches gemäß § 109 Gewerbeordnung (GewO) nach der allgemeinen Frist von drei Jahren.

  • Aufbewahrungsfrist von (mindestens) sechs Jahren

Eine Aufbewahrungspflicht von mindestens sechs Jahren folgt aus dem Steuer- und Sozialversicherungsrecht. Nach § 147 Abs. 1 Nr. 2, 3 und 5 Abgabenordnung (AO) gilt diese Aufbewahrungsfrist für Handels- und Geschäftspapiere, wie Rechnungen, Lieferscheine, Kostenvoranschläge und Bewirtungsbelege und sonstige steuerrelevanten Unterlagen, beginnend mit Schluss des Kalenderjahres, in dem sie entstanden sind.

  • Aufbewahrungsfrist von zehn Jahren

Aufbewahrungsfristen von zehnjähriger Dauer und länger ergeben sich insbesondere aus dem Steuer- und Handelsrecht. Dies betrifft nach § 147 Abs. 1 Nr. 1, 4 und 4a AO Bücher, Jahresabschlüsse, die Eröffnungsbilanz und die zu ihrem Verständnis erforderlichen Unterlagen, beginnend mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht worden oder der Buchungsbeleg, wie Lohnabrechnung, Bankauszug oder Betriebskostenabrechnung, entstanden ist.

Praxishinweis

Es zeigt sich, dass die Löschfristen aus der DSGVO eng mit den Aufbewahrungsfristen aus anderen Rechtsgebieten verknüpft sind. Der datenschutzrechtlich Verantwortliche, somit der Arbeitgeber, unterliegt dabei einer laufenden Pflicht zur Überprüfung des Bestehens von Löschungspflichten. Um die bei Verstößen gegen die DSGVO drohenden schwerwiegenden Haftungsrisiken zu minimieren, müssen sich Arbeitgeber die Löschungsverpflichtung, die damit einhergehende, kollidierende Aufbewahrungspflicht und die jeweiligen Fristen vergegenwärtigen. Hierbei ist insbesondere zu beachten, dass sich bei einem Nebeneinander von verschiedenen Aufbewahrungsfristen, die längst einschlägige Frist hinterlegt werden sollte.

Lisa Lösch

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Counsel
Lisa Lösch berät und vertritt nationale und internationale Unternehmen in sämtlichen Bereichen des individuellen und kollektiven Arbeitsrechts. Ein besonderer Schwerpunkt ihrer Tätigkeit liegt in der laufenden arbeitsrechtlichen Beratung von Unternehmen sowie der Betreuung von Kündigungsschutzstreitigkeiten.
Verwandte Beiträge
Compliance Datenschutz Digitalisierung Neueste Beiträge

Compliance und Datenschutz – der datenschutzrechtliche Löschungsanspruch in der betrieblichen Praxis

Datenschutzrechtliche Fragen zum sogenannten „Recht auf Vergessenwerden“ gewinnen auch für die betriebliche Praxis zunehmend an Bedeutung. So werden vom Bewerbungsprozess bis hin zum Ausscheiden aus dem Arbeitsverhältnis notwendigerweise eine Vielzahl an personenbezogenen Daten gesammelt. Wie mit dieser Datensammlung umgegangen werden muss und welche Risiken es aus der Sicht von Arbeitgebern zu beachten gilt, soll der nachfolgende Beitrag aufzeigen. 1. Der Auskunftsanspruch nach Art. 15 DS-GVO…
Datenschutz Fair Pay & ESG Neueste Beiträge

Pay Transparency vs. Privatsphäre: Entgelttransparenz datenschutzkonform umsetzen

Die ab Juni 2026 in nationales Recht umzusetzende EU-Entgelttransparenzrichtlinie (ETRL) bringt umfangreiche Offenlegungspflichten in Bezug auf Gehaltsinformationen mit sich. Gleichzeitig müssen Arbeitgeber jedoch sicherstellen, dass sie die geltenden datenschutzrechtlichen Vorgaben einhalten und die Privatsphäre ihrer Beschäftigten wahren. Dieser Beitrag skizziert die wesentlichen Konfliktpunkte zwischen Transparenzanforderungen und Datenschutz sowie mögliche Lösungsansätze, um beide Interessen unter einen Hut zu bringen. Ausgangslage: Warum Datenschutz im Kontext der Entgelttransparenz?…
Datenschutz Individualarbeitsrecht Neueste Beiträge Prozessrecht

Detektiveinsatz bei zweifelhafter AU: Was müssen Arbeitgeber beachten?

Der Krankenstand in Deutschland erreicht laut Medienberichten immer neue Höchststände. Die Entgeltfortzahlung im Krankheitsfall stellt für viele Arbeitgeber daher einen ernst zu nehmenden Kostenfaktor dar. Im Falle von verdächtigen Arbeitsunfähigkeitsbescheinigungen stellen sich Arbeitgeber die Frage, ob es Reaktionsmöglichkeiten gibt oder ihnen vor allem der Datenschutz einen Strich durch die Rechnung macht. Auch der Einsatz von Privatdetektiven wird in diesem Zusammenhang in Erwägung gezogen, wobei die…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.