In unserem Beitrag vom 13. Feburar 2019 hatten wir bereits berichtet, dass die Vorschriften der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) für Unternehmer verschärfte Informations- und auch Löschungspflichten vorsehen. Unternehmen, die diesen Verpflichtungen nicht hinreichend nachkommen, drohen hohe Haftungsrisiken. Im Rahmen eines effektiven Datenschutz-Compliance-Systems empfiehlt es sich daher, Löschkonzepte oder jedenfalls Vorgaben in den Unternehmen zu entwickeln, aus denen sich die einzuhaltenden Löschfristen für alle im Unternehmen verarbeiteten Daten ergeben. Die Entwicklung eines solchen Löschkonzeptes liegt im Spannungsfeld zwischen den (teilweise auch gesetzlich) vorgegebenen Speicher- und Aufbewahrungspflichten und den gesetzlichen Vorgaben zur Löschung und Datensparsamkeit personenbezogener Daten.
Datenverarbeitung und Löschungsverpflichtung nach der DSGVO
Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten u.a. dann rechtmäßig, wenn diese auf einer Einwilligung des Betroffenen (Art. 6 Abs. 1 a), zur Erfüllung von Vertragszwecken (Art. 6 Abs. 1 b) oder auf einer anderen Rechtsgrundlage, einem sogenannten Erlaubnistatbestand, beruht (Art. 6 Abs. 1 c). Im Arbeitsrecht stellt insbesondere § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) einen solchen Erlaubnistatbestand dar. Danach dürfen Mitarbeiterdaten verarbeitet werden, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist.
Wichtig ist, dass auch eine rechtmäßig erfolgte Datenerhebung und -verarbeitung nicht unbegrenzt gespeichert und aufbewahrt werden darf, sondern strenge inhaltliche und vor allem zeitliche Grenzen gelten. Die Datenspeicherung ist gemäß Art. 5 DSGVO nur so lange zulässig, wie es für den vorher festgelegten, eindeutigen sowie legitimen Zweck erforderlich und angemessen ist (Grundsatz der Speicherbegrenzung und Datenminimierung). Entfällt der Zweck, besteht nach Art. 17 DSGVO die Verpflichtung des datenschutzrechtlich Verantwortlichen – in dem Fall der Arbeitgeber – zur Löschung des Datensatzes.
Ausnahmen der Verpflichtung zur Datenlöschung
Eine wichtige Ausnahme von der Löschpflicht besteht jedoch, wenn die weitere Verarbeitung und Speicherung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, Art. 17 Abs. 3 b). Für Beschäftigungsverhältnisse von praktischer Relevanz sind hierbei die Aufbewahrungs- und Dokumentationspflichten nach den Vorschriften des deutschen Arbeits-, Handels-, Sozialversicherungs- und Steuerrechts. Daneben kann gemäß Art. 17 abs. 3 e auch ein eigenes, berechtigtes Interesse (sog. Beweissicherungsinteresse) des Verantwortlichen an einer längeren Aufbewahrung bestehen (z.B. bei potentiellen Rechtsstreitigkeiten).
Aufbewahrungsfristen mit Bezug zum Arbeitsrecht
Im Arbeitsrecht reichen Aufbewahrungsfristen von etwa zwei Monaten bis zu 30 Jahren. Sie lassen sich aus unterschiedlichen Gründen herleiten (Spezialgesetz, BV, TV, Arbeitsverträge) und können auf verschiedene Weisen dargestellt und kategorisiert werden, wie z.B. anhand der Dateninhalte. Im Weiteren sollen nach aufsteigender Dauer wichtige praxisrelevante Aufbewahrungsfristen, die einem Unternehmer im Arbeitsrecht begegnen, dargestellt werden.
- Aufbewahrungsfrist von (mindestens) sechs Monaten
Die Aufbewahrung von Bewerbungsunterlagen abgelehnter Bewerber ist für mindestens sechs Monate zulässig. Die Gesamtfrist setzt sich dabei aus der zweimonatigen Ausschlussfrist des § 15 Abs. 4 AGG, der dreimonatiges Klagefrist des § 61b Abs. 1 ArbGG und einem Sicherheitszuschlag von einem Monat zusammen.
- Aufbewahrungsfrist von (mindestens) zwei Jahren
Geht es um die Möglichkeit einer Aufsichtsbehörde, die Einhaltung von Schutzvorschriften bezüglich bestimmter Arbeitnehmergruppen zu überprüfen oder eine Erlaubnis zu erteilen, verlängern, aufzuheben oder zu versagen, sind zumeist Aufbewahrungspflichten mit einer Mindestdauer von zwei Jahren vorgesehen.
Beispielhaft hierfür ist § 16 Abs. 2 Arbeitszeitgesetz (ArbZG), wonach der Arbeitgeber verpflichtet ist, die über die werktägliche Arbeitszeit des § 3 S. 1 hinausgehende Arbeitszeit der Arbeitnehmer aufzuzeichnen sowie ein Verzeichnis der Arbeitnehmer zu führen, die in eine Verlängerung der Arbeitszeit gemäß § 7 Abs. 7 eingewilligt haben und für mindestens zwei Jahre aufzubewahren.
- Aufbewahrungsfrist von (mindestens) drei Jahren
Der wichtigste Fall für die Praxis besteht für eine Frist von drei Jahren nach der regelmäßigen Verjährungsfrist der §§ 195, 199 Bürgerliches Gesetzbuch (BGB). So müssen die Bewerbungsunterlagen eines erfolgreichen, folglich eingestellten Bewerbers bis zu drei Jahre nach Schluss des Kalenderjahres, in dem das Arbeitsverhältnis beendet wurde, aufbewahrt werden. Grund hierfür ist die Verjährung des Zeugnisanspruches gemäß § 109 Gewerbeordnung (GewO) nach der allgemeinen Frist von drei Jahren.
- Aufbewahrungsfrist von (mindestens) sechs Jahren
Eine Aufbewahrungspflicht von mindestens sechs Jahren folgt aus dem Steuer- und Sozialversicherungsrecht. Nach § 147 Abs. 1 Nr. 2, 3 und 5 Abgabenordnung (AO) gilt diese Aufbewahrungsfrist für Handels- und Geschäftspapiere, wie Rechnungen, Lieferscheine, Kostenvoranschläge und Bewirtungsbelege und sonstige steuerrelevanten Unterlagen, beginnend mit Schluss des Kalenderjahres, in dem sie entstanden sind.
- Aufbewahrungsfrist von zehn Jahren
Aufbewahrungsfristen von zehnjähriger Dauer und länger ergeben sich insbesondere aus dem Steuer- und Handelsrecht. Dies betrifft nach § 147 Abs. 1 Nr. 1, 4 und 4a AO Bücher, Jahresabschlüsse, die Eröffnungsbilanz und die zu ihrem Verständnis erforderlichen Unterlagen, beginnend mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung gemacht worden oder der Buchungsbeleg, wie Lohnabrechnung, Bankauszug oder Betriebskostenabrechnung, entstanden ist.
Praxishinweis
Es zeigt sich, dass die Löschfristen aus der DSGVO eng mit den Aufbewahrungsfristen aus anderen Rechtsgebieten verknüpft sind. Der datenschutzrechtlich Verantwortliche, somit der Arbeitgeber, unterliegt dabei einer laufenden Pflicht zur Überprüfung des Bestehens von Löschungspflichten. Um die bei Verstößen gegen die DSGVO drohenden schwerwiegenden Haftungsrisiken zu minimieren, müssen sich Arbeitgeber die Löschungsverpflichtung, die damit einhergehende, kollidierende Aufbewahrungspflicht und die jeweiligen Fristen vergegenwärtigen. Hierbei ist insbesondere zu beachten, dass sich bei einem Nebeneinander von verschiedenen Aufbewahrungsfristen, die längst einschlägige Frist hinterlegt werden sollte.