Compliance und Datenschutz – der datenschutzrechtliche Löschungsanspruch in der betrieblichen Praxis

Datenschutzrechtliche Fragen zum sogenannten „Recht auf Vergessenwerden“ gewinnen auch für die betriebliche Praxis zunehmend an Bedeutung. So werden vom Bewerbungsprozess bis hin zum Ausscheiden aus dem Arbeitsverhältnis notwendigerweise eine Vielzahl an personenbezogenen Daten gesammelt. Wie mit dieser Datensammlung umgegangen werden muss und welche Risiken es aus der Sicht von Arbeitgebern zu beachten gilt, soll der nachfolgende Beitrag aufzeigen.

1. Der Auskunftsanspruch nach Art. 15 DS-GVO

Nach Art. 15 DS-GVO steht der von der Datenerhebung betroffenen Person ein Auskunftsrecht über die (potenzielle) Verarbeitung von personenbezogenen Daten durch den Verantwortlichen zu. In Betracht kommt ein solches Auskunftsbegehren zwar auch von Arbeitnehmern innerhalb eines bestehenden Beschäftigungsverhältnisses, praktisch bedeutsam ist ein Auskunftsverlangen jedoch im Konfliktfall – etwa bei abgelehnten Bewerbern oder gekündigten Arbeitnehmern.

Die Bearbeitung derartiger Auskunftsansprüche bedeuten mitunter einen erheblichen Aufwand. Zum praxisnahen Umgang mit solchen Auskunftsansprüchen haben wir bereits in früheren Beiträgen berichtet (siehe „Auskunft, sonst Schadensersatz!“ – Handlungsoptionen für Arbeitgeber bei Auskunftsansprüchen).

2. Der Löschungsanspruch nach Art. 17 DS-GVO

In unserer Beratungspraxis immer häufiger anzutreffen ist inzwischen auch die Geltendmachung des datenschutzrechtlichen Löschanspruchs. Der Verantwortliche, d.h. in unserem Fall der Arbeitgeber, ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der in Art. 17 Abs. 1 lit. a bis lit. f DS-GVO genannten Gründe zutrifft. Besonders praxisrelevant ist in diesem Zusammenhang die Situation, dass die Datenverarbeitung für die ursprünglich vorgesehenen Zwecke nicht mehr erforderlich ist (lit a.). Etwa nach Beendigung des Arbeitsverhältnisses.

Eine Ausnahme von der Löschungspflicht besteht, wenn die Daten weiterhin zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Dies kommt vor allem bei möglichen AGG-Ansprüchen abgelehnter Bewerber und im Kündigungsschutzprozess ausgeschiedener Arbeitnehmer in Betracht.

Auch hier sollten Arbeitgeber einige Grundsätze beachten:

• Solange ein berechtigtes Interesse an einer Aufbewahrung besteht, können Daten aufbewahrt werden. In der betrieblichen Praxis besonders relevant zur Begründung dieses Interesses sind gesetzliche Aufbewahrungspflichten. Hier sind insbesondere solche im Zusammenhang mit der Lohnabrechnung zu nennen ( 147 AO; regelmäßig 6 bzw. 10 Jahre). Auch aus der Klärung etwaiger Ansprüche von Arbeitnehmern kann sich ein berechtigtes Interesse einer Aufbewahrung ergeben. Hier ist insbesondere die allgemeine Verjährung relevant (§ 195 BGB; drei Jahre), die eine Vielzahl möglicher Ansprüche betrifft. Angefangen von Vergütungsansprüchen bis hin zum Zeugnisanspruch. Aber auch besondere Verjährungsregeln sind zu beachten, wie etwa im Zusammenhang mit einer betrieblichen Altersversorgung (§ 18a BetrAVG; 30 Jahre).
• Gemäß Art. 17 Abs. 2 DSGVO, als Ausdruck des sog. „Recht auf Vergessenwerdens“, muss der Arbeitgeber, wenn er personenbezogene Daten beispielsweise auf der Unternehmenswebsite öffentlich gemacht hat, angemessene Maßnahmen treffen, um deren Löschung auch bei anderen zu erreichen. Hierzu können Konzerngesellschaften des Arbeitgebers zählen, die er dann über die erforderliche Löschung zu informieren hat.
• Ein gesonderter Nachweis über die erfolgte Löschung ist nicht erforderlich, ausreichend ist vielmehr eine Unterrichtung der betroffenen Person. Dies ist eine erhebliche Erleichterung für Arbeitgeber.
• Insbesondere Bewerberdaten sind nach einer Absage regelmäßig zu löschen, da es keine Notwendigkeit und kein entsprechendes Einverständnis bezüglich einer längerfristigen Aufbewahrung gibt.
• Ob eine Löschung aller Daten aus dem aktiven System ausreichend ist, oder Arbeitgeber darüber hinaus verpflichtet sind sämtliche Back-ups und Sicherungskopien auf mögliche Datenerhebungen zu überprüfen, ist bislang nicht geklärt. Hier besteht ein gewisser Widerspruch, wenn einerseits die Löschung verlangt wird, der Arbeitgeber als Verantwortlicher nach der DSGVO andererseits Back-Ups als Teil der technischen und organisatorischen Maßnahmen (TOMs) vorzuhalten hat. Mit Blick auf die jeweilige Schutzrichtung von Löschung und Back-Up meinen wir, es ist vertretbar, Daten im Back-Up jedenfalls dann nicht zu löschen, wenn das Back-Up ausschließlich zur technischen Sicherung für etwaige Systemausfälle verwendet wird. Erforderlich ist dann jedoch auch, dass der Zugriff auf diese Daten entsprechend dem nur noch eingeschränkten Nutzungszweck beschränkt ist.

3. Praxistipp

Ein wesentlicher Baustein, um auf eine Geltendmachung von Löschansprüchen vorbereitet zu sein, ist ein umfassendes Löschkonzept. Ein solches stellt darüber hinaus eine fortlaufende datenschutzrechtliche Compliance sicher. Kommt es dann zu Löschanfragen, können diese mit dem Löschkonzept im Rücken in wesentlichen Unternehmensbereichen (insb. im Bereich der Personalverwaltung und Lohnbuchhaltung) zügig umgesetzt bzw. die bereits ordnungsgemäße Löschung bestätigt werden. Bei der Erstellung eines solchen Löschkonzepts sollten insbesondere gesetzliche Aufbewahrungspflichten hinreichend berücksichtigt werden.

Dieser Beitrag ist mit freundlicher Unterstützung von Sophie Heinz, wissenschaftliche Mitarbeiterin im Frankfurter Büro, entstanden.