Die seit dem 25. Mai 2018 EU-weit unmittelbar geltende Datenschutz-Grundverordnung (DSGVO) sieht bei Verstößen Bußgelder bis zu EUR 20.000.000,- oder 4 % des weltweiten Jahresumsatzes eines Unternehmens vor. Daher sollten Unternehmen dafür Sorge tragen, Mitarbeiterdaten rechtzeitig zu löschen.
Arbeitnehmer geben eine Vielzahl von Daten preis
Im Laufe eines Arbeitslebens geben Mitarbeiter viele Informationen preis. Dies beginnt bereits im Bewerbungs- und Einstellungsverfahren – hier werden Stammdaten, d.h. Adresse, Familienstand, Schulbildung etc. sowie weitere Daten zur Verfügung gestellt. Während der Durchführung des Arbeitsverhältnisses sammelt der Arbeitgeber weitere Informationen, wie z.B. Beurteilungen, Krankheitsbescheinigungen, Urlaubsanträge und vieles mehr. Für die Entgeltabrechnungen benötigt der Arbeitgeber beispielsweise Buchungsbelege und Bescheinigungen über Einkommen und Elterngeld.
Die DSGVO findet Anwendung
Alle diese Informationen fallen als „personenbezogene Daten“ in den Anwendungsbereich der DSGVO. Hierbei ist unerheblich, ob die Informationen tatsächlich auf Dateiträgern gespeichert sind oder aber nur in Papierform abgelegt sind – es gilt die DSGVO. Nun ist es aber so, dass nach der DSGVO personenbezogene Daten nur aufbewahrt werden dürfen, wenn hierfür eine entsprechende Rechtsgrundlage zur Verfügung steht. Sobald die Speicherung von keiner entsprechenden Rechtsgrundlage mehr gedeckt ist, sind die Daten zwingend zu löschen.
Die drei wichtigsten Rechtsgrundlagen für die Speicherung von Arbeitnehmerdaten sind:
Während die erste Alternative eine Aufbewahrungspflicht begründet, bilden die anderen beiden Möglichkeiten zur Rechtfertigung längerer Aufbewahrungsfristen durch den Arbeitgeber. Es ist also zu unterscheiden zwischen (Mindest-)Aufbewahrungspflichten und (Höchst-)Aufbewahrungsfristen.
Ein Löschkonzept ist zu etablieren
Da die DSGVO erst seit kurzem in Kraft getreten ist und sich dadurch noch keine festen Routinen von Gerichten und Behörden entwickelt haben, sind bezüglich längerer Aufbewahrungsfristen derzeit wohl noch unterschiedliche Ansichten vertretbar. Unumgänglich werden jedoch die Auseinandersetzung mit diesem Thema und die Etablierung eines entsprechenden Löschkonzepts für Mitarbeiterdaten sein.
Voraussetzung für die Erstellung eines solchen Löschkonzepts ist zunächst eine Bestandsaufnahme: Welche Daten von Mitarbeitern werden derzeit auf welche Weise gespeichert? Gibt es gesetzliche Mindestaufbewahrungsfristen? Wie lange möchte der Arbeitgeber diese Daten über eine etwaige Aufbewahrungspflicht hinaus aufbewahren? Lässt sich dieser Wunsch im Einklang mit der DSGVO rechtfertigen?
Eine pauschalierte Betrachtung ist hier nicht möglich. Vielmehr muss im Einzelfall geprüft werden, wie lange die Daten für den Arbeitgeber relevant sind. Während des Arbeitsverhältnisses gelten hier sicherlich weniger restriktive Maßstäbe als nach Ende des Arbeitsverhältnisses. Jedoch wird es auch Daten geben, die bereits während des Beschäftigungsverhältnisses gelöscht werden müssen, weil sie nach mehreren Jahren schlicht jegliche Relevanz verloren haben.
In der Regel werden Daten der Mitarbeiter nach Ende des Arbeitsverhältnisses zu löschen sein – es sei denn, dass die Daten im Rahmen einer gerichtlichen Auseinandersetzung mit dem Mitarbeiter relevant werden könnten – in einem solchen Fall sollten die Daten für den Lauf der regulären Verjährungsfrist (3 Jahre) aufbewahrt werden.
Viel schwieriger als die abstrakte Definition von Löschroutinen ist häufig jedoch die konkrete Umsetzung. So werden in einer Personalakte unabhängig davon, ob diese elektronisch oder in Papierform geführt wird, die unterschiedlichsten Dokumente mit den unterschiedlichsten Löschfristen zu finden sein. Erwägungen zu den Löschroutinen sollten vor diesem Hintergrund im Idealfall bereits bei der Konzeptionierung der innerbetrieblichen Prozesse in Erwägung gezogen werden.
Sind die (bestehenden) Datensätze allerdings so strukturiert, dass sie Daten mit unterschiedlichen Löschfristen enthalten, sollte abgewogen werden: Auf der einen Seite das Risiko, dass bestimmte Daten in den Datensätzen nicht aufbewahrt werden dürfen, weil es an einer entsprechenden rechtlichen Grundlage fehlt – auf der anderen Seite kann für bestimmte Daten in den Datensätzen ein derart hohes Aufbewahrungsinteresse bestehen, dass ein solcher Verstoß in Kauf genommen werden muss. Auch kann in bestimmten Fällen eine Archivierung der Daten als pragmatischer Ansatz dienen, um die o.g. Risiken zu minimieren, ohne noch benötigte Daten vollständig löschen zu müssen.