Aufbewahrungspflichten und Datenschutz im Spannungsverhältnis

Zusammenfassung

Überblick

Das Thema Datenschutz stellt in der Arbeitswelt einen Dauerbrenner dar. Insbesondere durch die Verabschiedung der Datenschutzgrundverordnung (DSGVO) und erweiterten Pflichten nach dem Bundesdatenschutzgesetz (BDSG), muss der Arbeitgeber bei der Führung der Personalakten zahlreiche gesetzliche Vorgaben berücksichtigen. Ein wesentlicher Teilbereich dieser Vorgaben sind weitreichende spezielle und allgemeine Aufbewahrungspflichten einerseits und etwaige Löschpflichten andererseits. Diese schützen vor allem Persönlichkeitsrechte und die informationelle Selbstbestimmung der Arbeitnehmer. Diesen Löschpflichten stehen Aufbewahrungsinteressen und vertragliche oder gesetzliche Aufbewahrungspflichten des Arbeitgebers gegenüber. Es fällt Unternehmen und Personalabteilungen mithin immer schwerer, den Überblick zu behalten, welche Daten der Arbeitnehmer sie aufbewahren und welche Daten sie löschen dürfen, wenn nicht sogar müssen.

Angesichts dieses Spannungsverhältnisses zwischen Aufbewahrungs- und Löschpflichten von Arbeitnehmerdaten und drohender Sanktionen bei Verstößen gegen die gesetzlichen Vorgaben ist die Einführung eines gut strukturierten Aufbewahrungs- bzw. Löschmanagements zu empfehlen.

Gesetze, Vorschriften und Rechtsprechung

Arbeitsrecht: § 26 BDSG, § 17 BDSG, Art. 6 DSGVO, § 257 Abs. 1 HGB, § 16 ArbZG, § 21 ArbZG, § 17 MuSchG.

Lohnsteuerrecht: § 257 Abs. 1, 4 HGB und § 147 Abs. 1 Nr. 4, Abs. 3 AO, § 41 EStG, § 28f Abs. 1 SGB IV.

1 Löschpflichten im Datenschutz

Im Datenschutz maßgeblich sind vor allem die Regelungen der DSGVO sowie das BDSG. In § 26 BDSG wird dabei speziell die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses geregelt. Zu beachten ist allerdings, dass der EuGH § 26 BDSG für europarechtswidrig erklärt hat, demzufolge sind sämtliche Maßnahmen im Rahmen des Beschäftigtendatenschutzes zumindest auch auf Art. 6 DSGVO zu stützen. Eine unbegrenzte Aufbewahrung von Personalakten ist nach den darin verankerten Prinzipien nicht zulässig.^[1] Vielmehr können von der Datenverarbeitung Betroffene grundsätzlich die unverzügliche Löschung ihrer Daten verlangen und eine dauerhafte Archivierung ihrer Daten somit verhindern.^[2] Aus den Datenschutzgesetzen geht gerade keine gesetzliche Archivierungspflicht hervor.

Zu beachten ist, dass der Arbeitnehmerdatenschutz bislang nicht umfassend, sondern nur punktuell durch den nationalen Gesetzgeber geregelt wurde.^[3] Löschpflichten knüpfen daher an die allgemein gesetzlich geregelten Erlaubnistatbestände zur Datenspeicherung an. Solange die Speicherung erlaubt ist, bestehen keine Löschpflichten.

Maßgeblicher Zeitpunkt für die Bewertung der Zulässigkeit der Speicherung ist der gegenwärtige Zeitpunkt. Arbeitgeber müssen sich daher fragen, ob die Speicherung "jetzt" zulässig ist. Eine ursprünglich zulässige Speicherung kann später erst unzulässig werden und entsprechende Löschpflichten mit sich bringen.^[4]

[1] § 26 Abs. 1 Satz 1 BDSG und Art. 5 Abs. 1 Buchst. e, 17 Abs. 1 DSGVO.

[2] Nach Art. 17 Abs. 1 DSGVO und §§ 26, 35 BDSG.

[3] Willert in Weth/Herberger/Wächter/Sorge, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019, XIII, Rz. 8.

[4] Willert in Weth/Herberger/Wächter/Sorge, XIII, Rz. 8.

1.1 Zweck

Die Löschpflichten nach Art. 17 DSGVO beruhen vor allem auf den folgenden Erwägungsgründen:

"Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. […] Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen."^[1]

"Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. anderweitig verarbeitet wurden, nicht mehr benötigt werden […]."^[2]

Die gesetzlichen Löschpflichten dienen damit vor allem dem Schutz der Betroffenen (Arbeitnehmer) vor einem ewigen Recht zur Verarbeitung der jeweiligen personenbezogenen Daten.^[3]

[1] Auszüge aus Erwägungsgrund 39 der DSGVO.

[2] Auszug aus Erwägungsgrund 65 der DSGVO.

[3] Auer-Reinsdorff/Conrad, IT-R-HdB, § 33 Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung Rz. 424.

1.2 Begriffsdefinition "Löschen"

Soweit Löschpflichten bestehen, stellt sich die Frage, was überhaupt unter dem Begriff "Löschen" zu verstehen ist. In den aktuellen Gesetzen finden sich keine klaren Angaben dazu, welche Anforderungen an das "Löschen" von Daten gestellt werden.

Aus dem Wortlaut des Art. 4 Nr. 2 DSGVO geht zumindest hervor, dass keine "Vernichtung" notwendig ist, da sich beide Begriffe in den Regelungen wiederfinden und damit aus Sicht des Gesetzgebers unterschiedliche Handlungen darstellen.^[1]

Eine klare Begriffsdefinition gibt es nicht. Entscheidend ist nach hiesigem Verständnis, dass der Anspruch nach Art. 17 DSGVO nicht nur auf die konkrete Handlung "Löschen", sondern au...