Aufbewahrungspflichten und Datenschutz im Spannungsverhä ... / 1 Löschpflichten im Datenschutz

Im Datenschutz maßgeblich sind vor allem die Regelungen der DSGVO sowie das BDSG. In § 26 BDSG wird dabei speziell die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses geregelt. Zu beachten ist allerdings, dass der EuGH § 26 BDSG für europarechtswidrig erklärt hat, demzufolge sind sämtliche Maßnahmen im Rahmen des Beschäftigtendatenschutzes zumindest auch auf Art. 6 DSGVO zu stützen. Eine unbegrenzte Aufbewahrung von Personalakten ist nach den darin verankerten Prinzipien nicht zulässig.^[1] Vielmehr können von der Datenverarbeitung Betroffene grundsätzlich die unverzügliche Löschung ihrer Daten verlangen und eine dauerhafte Archivierung ihrer Daten somit verhindern.^[2] Aus den Datenschutzgesetzen geht gerade keine gesetzliche Archivierungspflicht hervor.

Zu beachten ist, dass der Arbeitnehmerdatenschutz bislang nicht umfassend, sondern nur punktuell durch den nationalen Gesetzgeber geregelt wurde.^[3] Löschpflichten knüpfen daher an die allgemein gesetzlich geregelten Erlaubnistatbestände zur Datenspeicherung an. Solange die Speicherung erlaubt ist, bestehen keine Löschpflichten.

Maßgeblicher Zeitpunkt für die Bewertung der Zulässigkeit der Speicherung ist der gegenwärtige Zeitpunkt. Arbeitgeber müssen sich daher fragen, ob die Speicherung "jetzt" zulässig ist. Eine ursprünglich zulässige Speicherung kann später erst unzulässig werden und entsprechende Löschpflichten mit sich bringen.^[4]

[1] § 26 Abs. 1 Satz 1 BDSG und Art. 5 Abs. 1 Buchst. e, 17 Abs. 1 DSGVO.

[2] Nach Art. 17 Abs. 1 DSGVO und §§ 26, 35 BDSG.

[3] Willert in Weth/Herberger/Wächter/Sorge, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019, XIII, Rz. 8.

[4] Willert in Weth/Herberger/Wächter/Sorge, XIII, Rz. 8.

1.1 Zweck

Die Löschpflichten nach Art. 17 DSGVO beruhen vor allem auf den folgenden Erwägungsgründen:

"Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. […] Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen."^[1]

"Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. anderweitig verarbeitet wurden, nicht mehr benötigt werden […]."^[2]

Die gesetzlichen Löschpflichten dienen damit vor allem dem Schutz der Betroffenen (Arbeitnehmer) vor einem ewigen Recht zur Verarbeitung der jeweiligen personenbezogenen Daten.^[3]

[1] Auszüge aus Erwägungsgrund 39 der DSGVO.

[2] Auszug aus Erwägungsgrund 65 der DSGVO.

[3] Auer-Reinsdorff/Conrad, IT-R-HdB, § 33 Compliance, IT-Sicherheit, Ordnungsmäßigkeit der Datenverarbeitung Rz. 424.

1.2 Begriffsdefinition "Löschen"

Soweit Löschpflichten bestehen, stellt sich die Frage, was überhaupt unter dem Begriff "Löschen" zu verstehen ist. In den aktuellen Gesetzen finden sich keine klaren Angaben dazu, welche Anforderungen an das "Löschen" von Daten gestellt werden.

Aus dem Wortlaut des Art. 4 Nr. 2 DSGVO geht zumindest hervor, dass keine "Vernichtung" notwendig ist, da sich beide Begriffe in den Regelungen wiederfinden und damit aus Sicht des Gesetzgebers unterschiedliche Handlungen darstellen.^[1]

Eine klare Begriffsdefinition gibt es nicht. Entscheidend ist nach hiesigem Verständnis, dass der Anspruch nach Art. 17 DSGVO nicht nur auf die konkrete Handlung "Löschen", sondern auf einen Handlungserfolg gerichtet ist. D.h. auf die Daten muss zumindest derart eingewirkt werden, dass eine in den Daten verkörperte Information nach deren Löschung nicht mehr gewonnen werden kann. In Betracht kommt dazu auch die bloße Löschung des Personenbezugs und nicht der gesamten Daten. Dies dürfte unter Datenschutzgesichtspunkten ausreichend sein.^[2]

Merke: Das Löschen beinhaltet alle notwendigen Vorkehrungen, die der Verantwortliche (der Arbeitgeber) treffen muss, um die Daten für den gewöhnlichen Gebrauch (auch für Dritte) unbenutzbar zu machen.^[3]

[1] Auer-Reinsdorff/Conrad, IT-R-HdB, § 33, Rz. 420; vgl. Willert in Weth/Herberger/Wächter/Sorge, XIII, Rzn. 5 ff.

[2] Auer-Reinsdorff/Conrad, IT-R-HdB, § 33, Rz. 420.

[3] Willert in Weth/Herberger/Wächter/Sorge, XIII, Rz. 5.

1.3 Einzelne Löschpflichten

1.3.1 DSGVO

In Art. 5 Abs. 1b DSGVO ist das sogenannte Prinzip der Zweckbindung verankert. Dementsprechend ergibt sich aus Art. 17 Abs. 1 DSGVO ein Recht auf "unverzügliche" Löschung der Daten, wenn die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr vorliegen. Zweckfortfall ist damit eine erste wichtige Fallgruppe, in denen Löschpflichten bestehen. Ein klassisches Beispiel hierfür ist die Beendigung des Arbeitsverhältnisses, da damit ein wichtiger Zweck für die Datenerhebung und -verarbeitung wegfällt.^[1]

Merke: Nach Beendigung des Beschäftigungsverhältnisses sind die Daten des ehemaligen Beschäftigten dann zu löschen, wenn ihre Speicherung nicht mehr erf...