Löschpflichten nach der DSGVO

Welche Daten

Die meisten Beschäftigten haben täglich mit personenbezogenen Daten zu tun. Kein Wunder, dass sich im Laufe eines Beschäftigtenverhältnisses eine Vielzahl von personenbezogenen Daten ansammeln. Angefangen bei den Bewerbungsunterlagen über Gehaltsabrechnungen und Personalgespräche, bis hin zu E-Mails und Zeugnissen.

Der Verantwortliche muss sich diesbezüglich an datenschutzrechtliche Regelungen und Grundsätze halten, wie er mit personenbezogenen Daten datenschutzkonform umgeht, sie sicher aufbewahrt und unbefugten Personen keine Kenntnis ermöglicht.

Grundsatz

Die Grundsätze des Art. 4 DSGVO spielen im Umgang mit personenbezogenen Daten eine wichtige Rolle. Das Löschen von personenbezogenen Daten muss beispielsweise passieren, wenn die Daten für die Zwecke nicht mehr notwendig sind, für die sie erhoben oder auf sonstige Weise verarbeitet wurden. Ist der Zweck weg, müssen auch die Daten weg, gemäß Art. 17 Abs. 1 lit. a DSGVO. Bei Beschäftigten kann dies der Fall sein, wenn sie das Unternehmen verlassen.

Ausnahmen

Verlässt ein Mitarbeiter das Unternehmen, darf der Verantwortliche keinesfalls die Daten einfach löschen, sondern muss dabei auch den Art. 17 Abs. 3 DSGVO beachten. Denn man muss bedenken, der Löschpflicht steht eine Reihe von Regelungen gegenüber, die für bestimmte Daten eine Aufbewahrungsfrist vorsehen. Es könnte sein, dass Aufbewahrungsfristen oder andere rechtliche Pflichten einer Löschung widersprechen. Personenbezogene Daten dürfen auch weiterhin verwendet werden, wenn dies beispielsweise zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Spezifische Regelungen

Neben gesetzlichen Regelungen können aber auch im Unternehmen spezielle Aufbewahrungspflichten oder Löschpflichten bestehen. Diese speziellen Betriebsvereinbarungen müssen die Mitarbeiter bei der Entscheidung über das Aufbewahren oder Löschen mitberücksichtigen.

Aktuell geht man davon aus, dass eine betriebliche Regelung nicht wesentlich von den Vorgaben der DSGVO abweichen darf.

Das bedeutet, wird in einer Betriebsvereinbarung geregelt, dass personenbezogene Daten bis zu einer unbestimmten Zeit gespeichert werden, dürfte diese Regelung unwirksam sein. Hier kämen dann die allgemeinen Regelungen aus Art. 17 DSGVO zur Anwendung.

 

Sollten Sie bisher noch keinen Datenschutzbeauftragten benannt haben und hier Ihrerseits Handlungsbedarf bestehen, so ist die Konzept 17 GmbH Ihr kompetenter Ansprechpartner als externer Datenschutzbeauftragter.

1. September 2021