Obwohl der Grundsatz der Speicherbegrenzung zu den grundlegenden Prinzipien der DSGVO gehört, stellen gerade die Aufbewahrungsfristen für personenbezogene Daten von Beschäftigten einen der Bereiche dar, in denen die DSGVO von Arbeitgebern am häufigsten verletzt wird. Arbeitgeber erstellen in der Regel zwar formal eine Richtlinie zur Datenaufbewahrung (Archivierungsrichtlinie, Retention Policy u. Ä.), jedoch ohne die Einhaltung der Logik der DSGVO.
Nach der DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Erreichung des Zwecks, zu dem sie verarbeitet werden, erforderlich ist. Dieser Grundsatz ist eigenständig und unabhängig von archivrechtlichen oder arbeitsrechtlichen Pflichten des Arbeitgebers. In der Praxis kommt es jedoch häufig zu der fehlerhaften Auslegung, dass, wenn eine gesetzliche Aufbewahrungsfrist für bestimmte Dokumente besteht, es legitim sei, alle personenbezogenen Daten in der Personalakte des Beschäftigten für denselben Zeitraum aufzubewahren.
Aus Sicht der DSGVO handelt es sich jedoch um einen falschen Ansatz. Jede Kategorie personenbezogener Daten muss einen konkreten Verarbeitungszweck, eine konkrete Rechtsgrundlage und eine konkrete Aufbewahrungsdauer haben, die im Verhältnis zu diesem Zweck vertretbar ist.
Daten dürfen nur in dem Umfang und für die Dauer aufbewahrt werden, die eine konkrete Rechtsvorschrift verlangt (gemäß Art. 6 Abs. 1 lit. c DSGVO). Wenn das Gesetz die Aufbewahrung des gesamten Dokuments nicht verlangt, ist es nicht möglich, dieses „im vollständigen Wortlaut“ aufzubewahren. Die Rechtsgrundlage der Aufbewahrung von Daten zum Zweck der Erfüllung vertraglicher Pflichten (gemäß Art. 6 Abs. 1 lit. b DSGVO) entfällt in der Regel mit Beendigung des Arbeitsverhältnisses. Besteht kein anderer legitimer Zweck, muss die Aufbewahrung aus diesem konkreten Grund beendet werden. Die zeitlich sensibelste Rechtsgrundlage für die Aufbewahrung von Daten ist das berechtigte Interesse (gemäß Art. 6 Abs. 1 lit. f DSGVO). Aus diesem Grund dürfen Daten nur so lange aufbewahrt werden, wie ein realer Bedarf zum Schutz der Rechte des Arbeitgebers besteht, die Verarbeitung angemessen ist und das Interesse des Arbeitgebers gegenüber den Rechten der betroffenen Person überwiegt. Die automatische Aufbewahrung von Daten „für den Fall eines Rechtsstreits“ ohne zeitliche Begrenzung ist aus Sicht der DSGVO unhaltbar.
Der Grundsatz der Speicherbegrenzung ist eng mit dem Grundsatz der Datenminimierung verknüpft. Das bedeutet, dass der Arbeitgeber nach Beendigung des Arbeitsverhältnisses aktiv überprüfen muss, welche Verarbeitungszwecke fortbestehen, welche entfallen sind oder sich geändert haben.
Typischerweise entfällt der Verarbeitungszweck beispielsweise bei Leistungsbeurteilungen, internen Notizen, disziplinarischen Unterlagen ohne weitere rechtliche Bedeutung oder Unterlagen aus Auswahlverfahren erfolgloser Bewerber. Ist der Zweck entfallen, müssen die Daten gelöscht oder anonymisiert werden.
Die Richtlinie zur Datenaufbewahrung ist aus Sicht der DSGVO kein Selbstzweck. Sie stellt eines der wesentlichen Instrumente zum Nachweis der Einhaltung der Verarbeitungsgrundsätze, der Rechtmäßigkeit der Verarbeitung und der Rechenschaftspflicht des Verantwortlichen (Arbeitgebers) dar. Bei einer möglichen Kontrolle durch die Datenschutzbehörde oder einem internen Audit wird nicht nur das Vorhandensein einer Richtlinie oder einer Tabelle mit Fristen bewertet. Aus der Richtlinie muss eine logische und vertretbare Verbindung zwischen Zweck, Rechtsgrundlage und Aufbewahrungsdauer sowie die Einführung eines Mechanismus zur regelmäßigen Überprüfung hervorgehen. Eine Richtlinie zur Datenaufbewahrung, die lediglich als Liste von Fristen ohne DSGVO-Logik fungiert, bietet dem Arbeitgeber keinen realen Schutz.
Arbeitgeber sollten im Bereich der Datenaufbewahrung insbesondere auf die Festlegung pauschaler Fristen für die gesamte Personalakte, auf das Fehlen einer Verknüpfung mit der Rechtsgrundlage, auf die Aufbewahrung von Daten in Systemen, die von der internen Richtlinie überhaupt nicht erfasst werden, oder auch auf eine formale „Archivierung“ ohne tatsächliche Zugriffsbeschränkung achten. Das Problem besteht darin, dass die Behörde diese Mängel als Verletzung der Verarbeitungsgrundsätze und nicht nur als formalen Mangel bewertet.
Aus Sicht der DSGVO ist es daher erforderlich, sich Fragen zu stellen wie: Warum bewahren wir die Daten noch auf, auf welcher Rechtsgrundlage und ob dies noch erforderlich ist. Eine interne Richtlinie, die diese Fragen nicht beantworten kann, ist aus Sicht der DSGVO formal, risikobehaftet und unseres Erachtens unzureichend.
Kinstellar, s. r. o.
Kinstellar ist eine der führenden europäischen Wirtschaftskanzleien mit mehr als 500 Professionals in Deutschland, Europa und den USA. Mit Lösungen für komplexe und anspruchsvolle rechtliche Fragestellungen schaffen wir einen echten Mehrwert für unsere Mandanten. Das Besondere an Kinstellar ist die Verbindung einer breiten fachlichen Exzellenz mit innovativem Denken, internationaler Erfahrung und Industrieexpertise. Auf unseren Rat vertrauen börsennotierte und multinationale Konzerne, große und mittelständische Familienunternehmen ebenso wie Finanzinstitute und internationale Investoren.
Im Austausch mit unseren Mandanten entwickeln wir die passenden Antworten auf alle Fragen des Wirtschaftsrechts einschließlich Gesellschaftsrecht, Mergers & Acquisitions, Wettbewerbs- und Kartellrecht, Bank- und Kapitalmarktrecht, Unternehmensfinanzierung, IP, IT-Recht, Telekommunikationsrecht, Vertriebsrecht, Immobilienrecht, Arbeitsrecht, Insolvenzrecht, Umweltrecht und Prozessvertretung. Darüber hinaus bietet das Team in Bratislava umfassende Unterstützung bei der Strukturierung und Finanzierung von Investitionsvorhaben.
