Folge 64. Der Arbeitgeber Milan O. erfährt, dass es künftig strenge Sanktionen geben wird, wenn Daten zu lange gespeichert bleiben. Er überlegt nun, wann er welche Daten von aktuellen und früheren Arbeitnehmer sowie Bewerbern löschen muss.
Die Datenschutz-Grundverordnung („DSGVO“) ist eine EU-Verordnung, die in allen Mitgliedsstaaten unmittelbar anzuwenden ist. Sie tritt am 25. Mai 2018 in Geltung. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden.
Die DSGVO regelt die Verarbeitung personenbezogener Daten. Der Begriff „Verarbeitung“ ist umfassend definiert und schließt Vorgänge mit und ohne Hilfe automatisierter Verfahren ein. Beispielsweise fallen unter Verarbeitung personenbezogener Daten deren Erhebung und Erfassung, Speicherung, Abfragen, Übermittlung und Verbreitung aber auch ihre Löschung und Vernichtung. „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Datenverarbeitung personenbezogener Daten von Arbeitnehmern sowie von Bewerbern im Rahmen des Bewerbungsprozesses fällt unter die DSGVO.
Ein Grundsatz der DSGVO ist die Richtigkeit der Daten. Richtigkeit der Daten bedeutet, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. Unrichtige personenbezogene Daten von Arbeitnehmern und Bewerbern sind daher zu löschen oder zu berichtigen. Ein weiterer Grundsatz ist die Speicherbegrenzung. Demnach müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Aufbewahrungspflichten und Verjährungsfristen
Ein Arbeitgeber darf daher die Daten zur Erfüllung des Arbeitsvertrages speichern, so lange diese dafür erforderlich sind. Auch nach der Beendigung des Arbeitsverhältnisses kann die Speicherung der Daten durch ein berechtigtes rechtliches Interesse des Arbeitgebers gedeckt sein. Dies ist der Fall, solange gesetzliche Aufbewahrungspflichten oder offene Verjährungsfristen bestehen. Ansprüche nach dem Gleichbehandlungsgesetz kann ein Arbeitnehmer bis zu drei Jahre nach dem Verstoß geltend machen. Der Anspruch auf Ausstellung eines Dienstzeugnisses verjährt überhaupt erst 30 Jahre nach Beendigung des Arbeitsverhältnisses. Daten, die der Abgabeerhebung dienen, sind mindestens sieben Jahre aufzubewahren. Die darüberhinausgehende Speicherung muss im Einzelfall mit einem berechtigten Interesse des Arbeitgebers begründet werden können oder der Arbeitnehmer erteilt seine Zustimmung. Ein solches Interesse liegt beispielsweise vor, wenn zwischen dem Arbeitgeber und dem früheren Arbeitnehmer ein Rechtsstreit anhängig ist. In sämtlichen Fällen ist jedoch zu beachten, dass nur jene Daten gespeichert werden dürfen, die zur Erfüllung der konkreten Pflicht tatsächlich erforderlich sind.
Die elektronische Verarbeitung von Bewerberdaten, beispielsweise per E-Mail oder mittels Online-Formular, ist durch die mögliche Begründung eines Arbeitsvertrages rechtlich gedeckt. Es dürfen jedoch auch im Bewerbungsprozess nur jene personenbezogenen Daten erhoben werden, die für die Bewerbung auch tatsächlich benötigt werden. Die Speicherfrist für personenbezogene Daten muss auch hier auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Zweck der Verarbeitung von Bewerberdaten ist die Auswahl einer für die zu besetzende Stelle geeigneten Person. Wurde die Stelle besetzt, sind die Bewerberdaten daher grundsätzlich zu löschen. Der Arbeitgeber wird eine Aufbewahrung der Daten für die Dauer von sechs Monaten damit begründen können, dass die Frist für die Geltendmachung von Ansprüchen wegen Diskriminierung sechs Monate ab der Ablehnung beträgt. Möchte der Arbeitgeber Bewerberdaten länger speichern, ist dessen Einwilligung einzuholen. Im Falle von Initiativbewerbungen kommt auch eine längere Speicherdauer in Betracht, da der Bewerber hier auf kein laufendes Bewerbungsverfahren abzielt und dieser wohl zumindest schlüssig die Evidenzhaltung seiner Bewerbung wünscht.
Nach Ablauf der Fristen müssen die Daten vollständig gelöscht oder, wenn dies technisch nicht möglich ist, zumindest anonymisiert werden. Je nach Verstoß sieht die DSGVO Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes vor. Der Arbeitgeber hat die gespeicherten personenbezogenen Daten daher regelmäßig einer Überprüfung zu unterziehen oder Löschungsfristen vorzusehen.
Fazit
Milan O. muss die Daten von Arbeitnehmern sowie Bewerbern löschen, wenn sie für die Zwecke, für die sie verarbeitet werden, nicht mehr erforderlich sind und auch nicht von gesetzlichen Aufbewahrungspflichten umfasst oder für die Geltendmachung bzw. Abwehr von Rechtsansprüchen erforderlich sind. Darüber hinaus muss Milan O. die personenbezogenen Daten berichtigen oder löschen, wenn diese unrichtig sind.

Monika Sturm ist Rechtsanwältin bei der Fellner Wratzfeld & Partner Rechtsanwälte GmbH (fwp) mit Spezialisierung im Bereich Arbeitsrecht.