Recht. Die Datenschutzgrundverordnung betrifft auch die Personalisten: Sie müssen wissen, wie sie mit den Daten scheidender Mitarbeiter und abgelehnter Bewerber umgehen. Und dass sie einen „Löschplan“ erstellen sollten.
Monatelang haben sich Unternehmen zuletzt intensiv mit der Datenschutzgrundverordnung (DSGVO) beschäftigt. Vor allem mit den Auswirkungen auf den laufenden Betrieb. Die Personalisten auch mit der Frage, was bei einem Bewerbungsgespräch oder der Einstellung von neuen Mitarbeitern zu berücksichtigen ist.
„Wichtig ist aber auch die Frage: ,Was passiert mit den Daten von Mitarbeitern, die das Unternehmen verlassen?‘“, sagt Lukas Disarò, selbstständiger Rechtsanwalt Northcote.Recht. Müssen die Daten ehemaliger Mitarbeiter gelöscht werden? Wenn ja, innerhalb welcher Fristen?
Nach der DSGVO dürfen Daten unter anderem nur auf rechtmäßige Weise, für festgelegte, eindeutige und legitime Zwecke erhoben werden sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Das sind die Grundsätze der Rechtmäßigkeit, Zweckbindung und Datenminimierung. Verstoße man gegen diese Regeln, könne dies mitunter hohe Strafen nach sich ziehen, sagt Disarò. „Auch wenn es in Österreich nun die Möglichkeit einer Verwarnung durch die Datenschutzbehörde gibt, ist das kein Freifahrtschein für den ersten Verstoß gegen die DSGVO.“ Schwerwiegende Verstöße könnten sofort mit einer Geldstrafe geahndet werden. „Ähnlich wie im Fußball, wenn bei einem schweren Foul gleich die rote Karte gezeigt wird.“
Drei, sieben oder gar 30 Jahre
Nach Ende des Dienstverhältnisses muss sich der Arbeitgeber überlegen, auf welcher rechtlichen Grundlage er Daten ausgeschiedener Mitarbeiter aufbewahren darf. Pauschal, sagt Disarò, gelte: Scheidet ein Mitarbeiter aus dem Unternehmen aus, sind die Daten zu löschen, die das Unternehmen nicht mehr benötigt und für die es keine gesetzliche Grundlage gibt. „Gesetzliche Grundlage zur weiteren Aufbewahrung von Mitarbeiterdaten ist etwa die Bundesabgabenordnung. Demnach müssen aus steuerlichen Gründen Daten bis zu sieben Jahre aufbewahrt werden.“ Aber auch hier müsse das Unternehmen überlegen, welche Daten es genau benötige. „Alle anderen Daten muss es grundsätzlich löschen, sofern es keine weiteren Aufwahrungspflichten gibt.“
Eine weitere gesetzliche Regelung ist der Anspruch des Dienstnehmers auf ein Dienstzeugnis. Der Mitarbeiter hat 30 Jahre lang Anspruch auf ein einfaches (!) Dienstzeugnis. Darin sind Daten wie Name und Art und Dauer der Tätigkeit anzuführen.
Weiters können Daten für einen möglichen Rechtsstreit üblicherweise drei Jahre nach Beendigung des Dienstverhältnisses aufbewahrt werden.
Bei abgelehnten Bewerbern können die Daten zumindest sechs Monate aufbewahrt werden, sollte der abgelehnte Kandidat Ansprüche aufgrund des Gleichbehandlungsgesetzes geltend machen. „Betroffene haben grundsätzlich das Recht auf Löschung ihrer Daten“, sagt Disarò und warnt: „Die gesetzlichen Aufbewahrungsfristen gehen diesem Recht aber vor.“
Nicht gleich alles löschen
Aufgrund dieser zahlreichen Fristen empfiehlt sich in der Praxis, einen „Löschplan“ zu erstellen. „Man kann beispielsweise, wenn man nur noch die Daten für das einfache Dienstzeugnis aufbewahren muss, ein solches Dienstzeugnis als pdf-Datei erstellen, abspeichern und die restlichen Daten, die nicht mehr aufbewahrt werden dürfen, löschen“, rät Disarò. Trotz des Regelungsdschungels sei klar, dass es nach Ende des Dienstverhältnisses noch rechtliche Grundlagen zur Datenaufbewahrung gebe und bei einem Löschungsersuchen nicht gleich sämtliche Daten zu löschen sind. (red.)
Zur Person
Lukas Disarò ist Rechtsanwalt (Northcote.Recht) in Wien und auf Arbeitsrecht für Arbeitgeber, Datenschutzrecht sowie Digitalisierungsfragen spezialisiert.
