Löschen von Personaldaten

Löschen von Personaldaten

Ich bekomme immer mal wieder die Frage, wie man eigentlich mit Personaldaten umgeht und insbesondere, wann man diese löschen muss. Es wird also mal Zeit für einen Blogbeitrag.

Löschen von Personaldaten ist Pflicht

Als Unternehmer musst gemäß Artikel 17 DS-GVO personenbezogene Daten löschen, wenn sie für den Zweck, für den du sie erhoben oder verarbeitet hast, nicht mehr benötigst. Darüber hinaus haben betroffene Personen das Recht, die Löschung ihrer Daten zu verlangen, wenn die Verarbeitung der Daten nicht mehr erforderlich ist oder die Verarbeitung unrechtmäßig erfolgt. Das gilt nicht nur für Mitarbeiter, sondern auch für personenbezogene Daten von Bewerbern, wenn diese gar nicht eingestellt wurden.

In vielen Fällen musst du aber gesetzliche Vorgaben beachten, die dir das Löschen von Personaldaten erst nach einer bestimmten Frist erlauben. Diese Löschfristen sind je nach Art der Daten und Zweck der Verarbeitung unterschiedlich. Du kannst also nicht alle Daten gleich behandeln, sondern musst diese je nach Vorgabe unterschiedlich behandeln. Gerade mit Blick auf arbeitsrechtliche Streitigkeiten können Daten bis zu 3 Jahre aufbewahrt werden. Daten von Bewerbern die ihr nicht eingestellt habt, können in der Regel bis zu 6 Monate aufbewahrt werden. Wenn ihr im Einzelfall ein berechtigtes Interesse an einer längeren Speicherung habt, geht es auch länger. Dafür sollte dann aber ein wichtiger Grund vorliegen. Im Anhang haben wir euch eine Liste – „Löschfristen von Personaldaten“ erstellt mit den wichtigsten Speicherfristen. Vor Ablauf dieser Fristen dürft ihr die Daten nicht löschen.

Kopien und Duplikate

Beim Löschen von Personaldaten müssen auch Kopien und Duplikate mit einbezogen werden. Dabei müssen ggf. auch Backups durchsucht werden.

Du musst sicherstellen, dass die Daten nicht in falsche Hände geraten oder durch technische Fehler oder Unfälle verloren gehen. Hierzu gehört auch, dass beim Löschen von Personaldaten sämtliche Kopien und Duplikate, die sich zum Beispiel auf Backups oder anderen Datenträgern befinden, gelöscht werden.

Dokumentation

Ein weiterer wichtiger Punkt ist die Dokumentation. Du solltest alle Entscheidungen und Maßnahmen dokumentieren, die im Zusammenhang mit Löschen von Personaldaten getroffen wurden. Hierzu gehören beispielsweise die Gründe für die Löschung oder Aufbewahrung von Daten, die Löschfristen und die eingesetzten Maßnahmen zur Sicherung und Löschung der Daten.

Rechtmäßigkeit der Löschung

Wenn du als Unternehmen Personaldaten löscht, musst du sicherstellen, dass dies auf rechtmäßige und datenschutzkonforme Weise geschieht. Achte darauf, dass keine personenbezogenen Daten versehentlich oder absichtlich erhalten bleiben. Implementiere geeignete technische und organisatorische Maßnahmen, um eine ordnungsgemäße Löschung zu gewährleisten.

Dauerhafte Speicherung wegen möglicher Vorbeschäftigung?

Mit einem Blick auf das Teilzeitbefristigungsgesetz könntest du jetzt meinen, dass du die Daten eigentlich dauerhaft speichern musst. Das Teilzeit- und Befristungsgesetz (TzBfG) erlaubt befristete Arbeitsverhältnisse nämlich nur unter bestimmten Voraussetzungen.

Wenn du keinen sachlichen Grund für eine Befristung hast, darfst du einen Mitarbeiter nur bis zur Dauer von zwei Jahren zwar befristet einstellen. § 14 Abs. 2 S. 2 TzBfG schränkt das weiter ein. Danach ist eine Befristung grundsätzlich ausgeschlossen, wenn mit demselben Arbeitgeber zuvor bereits eine Vorbeschäftigung (befristet oder unbefristet) bestanden hat. Also wenn der Mitarbeiter schon einmal für dich gearbeitet hat, darfst du ihn nicht noch einmal befristet einstellen. Selbst wenn diese Vorbeschäftigung schon etliche Jahre zurückliegt, darfst du den Mitarbeiter nicht mehr sachgrundlos befristet einstellen (Bundesverfassungsgericht – Beschluss vom 6. Juni 2018, 1 BvL 7/14).

Daraus könnte man nun schließen, dass aufgrund dieser Vorgabe sogar eine dauerhafte Aufbewahrungspflicht vorliegt. Schließlich musst du jederzeit überprüfen können, ob ein Stellenbewerber bereits einmal bei dir eingestellt war. Allerdings kannst du diese Prüfung auch anders vornehmen, z.B. durch eine Befragung des Bewerbers hinsichtlich der Vorbeschäftigung. Eine Verarbeitung der Daten ist damit nicht unbefristet notwendig. Das Interesse an der Löschung von Personaldaten überwiegt also am Interesse der unbegrenzten Verarbeitung.

Löschen von Personaldaten – Besser mit Plan

Da du je nach Datum unterschiedliche Löschfristen beachten musst, solltest du ein ausgearbeitetes Löschkonzept haben mit dem du regelmäßig die Fristen prüfst. DAs Löschkonzept bzw. der Löschplan löst den Widerspruch zwischen der Verpflichtung zur Löschung von Personaldaten und den gesetzlichen Aufbewahrungsfristen auf. Im Löschplan solltest du detailliert die Prozesse festhalten, wann welche Daten geprüft werden und wer verantwortlich ist. Außerdem solltest du den Zweck der Datenspeicherung im Unternehmen so genau wie möglich beschreiben. Denn diese Begründung ist im Zweifel ausschlaggebend, um die Erforderlichkeit der Datenspeicherung zu beurteilen. Das ganze kannst du händisch machen und mit Kalendereinträgen. Wir empfehlen aber den Einsatz einer Personalmanagement-Software (Link). Heute kümmern sich die meisten dieser um dieses Thema und sagen die automatisch, wann welche Daten gelöscht werden sollten.

Technische und organisatorische Maßnahmen

Bei der Löschung von Personaldaten solltest du auch die technischen und organisatorischen Maßnahmen berücksichtigen. Die Löschung sollte insbesondere sorgfältig und sicher erfolgen. Eine einfache Löschung über den Papierkorb reicht nicht aus. Eine gute Grundlage für das sichere Löschen gibt der Baustein 60 – Löschen und Vernichten des Standard Datenschhutzmodell.

Fristen zum Löschen von Personaldaten

Nachfolgend findet ihr eine Liste mit Fristen vor denen Personaldaten nicht gelöscht werden sollten oder dürfen:

  • Daten sofern diese für gerichtliches Verfahren relevant sein können (z.B. Schadensersatzansprüche: 3 Jahre
  • steuerrechtliche relevante Daten: 6 Jahre
  • Dokumente zur Gewinnermittlung von Betrieben relevant sind: 10 Jahre
  • Daten zur betrieblichen Altersversorgungszusagen: bis zu 30 Jahre
  • Gehaltslisten einschließlich Listen für Sonderzahlungen: 10 Jahre ( soweit sofern ein Buchungsbeleg vorhanden, § 147 AO, § 257 HGB)
  • Unterlagen, die gerichtliche Verfahren betreffen oder relevant werden können: 3 Jahre
  • Urteile und sonstige gerichtliche Titel: 30 Jahre
  • Allgemeine Personalunterlagen: 3 Jahre
  • Personaldaten in Verbindung mit § 257 HGB
  • Informationen über Arbeitsentgelte der (Unfall-)Versicherten und die geleisteten Arbeitsstunden mit Lohnnachweise: 5 Jahre (§ 165 I 1, IV 2 SGB VII).
  • Aufzeichnungen der Arbeitszeit von mehr als 8 Stunden werktags: 2 Jahre (§ 16 II ArbZG).
  • Personaldaten von Bewerbern: maximal 6 Monate
  • Daten zu Arbeitsunfähigkeit mit Entgeltauszahlung: 4 Jahre nach Ablauf des Kalenderjahres, in dem der Anspruch entstanden ist (§ 6 I AAG)
  • Daten zu Arbeitsunfähigkeit ohne Entgeltauszahlung: 1 Jahr
  • Dokumente, die Ansprüche auf Leistungen aus der betrieblichen Altersvorsorge beinhalten, sollten ganze 30 Jahre aufbewahrt werden (§ 18a BetrAVG).
  • Arbeitsverträge nach Beendigung des Arbeitsverhältnisses: 2 Jahre (§ 147 Abs. 3 Abgabenordnung).
  • Lohn- und Gehaltsabrechnungen: mindestens 6 Jahre (§ 257 HGB)

Fristen zum Löschen von Personaldaten

Was wir für dich tun können…

Mehr Beiträge findest du in unserem Blog: The Cookie Blog

Unsere Leistungen:

Update Datenschutz 2023-03
Update Datenschutz 2023-03Datenschutz
ChatGPT und Datenschutz
ChatGPT und DatenschutzAuftragsverarbeitung, DSGVO