Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Datenschutz-Compliance: Löschkonzept für die Digitale Personalakte

In vielen Geschäftsprozessen und IT-Anwendungen werden personenbezogene Daten verwendet. Diese unterliegen den Bestimmungen des Datenschutzes, welche unter anderem fordern, die Prinzipien der Erforderlichkeit, Datenvermeidung und Datensparsamkeit im Umgang mitzubeachten und auch eine Löschung derartiger Daten zu gewährleisten.

Zu den einschlägigen datenschutzrechtlichen Vorschriften zählen etwa Gesetze oder Verordnungen (Betriebs- oder Dienstvereinbarungen), auf deren Grundlage personenbezogene Datenbestände erhoben sowie verwendet werden und gelöscht werden müssen. Daher ist im Löschkonzept festzulegen, wie die datenschutzrechtlichen Pflichten zur Löschung erfüllt werden.

Löschprotokolle als Nachweis etablieren

Löschprotokolle dienen als Nachweis der fristgerechten Löschung personenbezogener Daten. Die Protokolle der Datenlöschungen mit Personenbezug sind nach vier Jahren zu löschen. Personenbezogene Daten sollten grundsätzlich nicht nach individuellen Entscheidungen, sondern konsequent nach sinnvollen Regeln gelöscht werden. Im Löschkonzept werden folglich Regeln fixiert, wann die einzelnen Datenarten zu löschen sind. Für jede Datenart (Bewerberdaten, besonders schützenswerte Daten etc.) wird eine datenschutzkonforme Löschregel definiert. Jede Löschregel enthält eine Löschfrist und einen Startzeitpunkt, ab dem die Frist beginnt.

Löschkonzepte zur Einhaltung der gesetzlichen Vorgaben erarbeiten

Die einschlägigen datenschutzrechtlichen Vorschriften fordern in der Regel, dass Daten gelöscht werden müssen, wenn sie nicht mehr erforderlich sind. Außerdem sind für eine datenschutzgerechte Gestaltung von IT-Prozessen die Prinzipien Zweckbindung („Use, Retention and Disclosure Limitation“) und Datensparsamkeit („Data Minimization“) anzuwenden. Danach sind personenbezogene Daten so früh wie möglich zu löschen. Die gesetzlichen Vorschriften der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DS-GVO) sehen für Unternehmer verschärfte Informations- und auch Löschungspflichten vor. Unternehmen, welche diesen Verpflichtungen nicht hinreichend nachkommen, drohen hohe Haftungsrisiken. Im Rahmen eines effektiven Datenschutz-Compliance-Systems empfiehlt es sich daher, Löschkonzepte oder jedenfalls Vorgaben in den Unternehmen zu entwickeln, aus denen sich die einzuhaltenden Löschfristen für alle im Unternehmen verarbeiteten Daten ergeben. Die Entwicklung eines solchen Löschkonzepts liegt im Spannungsfeld zwischen den (teilweise auch gesetzlich) vorgegebenen Speicher- und Aufbewahrungspflichten sowie den gesetzlichen Vorgaben zur Löschung und Datensparsamkeit personenbezogener Daten.

Ständige Überprüfung von Löschungspflichten ist notwendig

Es zeigt sich, dass die Löschfristen aus der DS-GVO eng mit den Aufbewahrungsfristen aus anderen Rechtsgebieten verknüpft sind. Der datenschutzrechtlich Verantwortliche, somit der Arbeitgeber, unterliegt dabei einer laufenden Pflicht zur Überprüfung des Bestehens von Löschungspflichten. Um die bei Verstößen gegen die DS-GVO drohenden schwerwiegenden Haftungsrisiken zu minimieren, müssen sich Arbeitgeber die Löschungsverpflichtung, die damit einhergehende, kollidierende Aufbewahrungspflicht und die jeweiligen Fristen vergegenwärtigen. Hierbei ist insbesondere zu beachten, dass bei einem Nebeneinander von verschiedenen Aufbewahrungsfristen, die längste einschlägige Frist hinterlegt werden sollte.

Gesetzliche Aufbewahrungspflichten und eine Checkliste zur Aufbewahrung von Daten

Den vollständigen Artikel „Professionalisierung der Personalarbeit durch die digitale Personalakte“ von MBA Dipl.-Ing. Raschid Bouabba >>lesen Sie kostenlos hier.

Hier finden Sie einen kompakten Überblick über Aufbewahrungs- und Löschpflichten sowie eine Checkliste für die Aufbewahrung von Daten.

 

Teaserfoto: © Adobe Stock/momius

 

 

 

Passende Artikel
Online-Schulung Elektronische Personalakte

Prof. Dr. Wilhelm Mülder

13.10.2022 | Köln
696,15 €