Löschen ja – aber datenschutzkonform

Löschen ja – aber datenschutzkonform

Der Grundsatz im Datenschutz und auch in der Europäischen Datenschutzgrundverordnung im Artikel 5 Abs.1 lit. c sieht vor, dass Daten so lange wie nötig gespeichert werden dürfen. Die Notwendigkeit der Speicherung kann auf eine Vielzahl von Gründen zurückzuführen sein. In erster Linie bestehen gesetzliche Verpflichtungen wie gesetzliche Aufbewahrungspflichten, begründet vorrangig durch das Bürgerlicher Gesetzbuch (bspw. §257) oder im Steuerrecht (bspw. §147 der Abgabeordnung). Die Kaufleute von heute und die Unternehmen kennen diese zu Genüge und können sich auf Aufbewahrungsfristen zwischen sechs (6) bis zehn (10) Jahren berufen. Dies geht von A wie Abhängigkeitsberichte bis Z wie Zwischenbilanzen. In der Regel betrifft dies die für eine Betriebsprüfung relevanten Dokumente. Hinzu kommen weitere Dokumente aus dem Bereich der Personalführung wie Bewerbungsunterlagen (bis zu sechs Monate nach Absage), aber auch Dokumente der Altersvorsorge oder der Arbeitsmedizin (bis zu 40 Jahre).

Hiervon nicht unbeachtet bleiben sollten aber auch die täglichen Dokumente im Arbeitsalltag. Beispielsweise projektbezogene Dokumente, Protokolle, Entwürfe und vieles mehr. Meist verbunden mit personenbezogenen Daten, ob im Metadatum oder im Dokument selbst. Stellt sich die Frage, wo liegen diese Dokumente im Unternehmen? Natürlich vom klassischen analogen Aktenschrank hin zur Registratur und Archiv im Keller, weiter zur digitalen Dokumentenablage, in der Datenbank oder in der Cloud. Viele dienen der Dokumentation des unternehmerischen Handelns oder dokumentieren Entwicklungen, Prozesse und Strategien. Bei all diesen Dokumenten steht fest: Eigentümer und Verantwortlicher im Sinne des Datenschutzes ist das Unternehmen. Es ist zudem verantwortlich für Integrität und Authentizität gem. der Europäischen Datenschutzgrundverordnung.

Eine gegensätzliche Meinung hatte in einem Gerichtsverfahren des Landesarbeitsgerichtes Baden-Württemberg ein ehemaliger Mitarbeiter eines Reinigungsgeräteherstellers im letzten Jahr. Nachdem im Personalgespräch die Absicht klar wurde sich vom Arbeitnehmer zu trennen, löschte dieser am Folgetag 7,48 GB an Daten vom Server des Unternehmens. Sich darauf berufend, dass eine Vielzahl der Dokumente an anderer Stelle vorläge und er im Zuge der Entlassung seinen „Arbeitsplatz aufräumen wollte“. Im Laufe des Verfahrens konnte, dem gekündigten Mitarbeiter jedoch seine schädigende Absicht nachgewiesen werden.

Fazit aus dem Fall: Unerlaubtes Löschen kann arbeitsrechtliche Sanktionen nach sich ziehen. Das Unternehmen hatte ausreichende technische und organisatorische Maßnahmen zur Sicherung seiner Daten ergriffen und konnte die Daten durch die Wiederherstellung der Daten retten.

Datenschutzkonformes Löschen und Aufbewahren ist eine unternehmerische Herausforderung. Digitale Datenhaltung beinhaltet die Gefahr der „digitalen Dokumentenlawine“ im Unternehmen. Ein strukturiertes Datenmanagement regelt wo und wie Daten, nicht nur der personenbezogenen Art gespeichert, gelöscht und geändert werden. Ein gelebtes Löschkonzept im Unternehmen und ein aktuelles Verzeichnis der Verarbeitungstätigkeiten erlauben personenbezogene Datenflüsse im Unternehmen zu identifizieren. Die angemessen organisatorischen und technischen Maßnahmen wie bspw. ein angemessenes Berechtigungskonzept im Unternehmen stellen sicher, dass auch unrechtmäßige Mitarbeitertätigkeiten, wie beschrieben, nur eine „kurze“ Störung im Unternehmensalltag darstellen.

Gerne unterstützen wir Sie bei der Implementierung. Sie sehen, Datenschutz bleibt weiterhin spannend.