Immer wieder kommt es in der Praxis vor, dass personenbezogene Daten ausgeschiedener Mitarbeiter ohne Rechtsgrundlage weiter vorgehalten werden. Dies kann zu Schadenersatzansprüchen gegenüber Arbeitgebern als Verantwortliche im Sinne der Datenschutzgrundverordnung (DSGVO) führen (Art. 82 DSGVO).
Recht auf Löschung
Die Datenschutzgrundverordnung (DSGVO) regelt in ihren Grundprinzipien (Art. 5 Abs. 1 DSGVO) u.a., dass personenbezogene Daten für festgelegte Zwecke erhoben werden müssen und auf das für die Zwecke der Verarbeitung notwendige Maß (so viel wie nötig, so wenig wie möglich) zu beschränken sind. Zudem ist sicherzustellen, dass personenbezogene Daten nicht länger als nötig gespeichert werden. Im Sinne dieser Grundsätze sollten Verantwortliche Fristen für die Datenlöschung festlegen.
Art. 17 DSGVO räumt betroffenen Personen das Recht ein, die Löschung ihrer Daten beim Verantwortlichen zu verlangen. Zugleich wird dem Verantwortlichen die Pflicht auferlegt, personenbezogene Daten proaktiv nach Erfüllung der Verarbeitungszwecke zu löschen. Verstößt nun ein Verantwortlicher gegen die Löschpflicht, so steht es den Aufsichtsbehörden zu, Bußgelder von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem, welcher der Beträge höher ist) zu verhängen.
Bei einem Löschantrag der betroffenen Person ist zu beachten, dass die personenbezogenen Daten unverzüglich, d.h. „ohne schuldhaftes Zögern“, spätestens jedoch innerhalb eines Monats nach Eingang des Löschantrags, zu löschen sind. Die Frist kann um weitere zwei Monate verlängert werden, jedoch nur soweit es aus organisatorischen Gründen nicht möglich ist, diese Frist einzuhalten (z.B. wegen der Komplexität des Antrags oder der großen Anzahl der eingegangenen Anträge).
Fordert eine betroffene Person, dass bestimmte Daten zu löschen sind, muss geprüft werden, ob Gründe vorliegen, die einer Löschung entgegenstehen. Sind die jeweiligen Daten für den Zweck, für den sie erhoben wurden oder zur Erfüllung der gesetzlichen Aufbewahrungspflicht bzw. zur Geltendmachung von Rechtsansprüchen relevant, so besteht gem. Art. 17 Abs. 3 DSGVO kein Löschanspruch.
Recht auf Vergessenwerden – beteiligte Dritte
Das Internet „vergisst nichts“. Macht eine betroffene Person ein Löschverlangen i. s. d. Art. 17 DSGVO geltend, so hat der Verantwortliche nach Art. 19 DSGVO die Löschung allen Empfängern mitzuteilen, denen die personenbezogenen Daten zuvor offengelegt wurden. Dafür muss der Verantwortliche angemessene Maßnahmen treffen, auch technischer Art, um Dritte, die diese personenbezogenen Daten verarbeiten, über den Löschantrag der betroffenen Person zu informieren. Für diese Dritten bestehen u.U. eigene Löschpflichten, so dass der Verantwortliche keine Löschpflicht bezüglich Kopien hat, die durch sie angefertigt wurden.
Die Löschpflicht im Beschäftigtenverhältnis
Die Erhebung, Verarbeitung und Nutzung personenbezogener Beschäftigtendaten ist immer zulässig, wenn sie der Zweckbestimmung des Arbeitsverhältnisses dient. Nach Beendigung des Beschäftigtenverhältnisses sind die Mitarbeiterdaten zu löschen, wenn sich keine Rechte mehr zwischen den Parteien ergeben können und die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Auch der Widerruf einer erteilten Einwilligung oder der Widerspruch gegen eine Verarbeitung im berechtigten Interesse können Grundlage für die Löschung von Beschäftigtendaten sein.
Eine spezielle Regelung zur Löschung von Mitarbeiterdaten oder eine fristmäßige Vorgabe hierzu existiert nicht. Abgesehen von gesetzlichen Aufbewahrungspflichten, wie etwa nach dem AÜG (Arbeitnehmerüberlassungsgesetz), dem ArbZG (Arbeitszeitgesetz), dem HGB (Handelsgesetzbuch), der AO (Abgabenordnung) und dem ErstG (Einkommensteuergesetz) obliegt es dem Arbeitgeber festzulegen, für welche Zwecke er die gespeicherten Beschäftigtendaten verarbeiten will. Sofern Aufbewahrungsfristen über das Arbeitsverhältnis hinaus bestehen (wie z.B. im Rahmen der betrieblichen Altersversorgungsansprüche, die gem. § 18a Betriebsrentengesetz einen Zeitraum von 30 Jahren umfassen), sollten diese betroffenen Daten gesperrt werden, so dass nur Einblick darin genommen werden kann, wenn dies zur Abwicklung des Arbeitsverhältnisses erforderlich ist. D.h., die Daten verhalten sich für den normalen Benutzer so, als ob sie schon gelöscht sind. Nur Benutzern mit besonderen Berechtigungen ist es noch möglich diese Daten zu verarbeiten.
Organisation eines Löschkonzeptes
Ein Löschkonzept sollte weitgehend automatisiert sein. Manuelles löschen kann allzu leicht vergessen werden oder die Löschung erfolgt zu früh und es gehen Daten verloren, die noch benötigt werden oder für die eine gesetzliche Aufbewahrungsfrist noch nicht abgelaufen ist.
Auch kann ein Mehraugenprinzip eingebaut werden, um sicherzustellen, dass relevante Daten nicht versehentlich gelöscht werden. Ein endgültiges Löschen muss dann zusätzlich durch einen hierzu befugten Mitarbeiter bestätigt werden.
Beschäftigtendaten befinden sich i.d.R. an vielen Stellen im Unternehmen, wie etwa in Excel-Tabellen auf Laufwerken, Desktop, Download und können dort vergessen werden. Deshalb sollte die Regel gelten, personenbezogene Beschäftigtendaten ausschließlich in den offiziellen HR-Systemen zu speichern und zu verarbeiten. Daten in Laufwerken sind nur so lange zu speichern, wie sie auch tatsächlich benötigt werden (Need-to-know-Prinzip). Danach müssen die Daten gelöscht werden. Ein Verantwortlicher für die jeweiligen Laufwerke sollte regelmäßig das Berechtigungskonzept (wer hat Zugriff auf diese Laufwerke?) und die Datenlöschung auf dem Laufwerk prüfen.
Wenn personenbezogene Daten nach Erreichung des Zweckes, für den sie erhoben wurden, nur noch zur Erfüllung gesetzlicher Aufbewahrungsfristen oder zur Geltendmachung von Rechtsansprüchen aufbewahrt werden, können sie für den Zugriff durch die meisten Mitarbeiter gesperrt werden. Damit können zweckfremde Datenverarbeitungen verhindert werden.
Um der Dokumentationspflicht gegenüber den Aufsichtsbehörden gerecht zu werden, sollte die Löschung der Daten protokolliert werden. Dies ist umso wichtiger bei einem Löschantrag durch die betroffene Person. Dabei ist zu beachten, dass im Löschprotokoll nicht wieder personenbezogene Daten erstellt werden. Die DSGVO sieht keine konkrete Aufbewahrungsfrist für diese Dokumentation vor. Das Löschprotokoll sollte jedoch 3 Jahre aufbewahrt werden. Die Frist orientiert sich an § 31 OWiG (Ordnungswidrigkeitengesetz). Darin ist geregelt, dass ein Bußgeld wegen eines Verstoßes gegen die DSGVO oder das BDSG (Bundesdatenschutzgesetz) in 3 Jahren ab Begehung der Tat verjährt ist. Eine Aufbewahrung darüber hinaus ist nur dann notwendig, wenn es durch Tätigwerden einer Aufsichtsbehörde zu einer Unterbrechung der Verjährung gekommen ist.
Verstöße gegen das Recht auf Löschung und der Anspruch auf Schadenersatz
Bei Verstößen gegen das Recht auf Löschung kann sich die betroffene Person an die zuständige Aufsichtsbehörde wenden (Art. 77 DSGVO). Diese hat gem. Art. 58 DSGVO Untersuchungsbefugnisse, die u.a. eine Untersuchung in Form von Datenschutzprüfungen umfasst. Die Aufsichtsbehörde wird auf den Verstoß hinweisen und kann Geldbußen bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem, welcher der Beträge höher ist) gegen den Verantwortliche aussprechen (Art. 83 Abs. 5 lit. b DSGVO).
Darüber hinaus hat die betroffene Person aufgrund eines immateriellen Schadens ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO.
Die Schadensersatzklagen gegen Verantwortliche gewinnen immer mehr an Relevanz, was sich auch in den Gerichten bemerkbar macht.
So hat das Arbeitsgericht Neuruppin mit Urteil vom 14.12.2021 (2 Ca 554/21) entschieden, dass eine Datenschutzverletzung vorliegt, sofern der Arbeitgeber die Daten von ausgeschiedenen Mitarbeitern nicht von seiner Webseite löscht. Dies begründe den Anspruch auf Zahlung von 1.000 EURO Schadenersatz an den ausgeschiedenen Mitarbeiter. Nach dem Arbeitsgericht Neuruppin liegt ein unzulässiger Eingriff in das Grundrecht auf informationelle Selbstbestimmung vor, wenn ein Unternehmen die Daten von ausgeschiedenen Mitarbeitern nicht von der Webseite löscht.