Arbeitgeber müssen bei der Verwendung von personenbezogenen Daten viel beachten. Daran ändert auch die ab 25. Mai 2018 geltende Datenschutz-Grundverordnung der EU (kurz „DSGVO“) nichts. Die DSGVO enthält aber in Bezug auf Daten im Beschäftigungskontext zusätzlich eine sogenannte „Öffnungsklausel“. Diese ermöglicht es den nationalen Gesetzgebern, eigene Regeln bis 25. Mai 2018 zu erlassen. Erst mit Ablauf dieser Frist wird sich daher herausstellen, was sich in Bezug auf Arbeitnehmerdaten im Speziellen ändern wird.

Klar ist aber, dass für die Arbeitnehmerdatenverarbeitung auch die allgemeinen Grundsätze rechtmäßiger Datenverarbeitung gelten werden. Diese bleiben im Vergleich zur aktuellen Rechtslage im Wesentlichen unverändert. Personenbezogene Daten sind daher auch künftig insbesondere rechtmäßig, nach Treu und Glauben und transparent zu verarbeiten.

Ersetzt wird jedoch etwa die Meldung von Datenanwendungen beim behördlichen Datenverarbeitungsregister. Verantwortliche (bisher „Auftraggeber“), aber auch bloße Auftragsverarbeiter (bislang „Dienstleister“) müssen künftig stattdessen interne Verfahrensverzeichnisse führen. Diese müssen auf Anfrage der Datenschutzbehörde zur Verfügung gestellt werden. Beschäftigt ein Unternehmen weniger als 250 Mitarbeiter, besteht hingegen keine Pflicht, ein Verfahrensverzeichnis zu führen, es sei denn, dass die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, sie nicht nur gelegentlich erfolgt oder sensible beziehungsweise strafrechtsbezogene Daten einschließt.

Verantwortliche müssen, sofern möglich, im Verfahrensverzeichnis künftig auch angeben, binnen welcher Fristen die jeweiligen Datenkategorien zu löschen sind. Die zulässige Speicherdauer hängt von der Art der Daten und dem konkreten Verwendungszweck ab und kann vor allem mit gesetzlichen Verjährungs-, Aufbewahrungs- oder sonstigen Fristen begründet werden. So verjähren Entgeltforderungen im Arbeitsrecht grundsätzlich nach drei Jahren. Die Frist zur Aufbewahrung von Geschäftsbüchern und Belegen beträgt sieben Jahre. Der Anspruch auf Ausstellung eines Dienstzeugnisses verjährt hingegen erst nach Ablauf von 30 Jahren.

Auch wenn die systematische Erfassung solcher Löschfristen erst durch die DSGVO vorgeschrieben wird, gilt bereits jetzt der Grundsatz, dass Daten nur so lange aufbewahrt werden dürfen, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist. Es sollte daher die verpflichtende Erstellung interner Verfahrensverzeichnisse zum Anlass genommen werden, die bisherige Löschpraxis zu überprüfen. Dies setzt voraus, dass zunächst erhoben wird, zu welchen Zwecken entsprechende Datenkategorien überhaupt verarbeitet werden. Erst auf Basis dessen lassen sich die dazu passenden Löschfristen ermitteln.

Die DSGVO verlangt Arbeitgebern bei der Verarbeitung von Arbeitnehmerdaten somit mehr Eigenverantwortung ab. Die Zulässigkeit von Datenanwendungen, die auch sensible Daten enthalten, wird künftig nicht mehr wie bisher bereits vorab durch die Datenschutzbehörde überprüft. Zugleich erhöhen sich jedoch die Strafdrohungen für Verstöße auf bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Bis zur Anwendbarkeit der DSGVO empfiehlt es sich somit, die eigenen Datenverwendungen sorgfältig zu prüfen und Verfahrensverzeichnisse zu erstellen.

Dr. Franz Lippe ist Rechtsanwalt bei Preslmayr Rechtsanwälte und vorwiegend im Medien- und Persönlichkeitsrecht, Datenschutzrecht und Urheberrecht tätig.