Aufbewahrungsfristen & BDSG: Wie lange dürfen Unternehmen Daten verwahren?
In vielen Firmen herrscht Unsicherheit darüber, was es zu Aufbewahrungsfristen und Löschfristen in der Personalverwaltung zu beachten gilt. Wie lange muss ein Unternehmen personenbezogene Daten von Mitarbeitern und Bewerbern aufbewahren und wann müssen diese gelöscht werden? Wir erläutern die wichtigsten Punkte.
Aufbewahrungsfristen von Personalakten
Wie lange Personalakten aufbewahrt werden sollen, hängt vom Inhalt der Personalakte ab. Als Faustregel gilt: Frühestens drei Jahre nach dem Ende des Arbeitsverhältnisses dürfen sie vernichtet werden. Die Personalakten führt ein Arbeitgeber über seine Angestellten und über das Arbeitsverhältnis. Die Akten umfassen personenbezogene Unterlagen, Verträge, Sozialversicherungs- sowie Steuerunterlagen. Auch nach dem Ende des Arbeitsverhältnisses können diese Inhalte nützlich sein.
Gesetzliche Aufbewahrungsfristen von personenbezogenen Daten
Erst nach drei Jahren verjähren Ansprüche nach dem Bürgerlichen Gesetzbuch (BGB). Diese umfassen zum Beispiel den Anspruch auf ein Arbeitszeugnis oder eventuelle Schadenersatzansprüche. Bei der Berechnung der Aufbewahrungsfrist ist Vorsicht geboten. Denn die Verjährungsfrist beginnt erst am Ende des Jahres, in welchem das Arbeitsverhältnis endet, egal wann der genaue Zeitpunkt der Kündigung war.
Für das Steuer- und Sozialrecht gelten andere Fristen. Die relevanten Dokumente müssen so lange aufbewahrt werden, wie es das Lohnsteuerrecht und das Sozialversicherungsrecht vorsehen. So sind beispielsweise Lohnsteuerkarten und Lohnabrechnungen nach § 41 EStG (Einkommenssteuergesetz) erst nach sechs Jahren zu vernichten.
Dokumente zur Gewinnermittlung von Betrieben müssen sogar 10 Jahre lang aufbewahrt werden. Nach dem Sozialversicherungsrecht müssen Lohnnachweise fünf Jahre aufgehoben werden, Nachweise über betriebliche Altersvorsorge müssen sechs Jahre lang verfügbar sein. Es sollte daher bei der Vernichtung von Personalakten immer geprüft werden, ob nicht die oben genannten Dokumente enthalten sind. Im Zweifel sollten die Akten lieber zu lange aufgehoben als vorzeitig vernichtet werden, um den Aufbewahrungspflichten in jedem Fall zu genügen.
Aufbewahrungsfrist von Urlaubsanträgen
Für Urlaubsanträge gibt es keine gesetzlich festgelegten Aufbewahrungsfristen. Sie gehören zu den allgemeinen Personalunterlagen und können nach Ablauf eventueller Verfallklauseln, spätestens jedoch nach dem Ablauf der Verjährungsfristen beseitigt werden. Die Verjährungsfrist beträgt nach dem BGB drei Jahre (§ 195 BGB). Aber auch im Falle von Urlaubsanträgen kann es in Ausnahmefällen ratsam sein, die entsprechenden Unterlagen für 10 Jahre aufzubewahren.
Aufbewahrungsfrist von Bewerbungsunterlagen
Auch bei eingegangenen Bewerbungsunterlagen haben Unternehmen einiges zu beachten. In der Regel werden Bewerbungen per Post oder E-Mail an das Unternehmen gesandt. Selbstverständlich enthalten sie personenbezogene Daten, daher sind sie durch das Bundesdatenschutzgesetz geschützt. Der Personalchef wird die E-Mails in seinem E-Mail-Programm zusammen mit anderen E-Mails speichern. Schriftliche Bewerbungen kommen in eine Ablage. Über mögliche Löschungsfristen existiert oft keine Regelung, daher werden die Bewerbungen meistens länger aufgehoben als nötig. Als Argument hierfür dient oft die mögliche Nachfrage des Bewerbers. Auch der Nachweis, dass bei der Stellenvergabe keine Diskriminierung vorlag, wird als Grund für die längere Speicherung angeführt.
Doch eine unbegrenzte Speicherung der Unterlagen ist nicht zulässig. Denn gemäß § 35 Bundesdatenschutzgesetz (BDSG) müssen personenbezogene Daten gelöscht werden, wenn ihre Kenntnis nicht länger für die Erfüllung ihres Zwecks erforderlich ist. Der Zweck einer Bewerbung ist die Besetzung einer bestimmten Stelle. Wenn diese Stelle durch den Bewerber nicht mehr besetzt werden kann, fällt der Zweck selbstverständlich weg. Damit besteht auch kein berechtigtes Interesse mehr an den personenbezogenen Daten.
Eventuell stehen einer Löschung jedoch gegenteilige Bestimmungen entgegen. Das können solche sein, die sich aus einem Gesetz oder aus Vereinbarungen ergeben. Doch als einzig relevant ist das Interesse der Firma an der Durchführung des ordnungsgemäßen Bewerbungsverfahrens zu werten. Hierzu gehört auch eine Entkräftung möglicher Diskriminierungsvorwürfe. Solche müsste ein abgelehnter Bewerber spätestens zwei Monate nach der Ablehnung erheben. Eine darauf folgende Klage muss binnen drei Monaten nach Erhebung der Vorwürfe erfolgen. Somit sind sechs Monate als Aufbewahrungsfrist für Bewerbungsunterlagen mehr als ausreichend.
Wie sieht ein datenschutzkonformes Löschkonzept für Firmen aus?
Zur datenschutzgerechten Umsetzung von Löschfristen empfiehlt es sich, ein gutes Löschkonzept zu entwickeln. Personenbezogene Daten dürfen nur begrenzt gespeichert werden. Haben die Daten ihren Zweck erfüllt, sind sie zu löschen.
Als Leitlinie zur Löschung kann die Norm DIN 66398 dienen. Sie enthält Empfehlungen für entsprechende Konzepte und Vorgehensweisen, mit denen die verschiedenen Datenarten gelöscht werden können. Zunächst sollten die Datenarten bestimmt werden, die es in der Aktenaufbewahrung des Unternehmens gibt. In einem nächsten Schritt werden die Datenarten in Löschklassen unterteilen, die Löschregeln für jede Klasse definiert und konkrete Umsetzungsregeln bestimmt. Ferner ist der Verantwortliche für die Umsetzung zu benennen.
Wie der TÜV Süd berichtet, hat jedoch die Hälfte der Firmen keine klare Regelung bezüglich der nicht mehr benötigten Daten. So muss befürchtet werden, dass manche Firma keinen Überblick darüber hat, welche Daten wann zu löschen sind, wo sich diese Daten befinden und wie sie aufgeteilt sind.