• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • #ArbeitsRechtKurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • Aktuelles Urteil des Bundesarbeitsgerichts zur Betriebsratsvergütung
    Quelle : VAHLE KÜHNEL BECKER (Blog: Arbeitsrecht FreshUp) 25.03.2023 - 12:25
  • LAG Nürnberg: „flinke Frauenhände gesucht“ – männlicher Bewerber diskriminiert
    Quelle : Beck-Blog 24.03.2023 - 14:57 Von stoffels
  • Betriebsratsvergütung nach dem Volkswagen-Urteil
    Quelle : Allen & Overy 22.03.2023 - 12:27
  • Eckpunktepapier des BMBF zur Reform des Wissenschaftszeitvertragsgesetzes
    Quelle : Beck-Blog 22.03.2023 - 09:12 Von stoffels
  • Internal Investigations – und ihre Grenzen
    Quelle : Küttner Feed 22.03.2023 - 08:00
  • VG Gießen: Polizeianwärter muss Ausbildungsbezüge nicht zurückzahlen
    Quelle : Beck-Blog 20.03.2023 - 12:39 Von stoffels
  • Hohe Beitragsnachforderung wegen Schwarzarbeit
    Quelle : Beck-Blog 18.03.2023 - 08:10 Von stoffels
  • Fehlender Arbeitsantritt als sozialwidriges Verhalten?
    Quelle : Beck-Blog 16.03.2023 - 08:48 Von stoffels
  • Betriebsratsvergütung – wie geht’s richtig?
    Quelle : Küttner Feed 15.03.2023 - 14:50
  • Arbeitsrechtliche Herausforderungen bei Arbeitnehmerbefragungen im Rahmen von internen Untersuchungen
    Quelle : Allen & Overy 15.03.2023 - 10:00
  • Sozialplan: Neues zu Höchstbetragsregelungen vom BAG – Vorsicht bei Zuschlägen für Schwerbehinderte/Gleichgestellte
    Quelle : CMSHS 15.03.2023 - 06:48 Von Tobias Polloczek
  • Die unwirksame Kündigung – „Woran hat et jelegen“?
    Quelle : ADVANT Beiten 13.03.2023 - 13:00 Von Dr. Erik Schmid
  • OVG Münster: Keine Lohn-Entschädigung für Fleischindustrie
    Quelle : Beck-Blog 13.03.2023 - 12:39 Von stoffels
  • Hessisches LSG: Der Weg zum Getränkeautomaten ist unfallversichert
    Quelle : Beck-Blog 10.03.2023 - 12:39 Von stoffels
  • Algorithmisches Management – Arbeitsanweisungen durch künstliche Intelligenz
    Quelle : CMSHS 10.03.2023 - 06:41 Von Patricia Jares
  • Equal Pay in Deutschland im Jahr 2023
    Quelle : Allen & Overy 08.03.2023 - 11:50
  • Äußerungen zum Equal Pay Day (7.3.) und zum Internationalen Frauentag (8.3.)
    Quelle : Beck-Blog 08.03.2023 - 09:56 Von stoffels
  • Arbeitsrechtliche Aspekte der Energiepreisbremsen
    Quelle : CMSHS 07.03.2023 - 12:01 Von Martin Lützeler
  • LAG Niedersachsen zur Diskriminierung einer nicht-binären Person bei der Besetzung einer Stelle als einer Gleichstellungsbeauftragten
    Quelle : Beck-Blog 06.03.2023 - 10:54 Von stoffels
  • Streitthema BEM: Was schief läuft – und wie es besser geht
    Quelle : Beck-Blog 06.03.2023 - 09:19 Von Gastbeitrag

Datenschutzgrundverordnung: Die neuen Löschpflichten richtig umsetzen

  • 30. August 2017 |
  • Tim Wybitul

Bis Mai 2018 müssen Unternehmen die EU-Datenschutz-Grundverordnung (DSGVO) umsetzen. Dazu gehören auch datenschutzkonforme Konzepte zur Löschung personenbezogener Daten.

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Bis Mai 2018 müssen Unternehmen die EU-Datenschutz-Grundverordnung (DSGVO) umsetzen. Datenschutzkonforme Konzepte zur Löschung personenbezogener Daten sind ein wesentlicher Bestandteil eines effektiven Datenschutz Management Systems (DSMS). Die Voraussetzungen, unter denen Unternehmen personenbezogene Daten löschen müssen, sind in Art. 17 DSGVO geregelt. Eine solche Löschpflicht kann etwa dann entstehen, wenn die betroffene Person dies verlangt, sie eine zuvor abgegebene Einwilligung widerruft oder Widerspruch gegen die weitere Verarbeitung ihrer Daten einlegt. In der Praxis stellt dies die Wirtschaft teilweise vor erhebliche Herausforderungen. Zwar gab es eine ähnliche Pflicht zum Löschen von Daten bereits nach dem bislang geltenden Datenschutzrecht. Diese Anforderung haben aber nur wenige Unternehmen umfassend umgesetzt. Aufgrund der erheblich gestiegenen Risiken von Bußgeldern und Schadensersatzansprüchen nach der DSGVO besteht hier für viele Firmen nun erheblicher Handlungsbedarf.

Wann muss man personenbezogene Daten löschen?

Unternehmen müssen personenbezogene Daten etwa dann löschen, wenn sie für die Zwecke, für die erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Der Zweck einer Datenverarbeitung entscheidet also auf über die zulässige Dauer der Speicherung der verarbeiteten Daten. Dieser so genannte Zweckbindungsgrundsatz ist eines der wesentlichen Prinzipien des europäischen Datenschutzes. Unternehmen dürfen personenbezogene Daten nur für vorher festgelegte, eindeutige und legitime Zwecke erheben. Zudem dürfen Sie diese Daten nicht in einer mit den ursprünglichen Zwecken nicht zu vereinbarenden Weise weiterverarbeiten (Art. 5 Abs. 1 lit. b DSGVO). Spätestens, wenn personenbezogene Daten für die Zwecke nicht mehr erforderlich sind, für die sie verarbeitet werden, muss das Unternehmen diese Daten löschen.

Anzeige

 

Herausforderung Backups und Backup-Tapes

Hier stellt sich in der Praxis aber fast immer wieder dasselbe Problem: Unternehmen sind in aller Regel gar nicht in der Lage, einzelne Datensätze aus ihren Backup-Systemen herauszufiltern und zu löschen. Derartige Datensicherungssysteme sind bislang gerade darauf ausgerichtet, vollständige Inhalte von Speichermedien oder sonstigen Datenverarbeitungen zu sichern. Ein selektives Löschen einzelner Datensätze erlauben solche Systeme (noch) nicht. Zudem macht die DSGVO auch Vorgaben zur Datensicherheit beziehungsweise zur IT-Security. Unter anderem müssen Unternehmen in der Lage sein, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wieder herzustellen (Art. 32 Abs. 1 lit. b DSGVO). Unternehmen sind also sogar gesetzlich dazu verpflichtet, Backups zu erstellen.

Wie lösen Sie diese Herausforderung in der Praxis?

Ein wesentlicher Teil der Bewältigung dieses Problems ist es, die Zwecke von Datenverarbeitungen präzise und umfassend festzulegen und diese Zwecke auch im Löschkonzept des Unternehmens klar zu dokumentieren. Im Rahmen eines effektiven DSMS sollten Unternehmen dies ohnehin tun. Hier müssen sämtliche Unternehmensbereiche tätig werden, die Daten verarbeiten, wie etwa IT, HR, Recht, Sales, Marketing, Compliance und interne Revision. Der Bereich Datenschutz oder – besser noch – ein breit aufgestelltes Projektteam zur Umsetzung der DSGVO sollten hier entsprechende Vorgaben, Strukturen, Muster oder Programme vorgeben, die die betroffenen Unternehmenseinheiten entsprechend unterstützen.

Ein gutes Beispiel für die Vorteile einer frühzeitigen und durchdachten Zweckbestimmung als Grundlage effektiver Löschkonzepte ist etwa die Verarbeitung von Beschäftigtendaten. Hat ein Unternehmen – etwa in seinem Verarbeitungsverzeichnis – hier nur “Zwecke des Beschäftigungsverhältnisses” angegeben, so hat es ein Problem. Deutlich besser ist es, hier im Vorfeld absehbare Verarbeitungszwecke zu identifizieren und zu dokumentieren. Dabei ist insbesondere an die Wahrung berechtigter Interessen des Unternehmens zu denken (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Aber auch die Erfüllung rechtlicher Verpflichtungen ist einer der vielen Zwecke sein, den das Unternehmen in seinem Löschkonzept berücksichtigen sollte. Auch die Geltendmachung Ausübung oder Verteidigung von Rechtsansprüchen ist eine der typischen Zwecke, die im Arbeitsverhältnis häufig relevant sind (vgl. Art. 9 Abs. 2 lit. f DSGVO). Im Rahmen einer solchen datenschutzrechtlichen Zweckbestimmung und damit auch bei der Erstellung von Kriterien für Löschkonzepten empfiehlt es sich, zunächst auf in der DSGVO vorgegebenen Zwecke wie die vorstehend genannten zurückzugreifen und diese dann durch Beispiele zu konkretisieren. Gerade die Speicherung von Backups für Zwecke der Datensicherheit, aber auch die Verteidigung gegen mögliche Rechtsansprüche können bei einem solchen Vorgehen durchaus eine lange Speicherdauer rechtfertigen (vgl. Art 17 Abs. 3 lit. e DSGVO).

Ausnahmen von der Löschpflicht

Auch gesetzliche Aufbewahrungspflichten nach deutschem Recht können die Speicherung personenbezogener Daten im Rahmen der DSGVO erlauben. So gilt etwa eine Ausnahme von der grundsätzlichen Löschpflicht, wenn Verarbeitung der personenbezogenen Daten zur Erfüllung einer Verpflichtung nach deutschem Recht oder EU-Recht erforderlich ist (Art. 17 Abs. 3 lit. b DSGVO). Neben den datenschutzrechtlichen Vorgaben muss man zur Umsetzung der DSGVO also auch anwendbare Aufbewahrungspflichten prüfen. Beispielsweise müssen Unternehmen etwa manche steuerrechtlichen oder handelsrechtlichen Dokumente mindestens zehn Jahre aufbewahren. Aber auch spezifischere Vorschriften wie das Geldwäschegesetz verpflichten Unternehmen, geldwäscherelevante Aufzeichnungen bis fünf Jahre nach Ende der Geschäftsbeziehung mit einem Geschäftspartner aufzubewahren.

Frühzeitige und gute Planung nötig

Gerade am Beispiel der Festlegung von Löschkonzepten und Löschfristen zeigt sich, dass Unternehmen DSGVO-Umsetzungsprojekte von Anfang an strukturiert und auf der Grundlage der wesentlichen Mechanismen der DSGVO planen sollten. Die gut geplante Umsetzung der Anforderungen des hier beschriebenen Zweckbindungsgrundsatzes kann dabei helfen, viele Folgeprobleme zu vermeiden. Wie auch bei vielen anderen Fragen der DSGVO stehen bei der Pflicht zum Löschen personenbezogener Daten Zwecke im Vordergrund, für die diese Daten verarbeitet werden. Unternehmen sind gut beraten, ihre Löschkonzepte frühzeitig und sorgfältig zu planen. Denn Fehler dürften hier kaum unbemerkt bleiben. Bei der Erhebung personenbezogener Daten müssen Unternehmen die betroffene Person nämlich auf die Dauer hinweisen, für die sie die fragliche personenbezogenen Daten gespeichert werden. Falls sie die konkrete Dauer der Speicherung nicht vorab bestimmen können, müssen Unternehmen die betroffene Person über die Kriterien für die Festlegung dieser Verarbeitungsdauer informieren – also über die wesentlichen Eckdaten ihres Löschkonzepts.

Künftig werden Unternehmen Bewerbern daher gleich am Anfang des Bewerbungsverfahrens umfassende Datenschutzinformationen zukommen lassen (sog. privacy notices). Auch beim Abschluss des Arbeitsvertrags ist es für den Arbeitgeber ratsam, zu dokumentieren, dass und auf welche Weise er seinen Informationspflichten gemäß Art. 12 ff. DSGVO nachgekommen ist. Weitere Praxistipps, Checklisten, Muster und Beispiele finden Sie auch im Handbuch EU-Datenschutz-Grundverordnung.

 

FAArb, RA Tim Wybitul
Partner bei Hogan Lovells International LLP (Büro Frankfurt)

Autorenprofile in den sozialen Medien: Twitter, Xing oder LinkedIn.

Aktuelle Buchveröffentlichung des Autors zum Thema:

 

Kategorien: #EFAR-Beiträge Tags: Compliance, Datenschutz

  • Tim Wybitul

    FAArb, RA Tim Wybitul Partner bei Latham & Watkins LLP (Büro Frankfurt) #EFAR - Profil Twitter LinkedIn Xing

Ähnliche Beiträge

Homeoffice Homeoffice
28. Februar 2023 - Dr. Maximilian Koschker, LL.M.

Schutz von Geschäftsgeheimnissen im Homeoffice und beim mobilen Arbeiten

Bei der Arbeit im Homeoffice sowie beim mobilen Arbeiten generell gelten erhöhte Anforderungen an den Schutz von Geschäftsgeheimnissen, deren Nichteinhaltung gravierende rechtliche und tatsächliche Konsequenzen für ihren Inhaber haben kann.
Lesen
Compliance
17. Februar 2023 - EFAR Redaktion

Übereinkommen gegen Belästigung in der Arbeitswelt

Die Bundesregierung hat einen Gesetzentwurf zur Ratifizierung eines Übereinkommens Nr. 190 der Internationalen Arbeitsorganisation (ILO) über die Beseitigung von Gewalt und Belästigung in der Arbeitswelt vorgelegt. Das hat der Deutsche Bundestag mitgeteilt (hib 118/2023).
Lesen
Compliance Geheimnis
10. Februar 2023 - Jana Hassel

#EFAR-Basics: Whistleblowing

#EFAR-Basics zum Thema Whistleblowing mit aktuellen Entwicklungen und Hintergründen (Stand: 10.02.2023)
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • #EFAR-News
  • #ArbeitsRechtKurios
  • Live–Log
  • #EFAR-Stellenmarkt
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Darf Beschäftigten das Tragen religiöser Symbole oder Kleidung verboten werden?
  • Kein Unfallversicherungsschutz bei Schlägerei wegen zugeparkter Betriebseinfahrt
  • Polizeianwärter muss Ausbildungsbezüge nicht zurückzahlen
  • ChatGPT und arbeitsrechtliche Aspekte
  • Uneingeschränkter Widerrufsvorbehalt bei einer Pensionszusage ist steuerschädlich

#EFAR – Jobs

  • ARQIS Wissenschaftlicher Mitarbeiter (m/w/d) in Düsseldorf Düsseldorf
  • ARQIS Referendar (m/w/d) in Düsseldorf Düsseldorf
  • ARQIS Legal Specialist (m/w/d) in Düsseldorf Düsseldorf
  • ARQIS Berufseinsteiger/Rechtsanwalt (m/w/d) für Arbeitsrecht in Düsseldorf oder München München

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.