• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Beiträge
    • ArbeitsRecht Kurios
    • #EFAR Top–Themen
    • #EFAR–Suche
  • #EFAR-Stellenangebote
    • #EFAR-Jobs
    • Legalhead
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
  • Corona-Update: Arbeitsschutz, Homeoffice und Kinderkrankengeld
    Quelle : Küttner Feed 27.01.2021 - 14:32
  • Rechtsprechungsänderung – Welche Kündigungsfristen gelten nun für Geschäftsführer?
    Quelle : Arbeitsrechtblog von OC 27.01.2021 - 10:48 Von Osborneclarke
  • Corona-Arbeitsschutzverordnung in Kraft getreten – Antworten des BMAS
    Quelle : Beck-Blog 27.01.2021 - 09:50 Von stoffels
  • BAG: Neues zum Auskunftsanspruch nach dem Entgelttransparenzgesetz
    Quelle : CMSHS 27.01.2021 - 08:38 Von Alexander Bissels
  • Betriebsrätestärkungsgesetz: Kostentreiber IT-Sachverständiger
    Quelle : KLIEMT.blog 27.01.2021 - 07:30 Von Dr. Julia Christina König
  • BAG stärkt Recht der Frauen auf gleiche Bezahlung.
    Quelle : Buse 27.01.2021 - 07:00 Von Dr. Julia Bruck
  • Mitbestimmungsrecht des Betriebsrats eines Krankenhauses bei der Ausgestaltung eines Besuchskonzepts in Zeiten der Corona-Pandemie
    Quelle : Beck-Blog 26.01.2021 - 21:40 Von stoffels
  • „Erster Chef schmeißt Impf-Verweigerer raus“
    Quelle : Beiten Burkhardt 26.01.2021 - 13:00 Von Dr. Erik Schmid
  • Arbeitgeber bei der Arbeitszeiterfassung in der Pflicht.
    Quelle : Buse 26.01.2021 - 08:00 Von Ines Heydasch
  • Mitbestimmung bei der Nutzung von Social Media
    Quelle : KLIEMT.blog 26.01.2021 - 07:30 Von Tomislav Santon, LL.M.
  • Die neue Corona-Arbeitsschutzverordnung (Corona-ArbSchV) tritt in Kraft – Arbeitgeber müssen jetzt handeln!
    Quelle : Arbeitsrechtblog von OC 25.01.2021 - 17:32 Von Osborneclarke
  • Einführung oder Verlängerung von Kurzarbeit? – Notfalls durch außerordentliche Änderungskündigung!
    Quelle : Vangard 25.01.2021 - 16:52 Von Lucas Laufer
  • Die Home-Office Regelung nach der Corona-Arbeitsschutzverordnung – Was Arbeitgeber wissen müssen
    Quelle : Vangard 25.01.2021 - 16:22 Von Insa Ritter
  • Vermutete Benachteiligung wegen des Geschlechts
    Quelle : PWWL 25.01.2021 - 12:00 Von alice
  • Dauerbrenner Diskriminierung Teilzeitbeschäftigter – EuGH soll Klarheit schaffen
    Quelle : KLIEMT.blog 25.01.2021 - 07:30 Von KLIEMT.Arbeitsrecht
  • Für eine generelle Maskenpflicht am Arbeitsplatz
    Quelle : Beck-Blog 24.01.2021 - 20:34 Von Martin.Biebl
  • Entgeltgleichheit – BAG stärkt Frauen den Rücken
    Quelle : Beck-Blog 24.01.2021 - 17:49 Von stoffels
  • Ärztliches Attest als Pauschalbefreiung von der Maskenpflicht im Büro?
    Quelle : Arbeitsrechtblog von OC 22.01.2021 - 10:14 Von Osborneclarke
  • Maskenpflicht im Betrieb – ein Fall für den Betriebsrat?
    Quelle : KLIEMT.blog 22.01.2021 - 07:28 Von Dr. Nicole Krüger
  • Neuer Corona-Arbeitsschutz
    Quelle : KLIEMT.blog 21.01.2021 - 09:13 Von Jakob Friedrich Krüger

Datenschutzgrundverordnung: Die neuen Löschpflichten richtig umsetzen

  • 30. August 2017 |
  • Tim Wybitul

Bis Mai 2018 müssen Unternehmen die EU-Datenschutz-Grundverordnung (DSGVO) umsetzen. Dazu gehören auch datenschutzkonforme Konzepte zur Löschung personenbezogener Daten.

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Bis Mai 2018 müssen Unternehmen die EU-Datenschutz-Grundverordnung (DSGVO) umsetzen. Datenschutzkonforme Konzepte zur Löschung personenbezogener Daten sind ein wesentlicher Bestandteil eines effektiven Datenschutz Management Systems (DSMS). Die Voraussetzungen, unter denen Unternehmen personenbezogene Daten löschen müssen, sind in Art. 17 DSGVO geregelt. Eine solche Löschpflicht kann etwa dann entstehen, wenn die betroffene Person dies verlangt, sie eine zuvor abgegebene Einwilligung widerruft oder Widerspruch gegen die weitere Verarbeitung ihrer Daten einlegt. In der Praxis stellt dies die Wirtschaft teilweise vor erhebliche Herausforderungen. Zwar gab es eine ähnliche Pflicht zum Löschen von Daten bereits nach dem bislang geltenden Datenschutzrecht. Diese Anforderung haben aber nur wenige Unternehmen umfassend umgesetzt. Aufgrund der erheblich gestiegenen Risiken von Bußgeldern und Schadensersatzansprüchen nach der DSGVO besteht hier für viele Firmen nun erheblicher Handlungsbedarf.

Wann muss man personenbezogene Daten löschen?

Unternehmen müssen personenbezogene Daten etwa dann löschen, wenn sie für die Zwecke, für die erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Der Zweck einer Datenverarbeitung entscheidet also auf über die zulässige Dauer der Speicherung der verarbeiteten Daten. Dieser so genannte Zweckbindungsgrundsatz ist eines der wesentlichen Prinzipien des europäischen Datenschutzes. Unternehmen dürfen personenbezogene Daten nur für vorher festgelegte, eindeutige und legitime Zwecke erheben. Zudem dürfen Sie diese Daten nicht in einer mit den ursprünglichen Zwecken nicht zu vereinbarenden Weise weiterverarbeiten (Art. 5 Abs. 1 lit. b DSGVO). Spätestens, wenn personenbezogene Daten für die Zwecke nicht mehr erforderlich sind, für die sie verarbeitet werden, muss das Unternehmen diese Daten löschen.

Anzeige

 

Herausforderung Backups und Backup-Tapes

Hier stellt sich in der Praxis aber fast immer wieder dasselbe Problem: Unternehmen sind in aller Regel gar nicht in der Lage, einzelne Datensätze aus ihren Backup-Systemen herauszufiltern und zu löschen. Derartige Datensicherungssysteme sind bislang gerade darauf ausgerichtet, vollständige Inhalte von Speichermedien oder sonstigen Datenverarbeitungen zu sichern. Ein selektives Löschen einzelner Datensätze erlauben solche Systeme (noch) nicht. Zudem macht die DSGVO auch Vorgaben zur Datensicherheit beziehungsweise zur IT-Security. Unter anderem müssen Unternehmen in der Lage sein, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wieder herzustellen (Art. 32 Abs. 1 lit. b DSGVO). Unternehmen sind also sogar gesetzlich dazu verpflichtet, Backups zu erstellen.

Wie lösen Sie diese Herausforderung in der Praxis?

Ein wesentlicher Teil der Bewältigung dieses Problems ist es, die Zwecke von Datenverarbeitungen präzise und umfassend festzulegen und diese Zwecke auch im Löschkonzept des Unternehmens klar zu dokumentieren. Im Rahmen eines effektiven DSMS sollten Unternehmen dies ohnehin tun. Hier müssen sämtliche Unternehmensbereiche tätig werden, die Daten verarbeiten, wie etwa IT, HR, Recht, Sales, Marketing, Compliance und interne Revision. Der Bereich Datenschutz oder – besser noch – ein breit aufgestelltes Projektteam zur Umsetzung der DSGVO sollten hier entsprechende Vorgaben, Strukturen, Muster oder Programme vorgeben, die die betroffenen Unternehmenseinheiten entsprechend unterstützen.

Ein gutes Beispiel für die Vorteile einer frühzeitigen und durchdachten Zweckbestimmung als Grundlage effektiver Löschkonzepte ist etwa die Verarbeitung von Beschäftigtendaten. Hat ein Unternehmen – etwa in seinem Verarbeitungsverzeichnis – hier nur “Zwecke des Beschäftigungsverhältnisses” angegeben, so hat es ein Problem. Deutlich besser ist es, hier im Vorfeld absehbare Verarbeitungszwecke zu identifizieren und zu dokumentieren. Dabei ist insbesondere an die Wahrung berechtigter Interessen des Unternehmens zu denken (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Aber auch die Erfüllung rechtlicher Verpflichtungen ist einer der vielen Zwecke sein, den das Unternehmen in seinem Löschkonzept berücksichtigen sollte. Auch die Geltendmachung Ausübung oder Verteidigung von Rechtsansprüchen ist eine der typischen Zwecke, die im Arbeitsverhältnis häufig relevant sind (vgl. Art. 9 Abs. 2 lit. f DSGVO). Im Rahmen einer solchen datenschutzrechtlichen Zweckbestimmung und damit auch bei der Erstellung von Kriterien für Löschkonzepten empfiehlt es sich, zunächst auf in der DSGVO vorgegebenen Zwecke wie die vorstehend genannten zurückzugreifen und diese dann durch Beispiele zu konkretisieren. Gerade die Speicherung von Backups für Zwecke der Datensicherheit, aber auch die Verteidigung gegen mögliche Rechtsansprüche können bei einem solchen Vorgehen durchaus eine lange Speicherdauer rechtfertigen (vgl. Art 17 Abs. 3 lit. e DSGVO).

Ausnahmen von der Löschpflicht

Auch gesetzliche Aufbewahrungspflichten nach deutschem Recht können die Speicherung personenbezogener Daten im Rahmen der DSGVO erlauben. So gilt etwa eine Ausnahme von der grundsätzlichen Löschpflicht, wenn Verarbeitung der personenbezogenen Daten zur Erfüllung einer Verpflichtung nach deutschem Recht oder EU-Recht erforderlich ist (Art. 17 Abs. 3 lit. b DSGVO). Neben den datenschutzrechtlichen Vorgaben muss man zur Umsetzung der DSGVO also auch anwendbare Aufbewahrungspflichten prüfen. Beispielsweise müssen Unternehmen etwa manche steuerrechtlichen oder handelsrechtlichen Dokumente mindestens zehn Jahre aufbewahren. Aber auch spezifischere Vorschriften wie das Geldwäschegesetz verpflichten Unternehmen, geldwäscherelevante Aufzeichnungen bis fünf Jahre nach Ende der Geschäftsbeziehung mit einem Geschäftspartner aufzubewahren.

Frühzeitige und gute Planung nötig

Gerade am Beispiel der Festlegung von Löschkonzepten und Löschfristen zeigt sich, dass Unternehmen DSGVO-Umsetzungsprojekte von Anfang an strukturiert und auf der Grundlage der wesentlichen Mechanismen der DSGVO planen sollten. Die gut geplante Umsetzung der Anforderungen des hier beschriebenen Zweckbindungsgrundsatzes kann dabei helfen, viele Folgeprobleme zu vermeiden. Wie auch bei vielen anderen Fragen der DSGVO stehen bei der Pflicht zum Löschen personenbezogener Daten Zwecke im Vordergrund, für die diese Daten verarbeitet werden. Unternehmen sind gut beraten, ihre Löschkonzepte frühzeitig und sorgfältig zu planen. Denn Fehler dürften hier kaum unbemerkt bleiben. Bei der Erhebung personenbezogener Daten müssen Unternehmen die betroffene Person nämlich auf die Dauer hinweisen, für die sie die fragliche personenbezogenen Daten gespeichert werden. Falls sie die konkrete Dauer der Speicherung nicht vorab bestimmen können, müssen Unternehmen die betroffene Person über die Kriterien für die Festlegung dieser Verarbeitungsdauer informieren – also über die wesentlichen Eckdaten ihres Löschkonzepts.

Künftig werden Unternehmen Bewerbern daher gleich am Anfang des Bewerbungsverfahrens umfassende Datenschutzinformationen zukommen lassen (sog. privacy notices). Auch beim Abschluss des Arbeitsvertrags ist es für den Arbeitgeber ratsam, zu dokumentieren, dass und auf welche Weise er seinen Informationspflichten gemäß Art. 12 ff. DSGVO nachgekommen ist. Weitere Praxistipps, Checklisten, Muster und Beispiele finden Sie auch im Handbuch EU-Datenschutz-Grundverordnung.

 

FAArb, RA Tim Wybitul
Partner bei Hogan Lovells International LLP (Büro Frankfurt)

Autorenprofile in den sozialen Medien: Twitter, Xing oder LinkedIn.

Aktuelle Buchveröffentlichung des Autors zum Thema:

 

Kategorien: #EFAR-Beiträge Tags: Compliance, Datenschutz

  • Tim Wybitul

    FAArb, RA Tim Wybitul Partner bei Latham & Watkins LLP (Büro Frankfurt) #EFAR - Profil Twitter LinkedIn Xing

Ähnliche Beiträge

Compliance
5. November 2020 - Thomas Vogtmeier

Unternehmensinterne Untersuchungen nach dem VerSanG-E und der Arbeitnehmerdatenschutz

Das Gesetzesvorhaben iS Verbandssanktionengesetz hat deutlich an Fahrt gewonnen. Welche Bedeutung wird der Arbeitnehmerdatenschutz im Kontext verbandsinterner Untersuchungen haben?
Lesen
Compliance
20. Oktober 2020 - Annabel Lehnen

Whistleblowing und Hinweisgebersysteme im Fokus: Das kommt auf Sie zu

Für Unternehmen, die mehr als 50 Mitarbeiter beschäftigen oder deren Jahresumsatz EUR 10 Mio. übersteigt, regelt die bald umzusetzende Whistleblowing-Richtlinie der EU, dass ein internes Meldesystem zur Aufdeckung von Verstößen gegen Unionsrecht zu etablieren ist. Ein Überblick.
Lesen
Compliance
17. April 2020 - Dr. Mayeul Hiéramente

Compliance und Corona-Lage: Strafbarkeitsrisiken lauern nicht nur bei Kurzarbeit und Home Office

Der Gesetzgeber flankiert mit zahlreichen Maßnahmen die andauernde Corona-Lage und setzt dabei auf eine möglichst unbürokratische Unterstützung der deutschen Wirtschaft. Dies schafft für alle Wirtschaftsteilnehmer erhebliche Strafverfolgungsrisiken.
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • Live–Log
  • ArbeitsRecht kurios
  • #EFAR–Stellenangebote
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Ministerin Lambrecht will Whistleblower umfassend schützen und legt Entwurf für Kabinettsbefassung vor
  • Rosenmontag in der Corona-Lage: Arbeitsfrei auch ohne Umzüge?
  • Homeoffice: Aktuelle und künftige Regelungen durch Corona-ArbSchV und Mobile Arbeit Gesetz
  • Mitbestimmungsrecht des Betriebsrats bei Ausgestaltung eines Besuchskonzepts in der Corona-Lage gegeben
  • Corona-Tests am Arbeitsplatz: Was gilt vor und nach einer Impfung?

#EFAR – Jobs

  • HEUKING KÜHN LÜER WOJTEK Rechtsanwälte w/m/d – Arbeitsrecht Hamburg
  • Sanofi Volljurist Arbeitsrecht (m/w/d) Frankfurt am Main.
  • GvW Graf von Westphalen Fachanwalt mit einschlägiger Berufserfahrung oder als Berufseinsteiger (m/w/d) Frankfurt am Main
  • Lutz I Abel Rechtsanwalt (m/w/d) für Arbeitsrecht in München für Berufseinsteiger oder mit bis zu 5 Jahren Berufserfahrung München

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.

Anzeige
×