Löschung personenbezogener Daten bei Kündigung

Die Beendigung eines Arbeitsverhältnisses bringt nicht nur organisatorische Herausforderungen mit sich, sondern auch datenschutzrechtliche Pflichten. Vor allem die Löschung personenbezogener Daten nach der Kündigung eines Mitarbeiters erfordert eine genaue Kenntnis der Datenschutz-Grundverordnung (DSGVO) und deren Anforderungen. Andernfalls drohen empfindliche Strafen, die Unternehmen ernsthaft schaden können.

Art. 17 Abs. 1 DSGVO bestimmt das Recht auf Vergessenwerden, dass personenbezogene Daten grundsätzlich unverzüglich gelöscht werden müssen, sofern die Zwecke, für die sie gespeichert wurden, erfüllt oder weggefallen. Die Beendigung eines Arbeitsverhältnisses stellt als primärer Zweck der Datenspeicherung und -verarbeitung einen solchen Löschanspruch dar. In diesem Artikel erfahren Sie alles Wissenswerte darüber, wann und welche Daten nach einer Kündigung gelöscht werden müssen, und welche Ausnahmen existieren. Wir geben Ihnen konkrete Handlungsempfehlungen und wertvolle Tipps, wie Sie ein effektives Löschkonzept entwickeln können, das den gesetzlichen Vorgaben entspricht und gleichzeitig die Daten Ihrer (ehemaligen) Mitarbeiter schützt.

Die Bedeutung der Löschung personenbezogener Daten nach der Kündigung

Sobald ein Mitarbeiter das Unternehmen verlässt, erlischt in der Regel der ursprüngliche Zweck für die Speicherung seiner personenbezogenen Daten. Die DSGVO, insbesondere Artikel 17 Abs. 1, räumt jeder betroffenen Person das echt auf Vergessenwerden ein. Das bedeutet, dass personenbezogene Daten grundsätzlich unverzüglich gelöscht werden müssen, sobald sie für den Zweck, für den sie erhoben wurden, nicht mehr notwendig sind. In diesem Fall ist die Beendigung des Arbeitsverhältnisses der entscheidende Moment.

Ein Unternehmen ist also verpflichtet, sämtliche personenbezogenen Daten zu löschen, die nicht mehr benötigt werden. Dazu gehören zum Beispiel Kontaktdaten, Gehaltsinformationen und Bewertungen aus Mitarbeitergesprächen. Doch wie so oft gibt es auch hier Ausnahmen, die eine sofortige Löschung verhindern. Also: Wie lang darf ein Unternehmen personenbezogene Daten speichern?

Ausnahmen von der Löschungspflicht

Artikel 17 Abs. 3 der DSGVO sieht bestimmte Fälle vor, in denen personenbezogene Daten trotz einer Kündigung aufbewahrt werden müssen. Diese Ausnahmen basieren auf gesetzlichen Verpflichtungen, die Unternehmen dazu zwingen, Daten für einen längeren Zeitraum zu speichern. Hier sind einige der wichtigsten Beispiele:

• Steuerrechtliche Daten: Nach der Bundesabgabenordnung müssen steuerlich relevante Unterlagen, die personenbezogene Daten enthalten, mindestens sechs Jahre aufbewahrt werden.
• Buchhaltungsunterlagen: Daten, die für die Gewinnermittlung eines Unternehmens relevant sind, müssen sogar bis zu zehn Jahre gespeichert bleiben. Dies betrifft vor allem Lohn- und Gehaltsabrechnungen sowie sonstige finanzielle Aufzeichnungen.
• Arbeitszeugnisse: Mitarbeiter haben auch nach der Kündigung Anspruch auf ein Arbeitszeugnis. Dieser Anspruch besteht bis zu 30 Jahre nach dem Ausscheiden, sodass Daten, die für die Ausstellung eines Zeugnisses benötigt werden, entsprechend aufbewahrt werden müssen.
• Betriebliche Altersversorgung: Für betriebliche Altersvorsorgezusagen gelten ebenfalls längere Aufbewahrungsfristen, die bis zu 30 Jahre betragen können.
• Rechtsstreitigkeiten: Daten, die potenziell in arbeitsrechtlichen Auseinandersetzungen oder bei Schadensersatzansprüchen relevant werden könnten, dürfen bis zu drei Jahre aufbewahrt werden. Dies betrifft beispielsweise Abmahnungen oder sonstige disziplinarische Maßnahmen.
• Bewerbungen: Daten abgelehnter Bewerber können bis zu sechs Monate im Unternehmen verbleiben für den Fall, dass Bewerber Ansprüche aufgrund des Gleichbehandlungsgesetzes geltend machen.

Diese Beispiele zeigen, dass die Löschungspflicht oft im Widerspruch zu gesetzlichen Aufbewahrungspflichten steht. Daher ist es unerlässlich, dass Unternehmen ihre internen Prozesse so strukturieren, dass diese Pflichten erfüllt und Bußgelder vermieden werden.

So können Sie Prozesse automatisieren

Vor allem bei wiederkehrenden Aufgaben, wie das Löschen von Daten nach einer Kündigung ist es sinnvoll auf digitale Unterstützung zu setzen. Mithilfe einer Software können diese Schritte einfach und verlässlich automatisiert werden.

Praktisches Beispiel: Ein Mitarbeiter kündigt – was nun?

Stellen Sie sich vor, ein Mitarbeiter kündigt nach fünf Jahren im Unternehmen. In diesem Fall müssen personenbezogene Daten, die keinen gesetzlichen Aufbewahrungsfristen unterliegen, unverzüglich gelöscht werden. Dazu gehören beispielsweise Zugangsdaten zu internen Systemen, seine private Telefonnummer sowie personenbezogene E-Mails, sofern sie keinen rechtlichen oder geschäftlichen Bezug haben.

Gleichzeitig müssen jedoch die steuerlich relevanten Gehaltsabrechnungen sechs Jahre lang aufbewahrt werden. Falls der Mitarbeiter Anspruch auf ein Arbeitszeugnis haben könnte, müssen auch die dazugehörigen Daten gespeichert bleiben. So ergibt sich ein differenziertes Bild, das ohne ein strukturiertes Löschkonzept schnell unübersichtlich werden kann.

Die Erstellung eines Löschkonzepts

Um die Löschung personenbezogener Daten nach einer Kündigung effizient und rechtssicher zu gestalten, sollten Unternehmen ein sogenanntes Löschkonzept entwickeln. Ein solches Konzept ist der Schlüssel, um die verschiedenen Lösch- und Aufbewahrungsfristen in Einklang zu bringen. Hier sind die wichtigsten Schritte zur Erstellung eines solchen Plans:

• Datenerfassung: Identifizieren Sie sämtliche personenbezogenen Daten, die im Unternehmen gespeichert werden. Dies umfasst nicht nur digitale, sondern auch physische Daten wie Personalakten.
• Zweck der Datenspeicherung: Definieren Sie für jede Datengruppe den Zweck der Speicherung. Beispielsweise werden Gehaltsdaten zur Entgeltabrechnung gespeichert, während Bewerbungsunterlagen der Kandidatenauswahl dienen.
• Fristen festlegen: Überprüfen Sie, welche gesetzlichen Aufbewahrungsfristen für die verschiedenen Datenarten gelten. Dabei können rechtliche Vorgaben wie die Abgabenordnung oder arbeitsrechtliche Regelungen relevant sein.
• Verantwortlichkeiten definieren: Legen Sie fest, welche Abteilung oder welcher Mitarbeiter für die Löschung der jeweiligen Daten zuständig ist. Dies sorgt für klare Verantwortungsbereiche und verhindert, dass Löschungen vergessen werden.
• Dokumentation und Kontrolle: Führen Sie regelmäßige Kontrollen durch, um sicherzustellen, dass die Löschfristen eingehalten werden. Eine sorgfältige Dokumentation schützt das Unternehmen bei möglichen Überprüfungen durch die Datenschutzbehörden.

Fazit: Datenschutz auch nach der Kündigung ernst nehmen

Die Löschung personenbezogener Daten nach der Kündigung eines Mitarbeiters ist eine komplexe, aber essenzielle Aufgabe. Unternehmen müssen sowohl die DSGVO als auch nationale Aufbewahrungsfristen beachten, um rechtssicher zu handeln. Ein gut strukturiertes Löschkonzept hilft dabei, diesen Anforderungen gerecht zu werden und gleichzeitig Transparenz und Sicherheit im Umgang mit sensiblen Daten zu gewährleisten.

Die Einführung eines klaren Prozesses zur Datenlöschung schützt nicht nur vor möglichen Bußgeldern, sondern stärkt auch das Vertrauen der Mitarbeiter und sorgt für Compliance. Nutzen Sie diese Chance, um Ihre firmeninternen Prozesse zu verbessern und den Datenschutz nachhaltig zu stärken.