Personaldaten löschen?: Iron Mountain gibt Tipps im Umgang mit sensiblen Daten
- 24.07.2018
- Praxis
Vor dem Hintergrund der DSGVO gewinnt regelkonformes Löschen besondere Bedeutung, denn was nicht mehr vorhanden ist, stellt kein Rechtsrisiko mehr für das Unternehmen dar. Die Tageszeitung „Die Welt“ berichtet Anfang Juli das Ergebnis einer aktuellen Umfrage zu den Auswirkungen der neuen DSGVO. Demnach sind die Beschwerden der Konsumenten bei den Landesdatenschutzbehörden ums Zehnfache gestiegen. Auch Unternehmen sind vorsichtig geworden und kommen ihrer Meldepflicht zu möglichen Datenverlusten verstärkt nach. Nach Art. 33 DSGVO hat dies innerhalb von 72 Stunden zu erfolgen. Bereits in der ersten Woche nach dem 25. Mai gingen bei den Behörden mehr Meldungen ein als im gesamten Jahr zuvor.
"Unternehmen benötigen heute unbedingt ein gut strukturiertes und umfassendes Aufbewahrungs-Management mit einem validen Aufbewahrungsplan, der die Aufbewahrungsfristen für alle Informationskategorien der Organisation verbindlich regelt", erläutert John Wegman, Managing Director für Deutschland, Österreich und die Schweiz bei Iron Mountain. "Das gesetzeskonforme Vernichten oder Löschen von Daten ist dann Teil eines solchen Plans. Das senkt Rechtsrisiken und hilft natürlich bei der Verschlankung von Speicherplatz, ob nun physikalisch oder digital."
Bei den sensiblen Personaldaten etwa sollte im Licht der DSGVO auf die Einhaltung der Fristen besonders genau geachtet werden. Personalakten dürfen nur der Personalabteilung zugänglich sein, da sie viele sensible Informationen über die Kollegen enthalten, man denke nur an die Belege zur Arbeitsunfähigkeit. Insgesamt können die Aufbewahrungsfristen sehr verschieden sein - je nachdem, was die Personalakte enthält. Die Aufteilung nach Datentypen oder Belegkategorien ist dabei sinnvoll. Eine Personalakte einfach und zur Gänze zu löschen, ist selten ein gutes Verfahren - sie auf der anderen Seite zu lange aufzubewahren, kann ebenfalls negative Folgen haben, denn schon nach dem Bundesdatenschutzgesetz ist das Unternehmen nach Ablauf der Fristen zur Löschung der Daten verpflichtet.
In Bezug auf die Datentypen gilt folgende Abstufung: mindestens drei Jahre, um auf mögliche Schadensersatzansprüche in punkto Arbeitsrecht von (Ex)Mitarbeitern reagieren zu können (Stichworte: Zeugnisse, Urlaubsanspruch). Mindestens sechs Jahre, wenn die Akte steuerlich relevante Daten enthält (Lohnsteuer: Arbeitszeitlisten, Reisekostenabrechnungen), bei Buchungsbelegen werden zehn Jahre daraus. Wenn Altersversorgungszusagen gegeben wurden, werden schließlich sogar 30 Jahre daraus.
