Die Datenschutzgrundverordung (DSGVO) regelt die Pflichten beim Umgang mit personenbezogenen Daten. Danach dürfen personenbezogene Daten insbesondere nur
- auf rechtmäßige Weise verarbeitet werden,
- auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein und
- nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Wer möchte, kann diese Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 DSGVO nachlesen.
Was bedeutet das für mich als Arbeitgeber?
Das Gesetz schränkt damit die Möglichkeit der Speicherung daher ganz erheblich ein: Gespeichert werden dürfen personenbezogene Daten nur so lange, wie diese Daten benötigt werden – oder eine gesetzliche Verpflichtung zur Aufbewahrung besteht.
Und das ist manchmal ziemlich schwer zu beurteilen.
Denken Sie nur an Belege über die Zahlung von Arbeitsentgelt und über die Berechnung der Lohnsteuer: diese müssen Sie einserseits als Arbeitgeber bis 10 Jahre nach dem letzten Eintrag aufbewahren (§ 257 HGB). Andererseits dürfen Sie die Unterlagen darüber hinaus nur aufbewahren, wenn es noch eine laufende Auseinandersetzung mit dem betreffenden Mitarbeiter oder noch eine Betriebsprüfung läuft, die den entsprechenden Zeitraum umfasst. Das gilt auch für fertiggestellte Betriebsprüfungen, für die ein Verfahren vor Gericht läuft, weil Sie sich gegen diesen Bescheid wehren.
Was passiert, wenn ich gegen die DSGVO verstoße?
Verstoßen Sie gegen Pflichten nach der DSGVO droht Ihnen Ungemach von gleich 2 Seiten:
- So kann die Aufsichtsbehörde gemäß Art. 83 DSGVO ein Bußgeld gegen Sie verhängen. Das Gesetz fordert dabei ausdrücklich, dass ein Bußgeld „abschreckend“ sein muss!
- Außerdem kann der Betroffene gemäß Art. 82 DSGVO Schadensersatz von Ihnen verlangen!
Wie kann ich mich schützen?
Prüfen Sie, für welche Personalunterlagen die gesetzlichen Aufbewahrungspflichten abgelaufen sind.
Sind die Aufbewahrungsfristen verstrichen, vernichten Sie die Unterlagen! Nach der DSGVO gilt: Die „dürfen“ nicht mehr nur weg, sondern sie „müssen“ weg!
Schließlich sollten Sie auch auf eine Dokumentation der Vernichtung achten. Denn auch die Vernichtung/Löschung stellt nach der DSGVO eine Datenverarbeitung dar, für die sie nach Art. 5 Abs. 2 DSGVO rechenschaftspflichtig sind.
Sie benötigen Unterstützung zum rechtssicheren Umgang mit Personaldaten? Rufen Sie uns einfach an oder schicken uns eine E-Mail. Wir helfen Ihnen gern!