Nach der allgemeinen DSGVO-Regelung dürfen Daten nur solange in personenbezogener Form aufbewahrt werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (vgl. Art 5 Abs 1 lit e DSGVO) und solange gesetzliche Aufbewahrungspflichten bestehen. Dieser Blogbeitrag beleuchtet einzelne praxisrelevante Fragen zum Arbeitnehmerdatenschutz in Zusammenhang mit der Aufbewahrungsdauer und Löschung von Personalakten und geht dabei auf aktuelle, seit Inkrafttreten der DSGVO ergangene Entscheidungen der österreichischen Datenschutzbehörde (DSB) ein.

 

Gesetzliche Aufbewahrungspflichten für Personalakte

Es existieren keine einheitlichen gesetzlichen Aufbewahrungsfristen für Personalakte. Vielmehr ergeben sich die Fristen, wie lange die einzelnen im Personalakt enthaltenen Daten aus datenschutzrechtlicher Sicht gespeichert werden dürfen, v.a. aus gesetzlich verankerten Aufbewahrungspflichten und Verjährungsfristen und müssen daher nach Datenarten, Dokumenttypen und Verarbeitungszwecken differenziert werden.

  • Für steuerliche Zwecke müssen Personaldaten im Allgemeinen mindestens 7 Jahre aufbewahrt werden und darüber hinaus so lange, wie sie für anhängige Verfahren betreffend die Abgabenerhebung von Bedeutung sind. Gleiches gilt für Buchhaltungszwecke.
  • Auch sozialversicherungsrechtliche Unterlagen müssen i.d.R. zumindest 7 Jahre aufbewahrt werden.
  • Für die Geltendmachung von Ansprüchen aus dem Arbeitsverhältnis gilt im Allgemeinen eine dreijährige Verjährungsfrist.
  • Unterlagen, die für die Geltendmachung oder Verteidigung von Rechtsansprüchen benötigt werden, dürfen während der gesetzlichen Verjährungsfristen für diesen Zweck weiter aufbewahrt werden.
  • Jene Daten, die für die Ausstellung eines einfachen Dienstzeugnisses benötigt werden, sind sogar 30 Jahre ab Austritt der Mitarbeiter zu speichern.

Unter Beachtung der gesetzlichen Aufbewahrungspflichten und Verjährungspflichten sollte stets hinterfragt werden, wie lange die Daten tatsächlich benötigt werden. Anhand dieser tatsächlichen Erfordernisse sollten Löschregeln definiert werden.

 

Können Mitarbeiter/innen die Löschung ihrer Krankenstandstage und der im Personalakt abgelegten Aktenvermerke verlangen?

Aufzeichnungen über Krankenstandstage müssen für Zwecke der Berechnung und Überprüfung der Lohnsteuer sowie auch nach den sozialversicherungsrechtlichen Vorschriften mindestens 7 Jahre aufbewahrt werden. Dienstgeber sind daher rechtlich verpflichtet diese Daten zu speichern. Eine Löschung dieser Daten kann nicht verlangt werden (vgl. DSB D122.944/0007).

Gesetzliche Speicherfristen für Aktenvermerke in Personalakten existieren nicht; die allgemeinen Verjährungsfristen bieten nur eine grobe Orientierung. In einem von der DSB zu beurteilenden Fall (D122.944/0007) verweigerte der ehemalige Arbeitgeber des Beschwerdeführers die Löschung u.a. eines Aktenvermerks, der zum Inhalt hatte, dass von einer eventuellen Wiedereinstellung des Beschwerdeführers abgesehen werde. Der ehemalige Arbeitgeber des Beschwerdeführers verwies darauf, dass der Personalakt drei Jahre nach Ausscheiden gelöscht werde.

Die DSB bewertete im Ergebnis das Dokumentationsinteresse des ehemaligen Arbeitgebers höher als das Interesse des Beschwerdeführers an der Löschung des Aktenvermerks. Dem Dienstgeber dürfe es nicht verwehrt werden, „zu bestimmen, mit wem dieser (zukünftig) ein Dienstverhältnis eingehen möchte“. Die Speicherdauer des Aktenvermerks von drei Jahren nach Beendigung ist laut DSB nicht als unverhältnismäßig anzusehen. Nach Ablauf dieses Zeitraums habe der Beschwerdeführer die Möglichkeit sich erneut zu bewerben.

 

Wie lange dürfen Bewerbungsunterlagen gespeichert werden?

Ansprüche von Bewerber/inne/n können nach dem Gleichbehandlungsgesetz innerhalb von 6 Monaten ab erfolgter Absage geltend gemacht werden (vgl. § 15 GlBG). Dienstgeber müssen daher die Daten der Bewerber/innen zumindest 6 Monate aufbewahren, damit sie sich im Fall behaupteter Diskriminierung freibeweisen können. Die DSB hat ausgesprochen (D123.085/0003), dass Bewerber/innendaten 7 Monate aufbewahrt werden dürfen. Der zusätzlich berechnete Monat, der für die Zustellung einer allfälligen Klage einberechnet wurde, ist laut DSB angemessen.

 

Wie können Daten DSGVO-konform gelöscht werden?

Für die Praxis äußerst wichtig, hat die DSB entschieden (D123.270/0009), dass personenbezogene Daten auch durch Anonymisierung DSGVO-konform gelöscht werden können. Eine Löschung liegt nämlich auch dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität ist daher – unabhängig vom verwendeten Mittel zur Löschung – nicht notwendig.

 

Autor: Mag. Georg Fellner LL.M.

 

Seminartipp! Arbeitnehmer-Datenschutz