Löschung von Daten im Beschäftigungsverhältnis
Allgemeine Löschfristen
Bereits aus dem Grundsatz der Datenminimierung (
Art. 5 Abs. 1 lit. c DS-GVO) und der Speicherbegrenzung (
Art. 5 Abs. 1 lit. e DS-GVO) ergibt sich, dass personenbezogene Daten grds. zu löschen sind, sobald sie nicht mehr erforderlich sind, um den Zweck der Datenverarbeitung zu erreichen.
Nach
Art. 17 Abs. 1 lit. a DS-GVO besteht das Recht der betroffenen Person bzw. die Pflicht des Verantwortlichen zur Löschung, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind.
Löschfristen in technischen Systemen zur Mitarbeiterüberwachung und ihre Auswirkung auf die Beweisverwertung
Ass. iur. Anja Benner-Tischler ist wissenschaftliche Mitarbeiterin am Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) an der Universität Kassel.
Bei technischen Überwachungssystemen im Beschäftigungsverhältnis stellt sich immer wieder die Frage, wie lange die erhobenen Daten gespeichert werden dürfen. Auf diese Frage ist eine pauschale Antwort nicht möglich, was bei der Gestaltung technischer Systeme – seien es Videoüberwachungs- oder SIEM-Systeme – zu Problemen für Techniker und Juristen führt. Allerdings hat sich jüngst das BAG mit den Auswirkungen einer relativ langen Speicherung von Daten im Zuge einer offenen Videoüberwachung auf die Beweisverwertung im Zivilprozess beschäftigt (BAG, U. v. 23.8.2018 –
2 AZR 133/18; ZD wird die Entscheidung demnächst m. Anm. Tiedemann veröffentlichen). Vor diesem Hintergrund lohnt sich ein Blick auf die Frage, wie lange die Speicherung von personenbezogenen Daten durch Mitarbeiterüberwachungssysteme zulässig ist.
1. Löschpflichten nach der DS-GVO
Hieraus ergibt sich insb. auch eine Pflicht, zu Kontrollzwecken erhobene personenbezogene Daten ausgeschiedener Mitarbeiter zu löschen (
Sörup/Marquardt,
ArbRAktuell 2016, 103, 105). Aber auch während des bestehenden Arbeitsverhältnisses besteht die Pflicht des Verantwortlichen, personenbezogene Daten, die im Wege der Mitarbeiterüberwachung erlangt wurden, zeitnah zu sichten und mit Zweckerreichung zu löschen. Allerdings ist die Frage, wann Zweckerreichung eintritt, differenziert zu betrachten. Jedenfalls die Daten, die nicht auf besondere Vorkommnisse hinweisen, sind unverzüglich zu löschen. Personenbezogene Daten, die Trefferfälle markieren, die also auf begangene Straftaten im Unternehmen schließen lassen, sind weiterhin zur Erreichung des Erhebungszwecks erforderlich und dürfen schon aus diesem Grund weiter aufbewahrt werden.
Im Arbeitsverhältnis ist überdies insb. der Ausnahmetatbestand des
Art. 17 Abs. 3 lit. d DS-GVO von Bedeutung. Danach ist die Löschung nach
Art. 17 Abs. 1 DS-GVO nicht erforderlich, soweit die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Nach zutreffender Ansicht ist der Wortlaut unglücklich gefasst: gemeint ist die Verteidigung „gegen“ Rechtsansprüche (
Paal, in:
Paal/Pauly, Datenschutz-Grundverordnung, 1. Aufl. 2017, Art. 17, Rdnr. 46;
Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-Datenschutz-Grundverordnung und BDSG-neu 2018,
Art. 17 DS-GVO, Rdnr. 44). Die bloß abstrakte Möglichkeit einer rechtlichen Auseinandersetzung genügt hierfür allerdings noch nicht. Vielmehr müssen Auseinandersetzungen anstehen oder jedenfalls mit hinreichender Wahrscheinlichkeit zu erwarten sein (
Däubler, a. a.O;
Nolte/Werkmeister, in: Gola, DS-GVO, 2017,
Art. 17 DS-GVO, Rdnr. 44). Eine Speicherung muss zumindest so lange zulässig sein, wie mit einem Kündigungsschutzprozess im Nachgang zu einer Kündigung, die auf Grund einer begangenen Straftat oder anderweitigen schweren Verletzung der arbeitsvertraglichen Pflichten ausgesprochen wird, zu rechnen ist (
Franzen,
EuZA 2017, 313, 334 zur Kündigung allgemein).
2. Löschfristen
Nach
Art. 17 Abs. 1 DS-GVO besteht eine Pflicht zur unverzüglichen Löschung der Daten.
Erwägungsgrund 39 DS-GVO verweist darauf, dass die Speicherfrist auf das unbedingt erforderliche Mindestmaß beschränkt bleiben muss. Der für die Verarbeitung Verantwortliche sollte nach
Erwägungsgrund 39 Satz 10 DS-GVO Fristen für die Löschung personenbezogener Daten oder deren regelmäßige Überprüfung vorsehen, um sicherzustellen, dass Daten nicht länger als nötig gespeichert werden. Nach
Erwägungsgrund 39 Satz 11 DS-GVO sollte der Verantwortliche alle vertretbaren Schritte unternehmen, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Damit erlegt er dem Verantwortlichen eine Pflicht auf, ein Lösch- und Sperrkonzept vorzuhalten (
Veil, in: Gierschmann/Schlender/Stenzel/Veil, DS-GVO, 2018,
Art. 17 DS-GVO, Rdnr. 44).
Hieraus darf jedoch nicht geschlossen werden, dass der europäische Gesetzgeber starre Löschpflichten vorgeben wollte (
Conrad/Hausen, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2. Aufl. 2017, III, 1, Rdnr. 108). Nach dem Grundsatz „ultra posse nemo obligatur“ wäre dies mangels Praktikabilität auch unmöglich. Denn
Erwägungsgrund 39 Satz 10, 11 DS-GVO zeigt, dass zwar einerseits überflüssige Daten zu löschen sind, andererseits aber auch auf die Richtigkeit und Vollständigkeit der Datenbestände zu achten ist (
Conrad/Hausen, a. a. O.). Die dahingehende Prüfung der Datenbestände benötigt Zeit, ohne dass von vornherein prognostiziert werden kann, welchen Zeitraum diese in Anspruch nimmt (
ebd.). Verantwortliche stellt dies vor die schwierige Frage, wie lange Daten gespeichert werden dürfen.
In diesem Zusammenhang hat das
BAG es hinsichtlich der Speicherung personenbezogener Daten als zulässig erachtet, dass diese unverzüglich nach ihrer Auswertung, spätestens jedoch 60 Tage nach ihrer Herstellung gelöscht werden, es sei denn, sie werden weiterhin zu Zwecken der Beweissicherung benötigt (
BAG, B. v. 26.8.2008 –
1 ABR 16/07, Rdnr. 35). Auch Aufzeichnungen zu Beweiszwecken mussten aber unverzüglich gelöscht werden, sobald sie hierzu nicht mehr erforderlich waren, spätestens jedoch nach 60 Tagen, es sei denn, es gab eine gesetzliche Aufbewahrungspflicht (
BAG, a. a. O.). Da das
BAGmit der Zweckbindung der Daten argumentierte, ist die Rechtsprechung auf die DS-GVO übertragbar, da diese den Zweckbindungsgrundsatz in
Art. 5 Abs. 1 lit. b DS-GVO als zentralen Grundsatz enthält (
Lachenmann, in: Koreng/Lachenmann, Formularhdb. Datenschutzrecht, 2. Aufl. 2018, H. III.2., Rdnr. 23). Eine pauschale Speicherfrist von 60 Tagen wäre vor dem Hintergrund des Gesetzeswortlauts, der die Speicherdauer an den Erhebungszweck knüpft, bedenklich und kaum begründbar. Denn eine Sichtung des Materials kann und muss i. S. e. effektiven Datenschutzes technisch und organisatorisch in jedem Fall früher bewerkstelligt werden.
In der Orientierungshilfe des
Düsseldorfer Kreises zur Videoüberwachung durch nicht-öffentliche Stellen wurde eine regelmäßige Löschfrist von 48 Stunden als zulässig erachtet (
Düsseldorfer Kreis,
Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ v. 19.2.2014, S. 11 f.). In begründeten Einzelfällen könne auch eine längere Speicherung zulässig sein, etwa wenn an Wochenenden und Feiertagen kein Geschäftsbetrieb erfolge (
Düsseldorfer Kreis, a. a. O., S. 12).
Eine relativ lange Speicherfrist von zehn Wochentagen nahm das
OVG Lüneburg an, da die in dem überwachten Bürogebäude tätigen Mitarbeiter häufig berufsbedingt abwesend waren (
OVG Lüneburg ZD 2014, 636).
Die Frist im Beschäftigungsverhältnis dürfte mit dem Ende eines jeweiligen Arbeitstags beginnen, wobei auch hier maßgeblich ist, wann eine verantwortliche Person zur Verfügung steht, die die Möglichkeit hat, die Aufzeichnungen zu überprüfen, da z. B. an Wochenenden in vielen Betrieben nicht gearbeitet wird. Eine Frist von 48 Stunden scheint deshalb zu kurz, um dem Arbeitgeber zu ermöglichen, den Vorfall zu prüfen. Eine Frist von 72 Stunden ist demgegenüber angemessen, weil dadurch auch nach dem Wochenende noch eine Überprüfungsmöglichkeit verbleibt (
Lachenmann, a. a. O.).
Interessant ist die Aussage des
BAG in seinem U. v. 23.8.2018 (a. a. O.) zu der Speicherung von nicht für den Rechtsstreit relevanten, im Wege einer rechtmäßigen offenen Videoüberwachung erlangten Videosequenzen. Hierzu könne der Arbeitgeber mit Blick auf mögliche „heimliche“ Verletzungen seines Eigentums durch eigene Beschäftigte nicht darauf verwiesen werden, die gesamten Aufzeichnungen nach kurzer Zeit unbesehen überschreiben zu lassen. Würden die Speicherintervalle so kurz bemessen, dass die Aufzeichnungen bei Bekanntwerden von Vorfällen üblicherweise schon gelöscht seien, wäre die Maßnahme insoweit praktisch wirkungslos und damit jedenfalls unverhältnismäßig. Dementsprechend könnten wochen- oder sogar monatelange Speicherintervalle nicht zu beanstanden sein, wenn Straftaten oder erhebliche Pflichtverletzungen erst bei aufwändigen Überprüfungen oder Abrechnungsmaßnahmen entdeckt werden könnten. Eine rein anlassbezogene Auswertung „ausgewählter“ Passagen bei längerer Speicherung des gesamten Bildmaterials sei insofern die weniger eingriffsintensive Maßnahme. Das Erfordernis einer unverzüglichen anlasslosen Bedarfsklärung, die ihrerseits einen Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitnehmers darstelle, weil die Aufzeichnungen eingesehen würden, dürfte sich nur rechtfertigen lassen, wenn der erheblichen Gefahr einer Zweckentfremdung der gespeicherten Daten begegnet werden müsse. Jedenfalls unzulässig dürfte es jedoch sein, das gesamte Bildmaterial zunächst über einen längeren Zeitraum vorzuhalten, um es sodann ohne konkreten Anlass in Augenschein zu nehmen.
Unklar ist, ob das
BAG (das sich jedoch im konkreten Fall mit der Auswirkung der Speicherdauer auf die Beweisverwertung befasste) damit meint, dass eine Speicherung solch potenzieller ungesichteter Beweismittel so lange möglich sein soll, wie der Arbeitgeber Vorfälle materiell-rechtlich als Kündigungsgrund nutzen kann oder Straftaten geahndet werden können. Dies birgt die Gefahr einer unzulässigen Speicherung von Daten auf Vorrat.
3. Praktische Umsetzung
Mag die Bestimmung der konkreten Löschpflicht in vielen Fällen schwierig oder auch nicht möglich sein, so entbindet dies nicht davon, Fristen für die Löschdauer zumindest abstrakt festzulegen und Löschungen umzusetzen. Dies gilt auch mit Blick darauf, dass ein Verstoß gegen die Löschpflicht nach
Art. 83 Abs. 5 lit. a, b DS-GVO sanktionsbewehrt ist. Aus
Art. 25 Abs. 1 DS-GVO ergibt sich, dass insb. auch der Grundsatz der Datenminimierung wirksam technisch und organisatorisch umzusetzen ist.
In der Praxis ist es daher erforderlich, dass der Verantwortliche Löschkonzepte (hierzu
Hammer,
DuD 2016, 528 m. w. Nw.) und automatisierte Verfahren vorsieht, um seiner Pflicht zur unverzüglichen Löschung der Daten nachzukommen (
Paal, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018,
Art. 17 DS-GVO, Rdnr. 29). Es empfiehlt sich, für IT-basierte Systeme Löschregeln festzulegen, was dazu führt, dass automatisierte Skripte die Löschpflicht des Verantwortlichen routinemäßig erfüllen (
Veil, a. a. O., Rdnr. 55). Eine Möglichkeit, die Löschpflichten technisch in Überwachungssystemen umzusetzen, stellt eine Black Box dar (ausf. hierzu
Grages/Plath,
CR 2017, 791). Der Zielkonflikt zwischen umfangreicher Datenerhebung und der Tatsache, dass letztlich nur wenige Daten benötigt werden, um den Zweck der Überwachungsmaßnahme zu erreichen, kann durch dieses Verfahren aufgelöst werden (
Grages/Plath, a. a. O., S. 792).