Aufbewahrungsfrist von Personalakten und Löschen nach DSGVO

Aufbewahrungs­fristen von Personalakten

Eigentlich scheint es paradox. Da ist man immer bemüht, Daten zu sichern und zu verhindern, dass sie verloren gehen. Und dann kommt die DSGVO und fordert, dass Daten dann zu löschen sind, wenn sie nicht mehr gebraucht werden. Also genau das Gegenteil von dem, was man eigentlich immer versucht.

Löschen ist ein sehr komplexer Vorgang. Besser gesagt, es ist nicht nur einer, sondern eine Vielzahl von Löschvorgängen. Im Personalbereich ist Datenvernichtung einigermaßen überschaubar: Dort gibt es Personalakten, zu denen gehören auch die Unterlagen zur Lohn- und Gehaltsabrechnung samt der Verrechnung der Sozialversicherungsbeiträge. Wenn eine beschäftigte Person ausscheidet, ist deren Akte eigentlich nicht mehr erforderlich. Gleichzeitig sind Verantwortliche verpflichtet, für Zwecke der Betriebsprüfung solche Unterlagen vorzuhalten, bei denen eine Auswirkung auf den Wert des Unternehmens unterstellt wird.

Dazu gehören zweifellos die Lohnunterlagen. Diese müssen Sie also so lange aufbewahren, dass Sie sie bei einer möglichen Betriebsprüfung vorlegen können. Und dafür sind ziemlich einheitlich zehn Jahre definiert. Ziemlich einheitlich deshalb, da es nur für Beamte und deren Personalakten eine klare Vorgabe von zehn Jahren Aufbewahrung gibt. Für Beschäftigte ohne Beamtenverhältnis gibt es im BGB nur eine Mindestanforderung von drei Jahren. Die Vorgabe, Unterlagen so lange vorzuhalten, bis eine mögliche Betriebsprüfung erfolgt ist, verlängert die Aufbewahrungsfrist auf zehn Jahre – wieder eine Parallele zum Beamtenrecht.

Zehn Jahre bei Personal­unterlagen

Manchmal wird bei einer Betriebsprüfung festgestellt, dass das Finanzamt bestimmte Vorkommnisse genauer überprüfen sollte. In diesem Fall wird ein sogenannter Löschvorbehalt erlassen. Der gilt, bis die Betriebsprüfung für die Lohnunterlagen stattgefunden hat. Wenn die Lohnsteuerprüfung erfolgt ist, können die Unterlagen so gelöscht werden, wie es ohne Lohnsteuerprüfung vorgesehen war.

Manches traditionelle Unternehmen bewahrt die Personalunterlagen aus anderen Gründen länger auf. Früher gab es eine einfache Begründung: Rentenversicherungsunterlagen waren zwar zentral abgespeichert, aber beim Rentenantrag musste man dennoch Unterlagen über die eingezahlten Renten vorlegen. Da konnte es passieren, dass beschäftigte Personen Unterlagen verloren hatten. Arbeitgeber verstanden das als Auftrag an den eigenen Servicegedanken, die Unterlagen länger als die vorgesehenen zehn Jahre nach Ausscheiden aufzubewahren. Mit einer Kopie beim Arbeitgeber konnte man verhindern, Abschläge bei der Rente hinnehmen zu müssen.

In der heutigen Zeit ist das nicht mehr nötig, Rentennachweise werden mittlerweile zentral geführt. Demzufolge gibt es keinen stichhaltigen Grund, Personalunterlagen länger als die vorgesehenen zehn Jahre respektive den Prüfvorbehalt aufzubewahren.

Was passiert, wenn Sie nicht löschen

Was nicht jeder weiß: Findet eine Betriebsprüfung durch das Finanzamt statt und es befinden sich im Unternehmen Unterlagen, die trotz verstrichener Aufbewahrungsfrist noch vorhanden sind, dürfen auch diese Unterlagen zur Prüfung herangezogen werden. Das kann dazu führen, dass Unterlagen, die eigentlich nicht mehr da sein sollten, eine Nachversteuerung verursachen.

Im Datenschutz lauert ein weiteres Risiko. Die DSGVO setzt hohe Geldbußen fest, wenn Persönlichkeitsrechte betroffener Personen missachtet werden – also die Rechte von jenen, deren Daten verarbeitet werden. Eines der Betroffenenrechte ist das Recht auf Löschung. Werden Unterlagen mit personenbezogenen Daten, also beispielsweise Personalakten, nicht rechtzeitig gelöscht, handelt es sich mutmaßlich um einen Datenschutzverstoß. Das kann im Extremfall zu einer Geldbuße von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten Konzernumsatzes im Vorjahr führen. Das ist der Höchstsatz, der bisher noch nie verhängt wurde. Wer aber auf Grundlage des Risikomanagements handelt, sollte den Höchstsatz kennen und berücksichtigen.

Ob Personalakten oder sonstige Unterlagen, wer das Löschen nach der Aufbewahrungsfrist versäumt, geht also ein doppeltes Risiko ein: dass Unterlagen zu seinem Nachteil verwendet werden – und dass sie Beanstandungen oder gar eine Geldbuße durch die Datenschutz-Aufsichtsbehörden nach sich ziehen.

Aufbewahren und Löschen nach den Regeln des Datenschutzes

Was den Datenschutz angeht, müssen Verantwortliche beim Löschen verschiedene Vorgaben beachten. Da gibt es die Verpflichtung, die Verfügbarkeit personenbezogener Daten sicherzustellen. Datenschutzbeauftragte müssen also darauf achten, dass Unterlagen tatsächlich so lange bei der Hand sind, wie sie benötigt werden oder gesetzliche Aufbewahrungsfristen es vorgeben. Werden sie nicht mehr benötigt bzw. ist die gesetzliche Aufbewahrungsfrist abgelaufen, müssen Unterlagen zuverlässig gelöscht werden.
Jedes Unternehmen muss demzufolge konzeptionell löschen, heißt: Ein Löschkonzept muss her. Es empfiehlt sich, eine Löschleitlinie auszuarbeiten (also ein generisches Löschkonzept) sowie Löschregeln für die einzelnen Fachbereiche.

Datenschutzbeauftragte müssen im Rahmen ihrer Überwachungsaufgabe Sorge tragen, dass Unterlagen gelöscht werden, wenn ihre Zeit gekommen ist. Das gilt für Personalakten insbesondere, weil damit die Rechte beschäftigter Personen direkt betroffen sind. Und für seine Beschäftigten hat das Unternehmen ja bekanntlich eine Fürsorgepflicht.

Tipps, wie Sie Personalunterlagen richtig aufbewahren und löschen

• sicherstellen, dass nur berechtigte Personen auf Personalakten Zugriff haben
• klare Vorgaben zur Aufbewahrung und zum Löschen von Personalunterlagen erstellen
• sicherstellen, dass Personalunterlagen nach Ablauf der Aufbewahrungsfrist gelöscht werden
• Papierunterlagen sachgerecht entsorgen, und zwar mit einem dafür zertifizierten Entsorgungsbetrieb
• elektronische Daten im Zusammenhang mit der Personalakte fristgerecht vernichten. Dazu gehören Dokumente in Word wie Zeugnisse ebenso wie Mails im Zusammenhang mit der beschäftigten Person.
• Wir empfehlen, eine Löschleitlinie zu erlassen, die die Grundsätze des Löschens betrachtet. Beispielsweise Löschfristen, wann die entsprechenden Aufbewahrungsfristen beginnen, wann sie enden, wie viel Zeit höchstens zwischen dem Ende der Aufbewahrungsfrist und dem tatsächlichen Löschen liegen darf, sowie die Anforderungen, die in dieser Zeit für die Aufbewahrung betroffener Unterlagen zu beachten sind.
• die Maßnahmen sorgfältig überwachen. Stellen Sie anhand von Stichproben sicher, dass Löschregeln und Aufbewahrungsfristen eingehalten werden und die Entsorgung fachgerecht erfolgt.
  

Und die Kernfrage: Haben Sie sichergestellt, dass Personalunterlagen unter Berücksichtigung der Betroffenenrechte und gesetzlicher Aufbewahrungsfristen zum angemessenen Zeitpunkt gelöscht werden?

Wir wünschen viel Erfolg beim Managen der Personalakten!