EuGH – Recht auf Vergessen auch bei Personal- und Mitarbeiterdaten

Der Europäische Gerichtshof hat auf Basis der europäischen Datenschutzrichtlinie die “Pflicht zum Vergessen” verabschiedet. Die Entscheidung vom 13. Mai 2014 gilt zwar für Google, stärkt jedoch nach Ansicht vieler Experten, die Rechte von Personen.

“Mit dem heutigen Urteil des Europäischen Gerichtshofs zu Google wurde der Datenschutz auf Seiten der europäischen Verbraucher nochmals deutlich gestärkt. Wer speichern kann, muss auch löschen können”, kommentiert etwa Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland. Das Urteil bekräftige, dass Verbraucher unter bestimmten Umständen jederzeit die Möglichkeit haben sollten, die dauerhafte Löschung ihrer persönlichen Daten zu veranlassen. “So wird es auch die geplante EU-Datenschutzreform vorsehen”, so Börgmann weiter.

Ob das ‘Recht auf Vergessen’ in der Praxis von allen Unternehmen umgesetzt werden kann, darf durchaus bezweifelt werden. Laut einer Studie, die Iron Mountain bei PriceWaterhouse Coopers in Auftrag gegeben hat, ist die Mehrheit der befragten Deutschen (78 Prozent) skeptisch, ob Unternehmen einer Aufforderung zur Löschung auch wirklich nachgehen.

Außerdem herrscht erhebliche Verwirrung, wenn es um die Art der Information geht, deren Löschung eine Person fordern kann. Die meisten deutschen Befragten glauben, dazu berechtigt zu sein, die Löschung von persönlichen Informationen (92 Prozent), Finanzinformationen (66 Prozent) und E-Mail-Korrespondenz (66 Prozent) zu verlangen. Indessen würde nur die Hälfte (50 Prozent) nach der Löschung von Social Media-Postings fragen.

Viele Bürger haben vermutlich auch schon vor der Frage kapituliert, wer alles über ihre Daten verfügt. Laut der Studie des Datenschutzspezialisten Iron Mountain sollen etwa 80 Prozent der Deutschen so denken. Hinzu kommt auch, dass in Zeiten von Big Data und Digital Enterprise personenbezogene Informationen in allen möglichen Kanälen gespeichert werden: E-Mail, Online, Social Media und nicht zuletzt in Papierform.

“Wir haben mit PwC im Rahmen einer Studie zum Informationsrisiko festgestellt, dass die Hälfte der deutschen Unternehmen (46 Prozent) dazu tendiert, ihre Informationen zu horten. Unternehmen löschen nicht gerne Informationen”, enthüllt Börgmann.

In einer Pressemitteilung betont das Beratungsunternehmen Steria Mummert Consulting, dass die sich abzeichnende EU-Datenschutzreform für Unternehmen nicht nur den Schutz von Verbraucherdaten betreffen wird: “Auch personenbezogene Mitarbeiter- und Bewerberdaten unterliegen rechtlichen Bestimmungen, wie dem ‘Recht auf Vergessen’.”

Steria Mummert erklärt, dass Personenbezogene Daten “nur zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden, und sind vor Missbrauch zu schützen. Werden sie nicht mehr benötigt, sind sie entsprechend der vorgegebenen Fristen zu löschen. Dazu müssen Daten unkenntlich gemacht werden und dürfen nach ihrer Löschung nicht mehr existieren.”

Zwar sei das im Grunde schon heute Vorschrift, doch von der bisherigen europäischen Datenschutzregelung aus dem Jahr 1995 werde in der Praxis oftmals abgewichen. Steria erklärt das damit, dass aufgrund von technischen Entwicklungen Schlupflöcher gefunden wurden. Und diese sollen nun mit der EU-Datenschutzreform, die bereits im Januar 2012 angestoßen wurde, wieder geschlossen werden.

Heute nutzen viele Unternehmen Personalmanagementsysteme, mit denen Hierarchiestrukturen eines Unternehmens, die enthaltene organisatorischen Abhängigkeiten und letztlich natürlich auch Mitarbeiter verwaltet werden. Steria Mummert Consulting empfiehlt daher fünf Schritte für die Erstellung eines dedizierten Datenlöschkonzeptes vor.

“Die Initiierung einer solchen Maßnahme sowie die Etablierung dieses Vorgehens wird das Risiko einer Datenüberalterung minimieren und vor allem die Rechtssicherheit von Unternehmen wesentlich erhöhen”, erklärt Andreas Hinz, Experte für das Human Capital Management von SAP bei Steria Mummert Consulting.

Ähnlich sieht das auch Börgmann von Iron Mountain: “Egal, ob die persönlichen Daten auf Papier, in elektronischen Datenbanken oder online gespeichert sind. Unternehmen sollten wissen, wo diese sind, wer dafür zuständig ist und wie man diese sicher löscht oder vernichtet, wenn danach gefragt wird. Nur so wird Rechtssicherheit und Transparenz geschaffen. Für viele Firmen fängt es damit an, Papierdokumente zu digitalisieren, so dass die Daten beispielsweise über ein Texterkennungssystem in eine zentrale Datenbank eingespeist werden können. Ebenso sollten die Aufbewahrungsfristen für Papierakten beachtet werden. Letztendlich müssen Unternehmen diese Maßnahmen umsetzen, bevor die neue EU-Verordnung in Kraft tritt.“

1. Klassifizierung der Daten: Die einzelnen Datenarten wie Protokoll-, Reise- oder Buchhaltungsdaten werden nach den Geschäftsprozessen und ihrem Verwendungszweck beurteilt.
2. Analyse der Datenobjekte für HCM Daten: Mehrere Datenarten können zu einer zusammengefasst werden, beispielsweise Urlaubstage und Gleizeittage zu Abwesenheitszeiten.
3. Identifizierung der Aufbewahrungsfristen: Je nach Datenart ist zu klären, wie lange diese im Prozess benötigt wird. Hierfür gibt es gesetzliche, fachliche und vertragliche Aspekte.
4. Erstellung einer Löschklassentabelle mit den Löschfristen: Um den Prozess zu vereinfachen, sollten Standardlöschfristen definiert werden. Hier bieten sich die gesetzlich vorgeschriebenen Fristen an (sofort, 4 Jahre, 7 Jahre oder 11 Jahre)
5. Technische Umsetzung: Eine systemtechnische Löschung wird mit einem Werkzeugkasten für das Information Lifecycle Management (ILM) möglich. Dieser unterstützt umfassend von der Erstellung der Regeln bis zur systemweiten Vernichtung der Daten sowie der Dokumentation.