Allgemein
Die digitale Personalakte: Datenschutzrechtliche Aspekte und zulässiger Inhalt
von Thomas Reppa
24. Juni 2017

Sobald Sie als Inhaber eines Unternehmens den ersten Mitarbeiter einstellen, hat dies nicht nur Auswirkungen auf die Personalkosten, es verursacht auch Personalverantwortung. Diese Verantwortung betrifft nicht nur den Umgang mit dem Mitarbeiter selbst, sondern auch mit seinen Daten.

Das Zeitalter der Digitalisierung ist in vollem Gange und Personalakten werden zusehends digital geführt. Es stellt sich daher die Frage: Welche Unterlagen und Informationen, die Sie seit dem Beginn des Bewerbungsverfahrens und im weiteren Verlauf der Zusammenarbeit über Ihren Mitarbeiter sammeln, gehören in die Personalakte und was ist in punkto Datenschutz zu beachten?

Aus grundrechtlichen Wertentscheidungen und vor allem auch dem Bundesdatenschutzgesetz (BDSG) ergeben sich einige wichtige Grundsätze, deren Einhaltung jedem Unternehmen am Herzen liegen sollte.

Grundsatz der Erforderlichkeit

Die zentrale Norm für Zulässigkeit der Datennutzung und -verarbeitung ist § 32 Abs. 1 BDSG. Danach muss für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich sein. Als erforderlich kann die Verarbeitung der Daten immer dann gelten, wenn diese Bedeutung für die Lohnabrechnung, die Personalplanung, den individuellen Werdegang haben oder einen Leistungsvergleich ermöglichen.

Die Datenerhebung oder -verarbeitung muss dabei immer auch dem Grundsatz der Verhältnismäßigkeit entsprechen, D.h. es hat für jede Erhebung oder Verarbeitung eine Abwägung zwischen den Interessen des Arbeitgebers und den (Grund-)Rechten des Arbeitnehmers stattzufinden.

Vollständigkeit und Archivierung

Der Grundsatz der Vollständigkeit verlangt bei der elektronischen Personalakte, dass alle Personalvorgänge digital erfasst werden und alle Dokumente jederzeit aufgerufen werden können. Darüber hinaus sind sie ordnungsgemäß zu archivieren.

Es empfiehlt sich aber, bedeutsame arbeitsrechtliche Dokumente wegen vorgeschriebener Schriftform (insbesondere Kündigungen, Aufhebungsverträge oder nachvertragliche Wettbewerbsverbote) in Papierform aufzubewahren, sie können u. a. im Streitfall als Beweis dienen.

Datenvermeidung und Datensparsamkeit, Löschung

Gleichzeitig ist ei der Auswahl und Gestaltung der vom Unternehmen verwendeten automatisierten Verfahren darauf zu achten, dass möglichst wenige personenbezogene Daten (automatisiert) verarbeitet werden.

Die gesetzlich vorgeschriebene Löschung erhobener Daten innerhalb der gesetzlichen Löschungsfristen hingegen kann nunmehr technisch gelöst werden, dass von vornherein bzw. durch Zeitablauf unzulässig gespeicherte Daten gelöscht werden, ohne Spuren zu hinterlassen.

Vertraulichkeit

Je nach Schutzbedarf der Daten ist die Vertraulichkeit, Integrität, Authentizität und Revisionsfähigkeit der Daten durch geeignete (sog. technisch-organisatorische) Maßnahmen zu gewährleisten. Für die Ausgestaltung der Datenschutz- und Datensicherungsmaßnahmen ist ein Sicherheitskonzept zu entwickeln und auf dem neuesten Stand zu halten.

Zur Einhaltung der Vertraulichkeit muss auf technisch abgesicherte Rollen- und Berechtigungsstrukturen zurückgegriffen werden. In diesem Rahmen können Zugriffsbefugnisse festgelegt werden und den einzelnen Benutzern die entsprechenden Zugriffsrechte erteilt werden.

Des Weiteren besteht die Verpflichtung, besonders sensible Vorgänge zu verschlüsseln und Zugriffskontrollen mit regelmäßiger Überprüfung einzurichten, verbindliche Verfahrensanweisungen für Systemnutzer zu erstellen und regelmäßige Schulungen für Beschäftigte im Umgang mit der Personalakte durchzuführen.

Anonymisierung und Pseudonymisierung

Zulässige Auswertungen der in den Verfahren verarbeiteten Personaldaten sollten – soweit möglich – anonym oder pseudonym erfolgen; dies gilt nicht für Auswertungen, Abgleiche oder Zusammenführungen, in Bezug auf die dienstliche Funktion und Erreichbarkeit (Funktionsträgerdaten).

Verbot der automatisierten Einzelentscheidung

Entscheidungen gegenüber Mitarbeitern, die rechtlichen Folgen nach sich ziehen, dürfen jedoch nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient.

Transparenzgebot und Betroffenenrechte

Die Betroffenen sind über ihren persönlichen Datenbestand, die Zwecke der Verarbeitung und Zugriffsberechtigungen zu unterrichten. Ihre Rechte auf Auskunft, Sperrung und Löschung sind zu beachten.

Welche Informationen und Unterlagen gehören in die digitale Personalakte?

• Bewerbung sowie Unterlagen und Dokumente, die im Zusammenhang mit der Bewerbung stehen (zB Personalfragebögen, Einstellungsbeurteilungen usw.)

• Arbeitsvertrag inklusive späterer Änderungen

• Führungs- und Leistungsbeurteilungen

• Unterlagen über Qualifizierung, Zeugnisse, Fortbildungsmaßnahmen

• Lohn- und Gehaltsänderungen

• Urlaubsanträge und -bewilligungen

• Krankheitsbescheinigungen

• Darlehen und Pfändungen

• Korrespondenz zwischen Arbeitgeber und Arbeitnehmer

• Abmahnungen

• Kündigungsschreiben, Aufhebungsvertrag, Schlusszeugnis

Welche Informationen und Unterlagen gehören nicht in die digitale Personalakte?

• Ärztliche Einschätzungen zur Gesundheit des Arbeitnehmers

• Dokumente, in denen der Arbeitnehmer nur erwähnt ist wie etwa Personal- und Lohnlisten

• Vermerke des Arbeitgebers, zB über die Leistung des Arbeitnehmers

• Liste von Krankentagen und Krankheitsgründen

• Prozessakten in einem Rechtsstreit mit dem Arbeitnehmer

Axel Neubauer ist als Rechtsanwalt und zertifizierter Datenschutzbeauftragter (TÜV) bei der Münchener Rechtsanwalts-Kanzlei Bakker Binder Neubauer tätig. Er beschäftigt sich hauptsächlich mit IT- und Datenschutzrecht.

DEMO-TERMIN

Bereit uns kennenzulernen?

In wenigen Minuten erklären wir Ihnen CoffeeCup und Sie können es sofort testen.

CoffeeCup Blog
Das könnte Sie auch interessieren