Viele Unternehmen führen bereits eine digitale Personalakte, da die digitale Verarbeitung von Personaldaten zahlreiche Vorteile bietet, so u.a. eine Entlastung der Personalabteilung, mehr Transparenz und die Einsparung von Archivraum. Andererseits birgt die digitale Personalakte eine erhöhte Missbrauchsgefahr in sich. Da die neuen datenschutzrechtlichen Vorschriften zudem die Rechte der Bewerber und der Beschäftigten nachhaltig gestärkt haben und bei Datenschutzverstößen empfindliche Sanktionen drohen, umreißt unser Datenschutzbeauftragter die wesentlichen datenschutzrechtlichen Anforderungen, die bei der Führung von digitalen Personalakten beachtet werden sollten.
Digitale Personalakte unterliegt dem Datenschutz
Da in den digitalen Personalakten hochsensible Arbeitnehmerdaten wie u.a. Lebenslauf, Beurteilungen, Gehaltsabrechnungen u. dgl., aber auch Informationen über die Gesundheit eines Betroffenen (z.B. Atteste) oder sogar dessen Religion zu finden sind, liegt es auf der Hand, dass digitale Personalakten und die hiermit im Zusammenhang stehenden Verarbeitungsvorgänge dem Datenschutz unterliegen.
Der durch Artikel 88 der Europäischen Datenschutzgrundverordnung (DSGVO) vorgegebene Rechtsrahmen für den Beschäftigtendatenschutz wird durch § 26 des Bundesdatenschutzgesetzes (BDSG) näher konkretisiert.
Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, sofern
- die/der betroffene Beschäftigte hierin eingewilligt hat,
- dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten oder
- dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, sodass die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der/des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt sowie Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Als „Beschäftigte“ gelten insbesondere Arbeitnehmerinnen und Arbeitnehmer, Auszubildende, Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis, aber auch Personen, deren Beschäftigungsverhältnis beendet ist.
Informationspflichten des Arbeitgebers
Für den Arbeitgeber entsteht mit dem Anlegen von digitalen Personalakten die Pflicht, die Betroffenen insbesondere über die Verarbeitungszwecke und die Rechtsgrundlage zu informieren. Daher umfasst die Informationspflicht des Arbeitgebers u.a. folgende Angaben:
- Rechtsgrundlage der Verarbeitung, Verarbeitungszwecke und Speicherdauer
- Betroffenenrechte: insbesondere Auskunft, Berichtigung, Löschung und Widerrufbarkeit von Einwilligungen
- Beschwerderecht bei der Aufsichtsbehörde
- Kontaktdaten des/ der betrieblichen Datenschutzbeauftragen (sofern vorhanden)
Die Informationspflicht seitens des Arbeitgebers entfällt jedoch dann, wenn die/der betroffene Bewerberin/ Bewerber bzw. Beschäftigte bereits über diese Angaben verfügt. Sinn und Zweck der Informationspflichten ist es, dass der Betroffene wissen soll, ob und zu welchem Zweck der Arbeitgeber seine personenbezogenen Daten nutzt.
Sicherung der Vertraulichkeit der digitalen Personalakte
Um auch im Rahmen der digitalen Personalaktenführung die Vertraulichkeit der Personaldaten zu gewährleisten, sollte im Unternehmen ein restriktives Berechtigungskonzept angewendet werden mit dem Ziel, dass nur die Personen Zugriffsrechte auf Arbeitnehmerdaten erhalten, bei denen die Einsicht in Personalakten zur Aufgabenerfüllung in der Personalverwaltung notwendig ist.
Darüber hinaus sollten die allgemeinen datenschutzrechtlichen Prinzipien berücksichtigt werden, so insbesondere die Anwendung von Verschlüsselungstechniken und, soweit möglich, die Datenminimierung.
Löschungs- und Aufbewahrungspflichten
Die in der digitalen Personalakte gespeicherten personenbezogenen Daten sind zu löschen, wenn der Zweck der Speicherung entfallen ist oder ihre Speicherung unzulässig war. Eine darüber hinausgehende Speicherung ist jedoch erlaubt, solange der Arbeitgeber einer vertraglichen oder einer rechtlichen Verpflichtung, z.B. aufgrund steuerrechtlicher Aufbewahrungspflichten, nachkommen muss oder um Rechtsansprüche durchsetzen oder abwehren zu können.
Ass. jur. Wolfgang Spitz ist seit über 30 Jahren für verschiedene Unternehmen, insbesondere aus den Bereichen Forderungs- und Informationsmanagement, als betrieblicher Datenschutzbeauftragter (bDSB) tätig. Er hat sich umfassende Kenntnisse über datenschutzrechtliche Vorschriften auf nationaler und europäischer Ebene angeeignet. In seiner Funktion als bDSB berät er Verantwortliche und Mitarbeiter in allen Fragen des Datenschutzes. Er ist gleichzeitig Ansprechpartner für Betroffene, die Fragen zur Verarbeitung ihrer Daten und zur Wahrnehmung ihrer Rechte haben. Herr Spitz hält einen engen und vertrauensvollen Kontakt zu den Datenschutzaufsichtsbehörden.