Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Der Beschäftigtendatenschutz und die digitale Personalakte

PrintMailRate-it

veröffentlicht am 22. Mai 2019


Über 80 Prozent der Arbeitgeber führen bereits eine digitale Personalakte. Das ist nicht verwunder­lich, da eine digitale Verarbeitung von Personaldaten den Unternehmen zahlreiche Vorteile bietet, wie etwa eine Entlastung der Personalabteilung, ein Plus an Transparenz und die Einsparung eines Archivraums. Doch aufgrund des Inkrafttretens der europäischen Datenschutz-Grundverordnung (nachfolgend nur „EU-DSGVO” genannt) und deren empfindlicher Strafen sind viele Arbeitgeber verunsichert, ob bei der digitalen Verwaltung von Personaldaten der Datenschutz überhaupt zu beachten ist und wenn ja, in welchem Umfang.


 

Inhalt der digitalen Personalakte

Da in den digitalen Personalakten hochsensible Arbeitnehmerdaten wie Name, Lebenslauf, Beurteilungen, Zeugnisse, Adress- und Kontodaten, Informationen über die Gesundheit des Betroffenen (z.B. Atteste) oder sogar dessen Religion zu finden sind, ist es nur logisch, dass die digitale Personalakte dem Daten­schutz unterliegt.


Prinzip des Verbots mit Erlaubnisvorbehalt/Rechtsgrundlage für die Verarbeitung der Personaldaten

Die EU-DSGVO und das Bundesdatenschutzgesetz sind jeweils Auffanggesetze mit Erlaubnisvorbehalt. Daher bedarf es für die Verarbeitung personenbezogener Personaldaten jeweils einer Rechtsgrundlage. Sie kann entweder in der Einwilligung des betroffenen Arbeitnehmers liegen, in einer Betriebsvereinbarung oder die Verarbeitung muss für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für dessen Durchführung oder Beendigung erforderlich sein.


Beginn des Datenschutzes

Meist werden im Bewerbungsprozess die Unterlagen der Bewerber seitens der Unternehmen eingescannt und gespeichert, sodass der Arbeitgeber bereits in diesem Stadium dazu verpflichtet ist, den Datenschutz zu beachten (siehe hierzu den Bereich „Wann beginnt der Beschäftigtendatenschutz”). Eine Speicherung von Bewerberdaten, die aufgrund von zulässigen Fragen gewonnen werden, also von solchen Fragen, an deren Beantwortung der Arbeitgeber ein „berechtigtes, billigenswertes und schutzwürdiges Interesse” hat, ist aus Datenschutzsicht unproblematisch. Anders sieht es hingegen aus, wenn der Arbeitgeber sein Fragerecht überschreitet. Da eine Speicherung solcher Daten unzulässig ist, hat der Bewerber ein Recht auf deren Löschung. Die Aufnahme des Bewerbers in einen sogenannten Bewerberpool und die damit einher­gehende längere Speicherung der Daten ist mit der Einwilligung des Bewerbers als zulässig anzusehen.


Erhöhte Informationspflichten für den Arbeitgeber

Für den Arbeitgeber entsteht mit dem Einscannen der Bewerber- bzw. Arbeitnehmerdokumente die Pflicht, den Betroffenen unter anderem über die Kontaktdaten des Datenschutzbeauftragen (sofern vorhanden), die Verarbeitungszwecke, die Rechtsgrundlage und etwaige berechtigte Interessen zu informieren. Darüber hinaus umfasst die Informationspflicht des Arbeitgebers auch Angaben bereitzustellen zu:
  • der Dauer der Speicherung,
  • den Rechten des Betroffenen,
  • der Widerrufbarkeit von Einwilligungen,
  • dem Beschwerderecht bei der Aufsichtsbehörde sowie
  • die gesetzliche oder vertragliche Verpflichtung bei personenbezogenen Daten.


Entbehrlich ist die Informationspflicht seitens des Arbeitgebers nur dann, wenn der betroffene Bewerber bzw. Arbeitnehmer bereits über diese Angaben verfügt. Sinn und Zweck der erhöhten Informationspflichten ist es, dass der Bewerber bzw. Arbeitnehmer wissen muss, ob und zu welchem Zweck der Arbeitgeber seine personenbezogenen Daten nutzt.


Privacy by Design und Privacy by Default bei internen Prozessabläufen und technischen Einstellungen

Um auch im Rahmen der digitalen Personalaktenführung die Vertraulichkeit der Personaldaten zu gewähr­leisten, ist es zwingend erforderlich, zunächst zu klären, wer im Unternehmen auf die Arbeitnehmerdaten Zugriff haben darf und für welche Aufgaben solche Zugriffe notwendig sind. Im öffentlichen Dienst finden sich entsprechende Vorschriften im Bundesbeamtengesetz. Auch wenn für privatrechtliche Arbeitsver­hältnisse entsprechende Regelungen nicht existieren, gelten dieselben Vorgaben. Insbesondere, dass der Kreis der Einsichtsberechtigten vom Vorgesetzten möglichst klein gehalten werden muss und dass die Einsicht in die Personalakte auch bei einer Berechtigung nur dann zulässig ist, wenn sie zum Zwecke der Personalverwaltung bzw. einer Personalangelegenheit erfolgt. Was auf den ersten Blick eine klare Sache zu sein scheint, bereitet bei näherer Betrachtung viele Fallstricke u.a. im Bewerbungsprozess, wenn bspw. die eingegangene Bewerbung per E-Mail innerhalb des Unternehmens weitergeleitet wird. Dabei stellt sich den Datenschutz betreffend die Frage, welche Personen im Unternehmen die Möglichkeit der Einsichtnahme in bestimmte E-Mail-Postfächer haben und sie alle einsichtsberechtigt sind. Zudem ist fraglich, ob die E-Mail nach der Stellenbesetzung auch tatsächlich wieder gelöscht wurde.

Aus technischer Sicht sind Arbeitgeber gut beraten, die Arbeitnehmerdaten auf ihren eigenen Servern zu speichern, um einen Missbrauch der Personaldaten durch Dritte zu vermeiden. Eine andere Möglichkeit ist der Rückgriff auf eine Software aus einer Cloud, sofern die vom Cloudanbieter verwendete Software den gesetzlichen Datenschutzvorschriften entspricht und dessen Rechner- und Serverräume zudem eine größtmögliche physische Datensicherheit bieten.


Löschungspflichten

Die gespeicherten Personaldaten müssen seitens des Arbeitgebers dann gelöscht werden, wenn ihre Speicherung unzulässig war, weil bspw. das Fragerecht des Arbeitgebers überschritten wurde oder die Speicherung ihren Zweck erfüllt hat (etwa bei Ablehnung eines Bewerbers).


Aufbewahrungsfristen

Der Arbeitgeber ist demgegenüber gesetzlich verpflichtet, bestimmte Unterlagen (wie z.B. Abrechnungs­unterlagen) aufzubewahren. Die Aufbewahrungspflicht ist folglich das Pendant zu den Löschungspflichten des Arbeitgebers. Kollidieren beide Pflichten miteinander, ist eine weitergehende Speicherung und damit Aufbewahrung erlaubt, solange der Arbeitgeber einer rechtlichen Verpflichtung nachkommen muss oder um Rechtsansprüche durchzusetzen oder abzuwehren. Insoweit gilt das Recht der Arbeitnehmer auf „Vergessenwerden” nicht.


Fazit

Auch wenn die EU-DSGVO die Rechte der Bewerber und Arbeitnehmer nachhaltig gestärkt hat und die digitale Personalakte eine erhöhte Missbrauchsgefahr mit sich bringt, bietet die IT-gestützte Verarbeitung von Personaldaten den Unternehmen doch zahlreiche Vorteile. Mittels des richtigen Einsatzes einer datenschutzkonformen Software für das Bewerbermanagement und das Personalwesen sowie regelmäßigen Audits und Schulungen der Mitarbeiter können die datenschutzrechtlichen Anforderungen reibungslos gemeistert werden.

Deutschland Weltweit Search Menu