Was für den Datenschutz bei digitalen Personalakten gilt


Datenschutz bei elektronischen Personalakten

In digitalen Personalakten finden sich eine Vielzahl persönlicher Daten der Mitarbeitenden. Damit ist im Unternehmen auch hier besonders auf die Einhaltung datenschutzrechtlicher Grundsätze zu achten. Beschäftigte haben zudem einen datenschutzrechtlichen Auskunftsanspruch.

Beim Führen von Personalakten werden viele persönliche Daten der Mitarbeitenden gesammelt. Dazu gehören die üblichen Informationen wie Name, Anschrift, Alter, Geschlecht, Familienstand, Lebenslauf oder Zeugnisse. Aber es werden oftmals auch besonders sensible Informationen wie Gesundheitsdaten oder Religionszugehörigkeit erfasst. Unternehmen müssen sich beim Umgang mit Mitarbeiterdaten zwingend an die datenschutzrechtlichen Vorgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) halten. Worauf ist im beim Umgang mit Personalakten besonders zu achten?

Digitale Personalakte: Was beim Datenschutz zu beachten ist

Das BDSG und die DSGVO gelten für alle Beschäftigungsverhältnisse. Wenn Arbeitgeber im Unternehmen personenbezogene Daten erheben, nutzen oder verarbeiten, müssen sie diese Vorgaben beachten. Grundsätzlich darf eine Datenverarbeitung im Rahmen von (digitalen) Personalakten immer nur mit rechtlicher Grundlage erfolgen. Hierfür kommen verschiedene allgemeine datenschutzrechtliche Vorschriften in Betracht wie ein Tarifvertrag, eine Betriebsvereinbarung, gesetzliche Ermächtigungsgrundlagen oder eine vom Mitarbeitenden erklärte Einwilligung.

Download-Tipp: Digitale Personalakte und Datenschutz

In diesem Haufe Whitepaper informieren wir Sie über die rechtlichen Grundlagen für digitale Personalakten und geben Handlungsempfehlungen - inklusive Checkliste.

Hier geht es zum Download.

Bundesdatenschutzgesetz: Was gilt für Personalakten?

Eine gesetzliche Ermächtigungsgrundlage zur Datenerhebung kann § 26 BDSG sein. Danach dürfen Arbeitgeber Daten sammeln, die für die Aufnahme, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind. Die Datenschutzvorgaben gelten dabei nicht nur für elektronische Personalakten, sondern auch für alle gesammelten Unterlagen, Dokumente oder kompletten Personalakten in Papier. Sollen andere Daten von Mitarbeitenden erhoben und verarbeitet werden, ist eine gesonderte ausdrückliche Einwilligungserklärung erforderlich. 

Elektronische Personalakte: Welche Anforderungen gelten?

Unternehmen müssen im Zusammenhang mit digitalen Personalakten insbesondere folgende datenschutzrechtliche Bestimmungen beachten:

  • Die Daten dürfen nur zweckgebunden erhoben, verarbeitet und genutzt werden.
      
  • Es darf nur ein begrenzter Personenkreis Einsicht in die Personalakten erhalten. Der Arbeitgeber muss hier für klare Regelungen bei den Mitarbeitenden sorgen und die Daten zudem ausreichend vor unbefugter Einsichtnahme sichern.
      
  • Der Arbeitgeber muss Beschäftigten ermöglichen, ihr Auskunftsrecht gemäß § 15 Abs.3 DSGVO wahrzunehmen. Mitarbeitende sind grundsätzlich befugt, die in der eigenen Personalakte gesammelten Daten zu prüfen. Ob über den Auskunftsanspruch die Herausgabe von Kopien – wie zum Beispiel ganze Personalakten oder konkrete E-Mail-Nachrichten – durch den Mitarbeitenden verlangt werden kann, wird von den Gerichten unterschiedlich gesehen. Ein zu pauschal gefasstes Auskunftsbegehren kann der Arbeitgeber verweigern (hier lesen Sie hier mehr zum Urteil des Bundesarbeitsgerichts).
      
  • Wurden Daten falsch oder unzulässig erhoben, muss der Arbeitgeber diese löschen, sperren oder berichtigen. 
      
  • Das Verbot der Weitergabe der Daten an Dritte ist zu beachten. Nur bei einem berechtigten Interesse dürfen personenbezogene Daten der Personalakte übermittelt werden. Was bei einem Betriebsübergang gilt, lesen Sie in diesem Top-Thema-Kapitel.

Datenschutz durch technische und organisatorische Maßnahmen

Um den Datenschutz bei der elektronischen Personalführung zu gewährleisten, sollte auf folgende Sicherheitsmaßnahmen geachtet werden:  

Arbeitgeber sollten immer ein detailliertes Berechtigungskonzept einführen. Datenschutzkonform ist ein Zugriffsschutz, der gewährleistet, dass nur Personen die für sie zugelassenen Dokumente der Personalakte sehen oder bearbeiten können. Der Zugriff sollte grundsätzlich nur nach persönlicher Authentifizierung möglich sein. Dabei sollten alle Daten immer nach dem aktuellsten Stand der Technik abgesichert sein.

Eine Protokollierung der Arbeitsvorgänge ist sinnvoll, um Änderungen nachvollziehen zu können. Allerdings ist darauf zu achten, dass nicht alle Tätigkeiten in der digitalen Personalakte protokolliert werden dürfen. Hier muss vor allem bei eventuellen Löschungen darauf geachtet werden, dass das Löschprotokoll keine Rückschlüsse mehr auf das gelöschte Dokument wie beispielsweise eine Abmahnung zulässt.