Die Vertraulichkeit einer Akte ist gewährleistet, wenn die Zugriffsmöglichkeiten so gering wie möglich gehalten werden und der Nutzerkreis nach genauen Regeln definiert ist. Außerhalb dieses Nutzerkreises ist jeder weiteren Person der Zugriff zu verweigern bzw. sicherzustellen, dass ein Zugriff nicht erfolgen kann. Die berechtigten Nutzer haben die erhaltenen Informationen nur in gesetzlich legitimierten Fällen oder Fällen der wirksamen Einwilligung durch den Beschäftigten an Dritte weiterzugeben. Bei der Entwicklung eines Berechtigungskonzepts für den Zugriff auf digitalisierte Akten sollte man sich deshalb von der Frage leiten lassen: Muss ein Mitarbeiter der Abteilung A, B, C im Rahmen seiner Aufgaben Zugriff auf bzw. Einblick in die enthaltenen Informationen X, Y, Z haben?
Auskunft über Ex-Mitarbeiter an neuen Arbeitgeber
Der Leiter einer Personalabteilung erhält vom potenziellen neuen Arbeitgeber eines ehemaligen Mitarbeiters eine Anfrage zu personenbezogenen Daten aus der Personalakte des Arbeitnehmers. So möchte der neue Arbeitgeber insbesondere wissen, ob irgendwelche Abmahnungen in der Personalakte seines Bewerbers enthalten sind. In diesem Fall dürfen diese Informationen nicht weitergegeben werden. Liegt keine Einwilligung des Arbeitnehmers hierzu vor, so besteht ein Verstoß gegen den Grundsatz der Direkterhebung. Dies gilt ebenso bei der Besetzung von Positionen mit besonderer Verantwortung. Auch hier rechtfertigt die Sorgfaltspflicht des zukünftigen Arbeitgebers keine Arbeitgeberauskunft ohne die Einwilligung des Betroffenen. Abgesehen davon verletzt der ehemalige Arbeitgeber regelmäßig die aus dem Arbeitsvertrag nachwirkende Treuepflicht, wenn er ohne das Einverständnis des Betroffenen Informationen an Dritte weitergibt. In der derartigen Konstellation liegt zudem ein Verstoß gegen die Informationspflicht nach der DSGVO vor.[1]
Darüber hinaus müssen Daten, die gemäß der DSGVO einem höheren Schutzniveau unterliegen, auch im Rahmen der Vertraulichkeit der Personalakte besonders geschützt werden.
Schutz von Gesundheitsdaten
Werden im Rahmen des Beschäftigungsverhältnisses besondere Kategorien personenbezogener Daten über den Beschäftigten verarbeitet, wie z. B. Informationen zu seiner Gesundheit, sind diese besonders vor dem Einblick Unbefugter zu sichern. Dies kann z. B. dadurch bewirkt werden, dass sie gesondert aufbewahrt werden (etwa in einem verschlossenen Umschlag oder verschlüsselt), sodass sie bei der regulären Sachbearbeitung der Personalakte nicht ohne konkreten Anlass ins Auge fallen. Bei digitaler Aufbewahrung empfiehlt sich hier ein gestuftes Sicherheitskonzept, nach dem der ordentliche Sachbearbeiter niedrigere Einsichtsrechte in die Personalakte besitzt als sein Vorgesetzter.
Dieser Inhalt ist unter anderem im Haufe Personal Office Platin enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen