Das papierlose Büro ist noch immer ein Wunsch vieler Unternehmer. Allerdings rücken mit den heute verfügbaren Technologien manche Wünsche in greifbare Nähe. Mit digitalen Personalakten ist die Ersetzung der Papierakte gemeint, die heute schon vielfach zumindest ergänzend zum Einsatz kommt. Mit dem Scannen von Dokumenten, einem Dokumentenmanagement oder einer komplexen HR-Software dienen noch existierende Papierakten lediglich zur Archivierung.
Neben der Ersparnis von Papierbergen steht dabei vor allem im Vordergrund, dass jedem Zugriffsberechtigten jederzeit überall eine vollständig bearbeitbare Akte zur Verfügung steht und dass notwendige Statistiken leichter zu erstellen und zu pflegen sind. Die digitalen Akten bieten viele Gestaltungs- und Auswertungsmöglichkeiten. Allerdings sind bei der Einführung der digitalen Personalakte zahlreiche datenschutzrechtliche Anforderungen zu berücksichtigen.
3.1 Gewährleistung der Datenschutzanforderungen bei der digitalen Akte
Das Führen einer elektronischen Personalakte ist unter Berücksichtigung der datenschutzrechtlichen Grundsätze zulässig.
3.1.1 Verlust des Beweiswerts
Grundsätzlich ist das Digitalisieren von Dokumenten mit rechtlichen Risiken verbunden, da sich der Beweiswert im Rechtsstreit verringert oder zumindest ungeklärt ist. Vor Gericht gilt eine Urkunde dann als vollständig und richtig, wenn sie im Original unterzeichnet ist. Das Gericht kann allerdings durch Inaugenscheinnahme eines ausgedruckten Dokuments dessen Inhalt im Rahmen einer freien Beweiswürdigung werten. Dies ist dem Gericht aber nicht in allen Verfahren(-steilen) möglich und hat nicht denselben Beweiswert wie eine Originalurkunde. Wenn das Dokument mit einer qualifizierten elektronischen Signatur versehen ist, ist nach dem Gesetzeswortlaut des § 371a Abs. 1 ZPO im Grunde eine Gleichstellung zur Originalurkunde gewollt. Dennoch ist dies umstritten, da teilweise die Gerichte trotz des eindeutigen Wortlauts gegen den Beweiswert einer solchen Signatur entscheiden.
Dokumente, bei denen der Verdacht einer Fälschung aufkommen könnte, die dem Beschäftigten nach Beendigung des Arbeitsverhältnisses auszuhändigen oder die grundsätzlich wichtig für ein Beschäftigtenverhältnis sind, sollten deshalb auch künftig sicherheitshalber in Papierform vorgehalten werden.
3.1.2 Beweisverwertungsverbot im gerichtlichen Prozess
Sollen Informationen aus digitalen Personalakten im gerichtlichen Prozess verwendet werden, so z. B. in einem Kündigungsprozess, ist darauf zu achten, dass die vorgelegten Informationen nicht unter Verstoß des Datenschutzrechts erlangt worden sind. Dies hat das Bundesarbeitsgericht (BAG) ausdrücklich in seinem sog. Spind-Urteil festgestellt, welches allerdings vor Inkrafttreten der DSGVO ergangen ist. Informationen, die unter Verstoß des heutigen § 26 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) gewonnen werden, können demnach grundsätzlich einem sog. Beweisverwertungsverbot bzw. Zeugenvernehmungsverbot unterliegen. Diese Verbote ergeben sich, so das BAG, unmittelbar aus dem Verstoß gegen die datenschutzrechtliche Norm. Für die Personalabteilung bedeutet dies, dass das Datenschutzrecht und das allgemeine Persönlichkeitsrecht von Betroffenen unbedingt beachtet werden müssen. Dies gilt insbesondere für die Erhebung von Informationen, die gegen den Betroffenen verwendet werden sollen.
Bei Ermittlungen im Unternehmen ggf. Behörden oder Berater einschalten
Beim Erheben und Speichern von Beschäftigtendaten ist unbedingt darauf zu achten, dass datenschutzrechtliche Bestimmungen eingehalten werden. Im Zweifel sollte bei einer unternehmensinternen Ermittlung lieber früher als später eine staatliche Behörde oder ein rechtlicher Berater hinzugezogen werden.
3.1.3 Notwendigkeit einer Datenschutzfolgenabschätzung (Art. 35 DSGVO)
Vor der Inbetriebnahme eines digitalisierten Personalaktensystems sollte eine Risikoanalyse durchgeführt werden, um Risiken für die Rechte und Freiheiten der Beschäftigten zu identifizieren. Im Rahmen dieser Risikoanalyse muss zunächst der geplante Verarbeitungsvorgang zusammengefasst und beschrieben werden. Anschließend wird evaluiert, welche spezifischen Risiken mit der entsprechenden Verarbeitung einhergehen. Hier spielt es unter anderem eine Rolle, ob automatisierte Entscheidungsfindung verwendet wird, die erheblichen Einfluss auf den Betroffenen haben kann, ob Betroffene systematisch überwacht werden sollen, ob besondere Kategorien personenbezogener Daten verarbeitet werden oder ob Daten von vulnerablen Gruppen verarbeitet werden sollen (z. B. Minderjährige).
Ergibt diese Risiko-Analyse ein hohes Ris...