Zusammenfassung
Im Rahmen des Beschäftigungsverhältnisses werden durch den Arbeitgeber zahlreiche personenbezogene Daten von Beschäftigten verarbeitet. Eine herausragende Rolle im Rahmen des Beschäftigtendatenschutzes spielt die Personalakte, in der regelmäßig alle Informationen über einen Mitarbeiter erhoben und verarbeitet werden. Bei der Führung der Personalakte sind umfangreiche datenschutzrechtliche Vorgaben zu beachten, deren Verletzung nicht nur für den Betroffenen einen Schaden darstellen kann. Auch Unternehmen drohen bei Verletzungen der datenschutzrechtlichen Vorschriften erhebliche Konsequenzen und Reputationsschäden. Im Rahmen der Digitalisierung von Unternehmen wird zuletzt immer häufiger auf eine digitale Personalakte zurückgegriffen. Insbesondere die Möglichkeit Rollen und Zugriffskonzepte zu entwickeln und zu implementieren bietet Chancen für den Schutz der Daten. Gleichwohl können auch bei einer digitalen Personalakte erhebliche Risiken für den Betroffenen entstehen. Der Beitrag befasst sich zunächst mit den im Rahmen der Personalaktenführung relevanten rechtlichen Grundlagen, bevor die Anforderungen an die Personalaktenführung definiert und anschließend die Besonderheiten der digitalen Personalakte aufgezeigt werden.
Seit dem 25.5.2018 regelt die Verordnung 2016/679 (Datenschutz-Grundverordnung) der Europäischen Union das Datenschutzrecht in den Mitgliedsstaaten der Union unmittelbar. Datenschutz-Grundverordnung sieht jedoch, unter anderem für die Verarbeitung von Daten im Beschäftigungskontext, Möglichkeiten zur Schaffung nationaler Vorschriften vor, sofern diese mit den in der Datenschutz-Grundverordnung verankerten Prinzipien zum Schutz personenbezogener Daten vereinbar sind. Der deutsche Gesetzgeber hat diese Gestaltungsmöglichkeit mit dem Bundesdatenschutzgesetz genutzt. Regelungen zum Beschäftigtendatenschutz finden sich in § 26 BDSG.
1 Rechtliche Grundlagen
Bevor auf die Herausforderungen der digitalen Personalakte eingegangen wird, sollen zunächst grundsätzliche rechtliche Aspekte im Zusammenhang mit der Verarbeitung personenbezogener Daten von Beschäftigten aufgezeigt werden.
1.1 Eröffnung des Anwendungsbereiches (Art. 2 DSGVO)
Die DSGVO, konkretisiert durch das BDSG, gilt gemäß Art. 2 Abs. 1 DSGVO für die Verarbeitung von Daten, soweit Daten ganz oder teilweise automatisiert verarbeitet werden. Sofern die Daten nicht automatisiert verarbeitet werden, aber in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gelten die Vorschriften der DSGVO und des BDSG ebenfalls. Für die Praxis gilt demnach: Werden personenbezogene Daten mittels eines Computerprogramms, wie z. B. einer Personalverwaltungssoftware, verarbeitet, müssen die Bestimmungen der DSGVO beachtet werden.
1.2 Verarbeitung von Beschäftigtendaten (§ 26 BDSG)
§ 26 BDSG bildet die primäre Grundlage, auf der die Erhebung von personenbezogenen Daten eines Beschäftigten gestützt werden kann. Personenbezogene Daten in diesem Zusammenhang sind u. a. das Stammdatenblatt, Urlaubsanträge, interne Leistungsbeurteilungen, Lohnabrechnungen, Unterlagen über die betriebliche Altersvorsorge, Arbeitszeugnisse, Bewerbungsunterlagen und Abmahnungen. Die Führung einer Personalakte erfolgt regelmäßige unter Rückgriff auf § 26 BDSG.
1.3 Informationspflichten des Verantwortlichen (Art. 13 DSGVO)
Dem Verantwortlichen werden durch die DSGVO zahlreiche Informationspflichten auferlegt. Die Erfüllung dieser Informationspflichten wird insbesondere dann relevant, wenn die Personalakte digital geführt werden soll. Hier ist der Beschäftigte z. B. über etwaig eingesetzte Drittanbieter oder den Transfer personenbezogener Daten in Drittstaaten zu informieren. Häufig erfolgt die Erteilung der Information im Rahmen des "Onboarding-Prozesses "eines Mitarbeiters durch Verweis auf eine "Mitarbeiter-Datenschutzinformation" im Intranet oder das Aushändigen eine Kopie der Information.
1.4 Betroffenenrechte
Den Beschäftigten stehen im Rahmen der DSGVO zahlreiche Betroffenenrechte zu. Hierzu zählen z. B. das Auskunftsrecht (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO). Gerade im Rahmen der Einführung einer digitalen Personalakte müssen diese Betroffenenrechte berücksichtigt werden und es muss sichergestellt sein, dass die Bearbeitung von Auskunftsersuchen oder die Gewährung des Rechts auf Kopie technisch einwandfrei und unkompliziert möglich sind.
1.5 Einsichtsrecht in die Personalakte (§ 83 Abs. 1 BetrVG)
Das Einsichtsrecht des Beschäftigten in die eigene Personalakte regelt § 83 Abs. 1 BetrVG: "Der Arbeitnehmer hat das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Er kann hierzu ein Mitglied des Betriebsrats hinzuziehen. Das Mitglied des Betriebsrats hat über den Inhalt der Personalakte Stillschweigen zu bewahren, soweit es vom Arbeitnehmer im Einzelfall nicht von dieser Verpflichtung entbunden wird."
Folgende Punkte sollten zur Einsichtnahme in die Personalakte beachtet werden.
- Eine Einsichtnahme kann nicht unter Hinweis auf enthaltene Betriebs- und Geschäftsgeheimnisse verweigert werden.
- Zu den Personalakten gehören alle Unterlagen über die Person des Arbeitnehmers unabhängig ...