Sowohl die Führung als auch die Aufbewahrung der Personalakte muss dem Grundsatz der Vertraulichkeit genügen. Der Grundsatz der Vertraulichkeit wird u. a. in Art. 5 Abs. 2f DSGVO konkretisiert. Der Arbeitgeber ist verpflichtet, die Personalakten sorgfältig zu verwahren, bestimmte Informationen (insbesondere über den Gesundheitszustand und allgemeine Aussagen über die Persönlichkeit des Arbeitnehmers) verstärkt zu schützen und vertraulich zu behandeln sowie für die vertrauliche Behandlung durch die Sachbearbeiter zu sorgen; auch muss der Kreis der mit Personalakten befassten Mitarbeiter möglichst eng gehalten werden.[1] Art. 5 und 9 DSGVO verpflichten auch den Arbeitgeber, unter Beachtung des Verhältnismäßigkeitsprinzips und des Schutzbedarfs der Daten angemessene Schutzvorkehrungen zu ergreifen. Konkret kommen dabei nachfolgend aufgeführte, keinesfalls abschließende Vorkehrungen in Betracht – diese sollten als HR-Standardprozesse definiert werden:
- Aufbewahrung der Personalakten in besonders abgesicherten Schränken, u. U. mit gesonderter Zugangs- bzw. Zugriffskontrolle
- Führung gesonderter (Teil-)Personalakten (z. B. für Gesundheitsdaten)
- Datenverwahrung in selbstständig verschlossenen Umschlägen in der Personalakte
- Erfassung und Dokumentation der Zugriffe auf die Personalakte (wer und wann)
- Verpflichtung der HR-Mitarbeiter, jede Änderung oder Einsichtnahme zu vermerken
- Verpflichtung, insbesondere die Weiterleitung von Daten aus der Personalakte an externe Dritte gesondert zu vermerken
- Herausgabe der Personalakte nur gegen Beleg
- Abgestuftes Zugangs- und Zugriffssystem (4-Augen-Prinzip) in Abhängigkeit von der jeweiligen Maßnahme
Dieser Inhalt ist unter anderem im Haufe Personal Office Platin enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen