Prof. Dr. jur. Tobias Huep
Nach § 26 BDSG ist der Arbeitgeber berechtigt, personenbezogene Daten des einzelnen Beschäftigten nur zu bestimmten Zwecken zu erheben, zu verarbeiten oder zu nutzen. Allerdings ist die Norm nach der neuesten Rechtsprechung des EuGH nicht mehr anwendbar, weil sie gegenüber der DSGVO keinen weitergehenden, eigenständigen Regelungsgehalt besitzt. Somit muss auch für die datenschutzrechtliche Beurteilung von Personalakten auf die allgemeinen Regelungen der DSGVO als alleinige Rechtsgrundlage zurückgegriffen werden. Eine gravierende materielle Änderung dürfte damit voraussichtlich nicht verbunden sein (vgl. dazu StW "Datenschutz im Arbeitsverhältnis"). Rechtsgrundlage dürfte nunmehr vor allem Art. 6 Abs. 1 DSGVO sein, wonach Datenverarbeitungen zur Erfüllung eines Vertrags, zur Erfüllung rechtlicher Verpflichtungen oder unter Umständen zur Wahrung berechtigter Interessen – des Arbeitgebers – zulässig sind. Maßstab für die Zulässigkeit ist die Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung. Dies ist bei der Personalakte grundsätzlich zu bejahen. Im Übrigen können die Grundsätze der Rechtsprechung zur Personalaktenführung und -inhalte herangezogen werden (dazu bereits oben Abschn. 3).
Dabei stellt die erstmalige Anlegung einer Personalakte, erst recht ihre kontinuierliche Pflege und damit verbundene Erweiterung, eine Datenverarbeitung nach dem insoweit umfassenden Begriff in Art. 4 DSGVO, § 1 und § 2 BDSG dar. Gem. Art. 13 DSGVO muss der Arbeitgeber zunächst dem betroffenen Arbeitnehmer, wenn die personenbezogenen Daten bei ihm erhoben werden, bestimmte Informationen zukommen lassen:
- Den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters;
- ggf. die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung.
Soweit der Arbeitgeber personenbezogene Daten von dritter Seite einholt, ist er gem. Art. 14 DSGVO verpflichtet, dem Arbeitnehmer die genannten Informationen ebenfalls mitzuteilen.
Zusätzlich muss der Arbeitgeber den Arbeitnehmer im Hinblick auf die Personalakten informieren über:
- Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer – typischerweise wäre die Dauer des gesamten Arbeitsverhältnisses das insoweit maßgebliche Kriterium;
- das Bestehen eines Auskunftsrechts gegenüber dem Arbeitgeber über die betreffenden personenbezogenen Daten;
- den Anspruch auf Berichtigung oder Löschung bzw. auf Einschränkung der Verarbeitung;
- das Bestehen eines Widerspruchsrechts gegen die Verarbeitung.
Darüber hinaus muss der Arbeitgeber gem. Art. 12 DSGVO gewährleisten, dass sämtliche dieser datenschutzrechtlich relevanten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache gehalten sind.
Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Art. 15–22 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung.
Auskunftsrecht des Arbeitnehmers
Auf Verlangen des Arbeitnehmers hat der Arbeitgeber gem. Art. 15 DSGVO eine "Bestätigung" darüber zu erteilen, dass den Arbeitnehmer betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat der Arbeitnehmer gem. Art. 15 Abs. 1 Satz 1, Halbsatz 2 DSGVO ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
- falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.
Der Arbeitgeber ist verpflichtet, dem Arbeitnehmer auf dessen Verlangen eine schriftliche Kopie der personenbezogenen Daten auszufertigen. Die Kosten der ersten Kopie trägt der Arbeitgeber, weitere Kopien können verlangt werden, allerdings ist dann der Arbeitnehmer zur Übernahme der Kosten verpflichtet. Die Anfertigung und Aushändigung der Kopie muss unverzüglich, spätestens innerhalb eines Monats nach dem Zugang des Auskunftsverlangens erfolgen. Derzeit noch vollkommen offen ist, welchen Umfang und Inhalt die Auskunft enthalten muss. Eine vollständige Kopie der Personalakte kann voraus...