Der Arbeitnehmer bedarf zur Wahrung seines allgemeinen Persönlichkeitsrechts des Schutzes vor der Personaldatenverarbeitung durch den Arbeitgeber. Diesem Schutz dienen:
- individualrechtlich das Vertrags- und Deliktsrecht, das Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers verbietet;
- die DSGVO, die unmittelbar geltendes Recht in den Mitgliedsstaaten der Europäischen Union ist und Öffnungsklauseln für nationale Regelungen enthält;
- das BDSG, das von den in der DSGVO vorgesehenen Öffnungsklauseln Gebrauch macht und ergänzende nationale Normen enthält;
- das vom BVerfG im Volkszählungsurteil gefundene und seither vielfach bestätigte Grundrecht auf informationelle Selbstbestimmung;
- die Mitbestimmungsrechte des Betriebsrats bei der Personaldatenverarbeitung nach § 87 Abs. 1 Nr. 6 BetrVG.
Der Datenschutz greift dabei sowohl für Personalakten, die in Papierform geführt werden – soweit die Daten in einem bestimmten System und nach bestimmten Kriterien, beispielsweise dem Namen, geordnet sind – als auch für elektronische Personalakten.
4.1 Anforderungen der Datenschutzgrundverordnung
Die Grundsätze für die Verarbeitung personenbezogener Daten ergeben sich aus Art. 5 Abs. 1 DSGVO. Es handelt sich hierbei um Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
Die Rahmenbedingungen für die Möglichkeiten, personenbezogene Daten und Dokumente zu verarbeiten, ergeben sich aus Art. 6 Abs. 1 DSGVO. Nur in den folgenden Fällen dürfen die Daten verarbeitet werden:
• Einwilligung des Arbeitnehmers als betroffene Person
• Verarbeitung ist für Vertragserfüllung notwendig, wobei eine Vertragspartei der Arbeitnehmer ist
• Erfüllung rechtlicher Verpflichtungen durch den Arbeitgeber
• Schutz lebenswichtiger Interessen des Arbeitnehmers oder einer anderen natürlichen Person
• Wahrnehmung einer Aufgabe von öffentlichem Interesse
• Wahrung berechtigter Interessen des Arbeitgebers, sofern nicht Interessen oder Grundrechte der betroffenen Person (Arbeitnehmer) überwiegen.
Werden personenbezogene Daten bei der betroffenen Person (Arbeitnehmer) erhoben, so muss der Verantwortliche (Arbeitgeber) gemäß Art. 13 Abs. 1 DSGVO der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten unter anderem folgende Informationen mitteilen:
- den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters;
- ggf. die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung.
Die Informationen müssen "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt" werden. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Eine mündliche Unterrichtung ist grundsätzlich nur auf Verlangen des Betroffenen möglich.
Grundsätzlich müssen Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 DSGVO unentgeltlich zur Verfügung gestellt werden. Der Arbeitgeber hat dem Arbeitnehmer daher eine Kopie der personenbezogenen Daten kostenfrei zur Verfügung zu stellen; für alle weiteren Kopien, die der Arbeitnehmer beantragt, kann der Arbeitgeber ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen.
Folgende Vorschriften der DSGVO sind im Rahmen der Führung von Personalakten ebenfalls zu beachten:
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung ("Recht auf Vergessenwerden", Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung in besonderen Fällen (Art. 18 DSGVO)
- Recht auf Information über die Berichtigung oder Löschung von erhobenen Daten (Art. 19 DSGVO)
- Recht auf Datenübertragbarkeit und Aufbereitung der Daten in elektronisch lesbarer Form (Art. 20 DSGVO)
- Widerspruchsrecht gegen bestimmte Formen der Datenverarbeitung (Art. 21 DSGVO)
4.2 Anforderungen des Bundesdatenschutzgesetzes
Art. 88 DSGVO befasst sich mit der "Datenverarbeitung im Beschäftigungskontext". Er regelt, dass die Mitgliedsstaaten "durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigte...