Das Führen einer elektronischen Personalakte ist unter Berücksichtigung der datenschutzrechtlichen Grundsätze zulässig.
3.1.1 Verlust des Beweiswerts
Grundsätzlich ist das Digitalisieren von Dokumenten mit rechtlichen Risiken verbunden, da sich der Beweiswert im Rechtsstreit verringert oder zumindest ungeklärt ist. Vor Gericht gilt eine Urkunde dann als vollständig und richtig, wenn sie im Original unterzeichnet ist. Das Gericht kann allerdings durch Inaugenscheinnahme eines ausgedruckten Dokuments dessen Inhalt im Rahmen einer freien Beweiswürdigung werten. Dies ist dem Gericht aber nicht in allen Verfahren(-steilen) möglich und hat nicht denselben Beweiswert wie eine Originalurkunde. Wenn das Dokument mit einer qualifizierten elektronischen Signatur versehen ist, ist nach dem Gesetzeswortlaut des § 371a Abs. 1 ZPO im Grunde eine Gleichstellung zur Originalurkunde gewollt. Dennoch ist dies umstritten, da teilweise die Gerichte trotz des eindeutigen Wortlauts gegen den Beweiswert einer solchen Signatur entscheiden.
Dokumente, bei denen der Verdacht einer Fälschung aufkommen könnte, die dem Beschäftigten nach Beendigung des Arbeitsverhältnisses auszuhändigen oder die grundsätzlich wichtig für ein Beschäftigtenverhältnis sind, sollten deshalb auch künftig sicherheitshalber in Papierform vorgehalten werden.
3.1.2 Beweisverwertungsverbot im gerichtlichen Prozess
Sollen Informationen aus digitalen Personalakten im gerichtlichen Prozess verwendet werden, so z. B. in einem Kündigungsprozess, ist darauf zu achten, dass die vorgelegten Informationen nicht unter Verstoß des Datenschutzrechts erlangt worden sind. Dies hat das Bundesarbeitsgericht (BAG) ausdrücklich in seinem sog. Spind-Urteil festgestellt, welches allerdings vor Inkrafttreten der DSGVO ergangen ist. Informationen, die unter Verstoß des heutigen § 26 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) gewonnen werden, können demnach grundsätzlich einem sog. Beweisverwertungsverbot bzw. Zeugenvernehmungsverbot unterliegen. Diese Verbote ergeben sich, so das BAG, unmittelbar aus dem Verstoß gegen die datenschutzrechtliche Norm. Für die Personalabteilung bedeutet dies, dass das Datenschutzrecht und das allgemeine Persönlichkeitsrecht von Betroffenen unbedingt beachtet werden müssen. Dies gilt insbesondere für die Erhebung von Informationen, die gegen den Betroffenen verwendet werden sollen.
Bei Ermittlungen im Unternehmen ggf. Behörden oder Berater einschalten
Beim Erheben und Speichern von Beschäftigtendaten ist unbedingt darauf zu achten, dass datenschutzrechtliche Bestimmungen eingehalten werden. Im Zweifel sollte bei einer unternehmensinternen Ermittlung lieber früher als später eine staatliche Behörde oder ein rechtlicher Berater hinzugezogen werden.
3.1.3 Notwendigkeit einer Datenschutzfolgenabschätzung (Art. 35 DSGVO)
Vor der Inbetriebnahme eines digitalisierten Personalaktensystems sollte eine Risikoanalyse durchgeführt werden, um Risiken für die Rechte und Freiheiten der Beschäftigten zu identifizieren. Im Rahmen dieser Risikoanalyse muss zunächst der geplante Verarbeitungsvorgang zusammengefasst und beschrieben werden. Anschließend wird evaluiert, welche spezifischen Risiken mit der entsprechenden Verarbeitung einhergehen. Hier spielt es unter anderem eine Rolle, ob automatisierte Entscheidungsfindung verwendet wird, die erheblichen Einfluss auf den Betroffenen haben kann, ob Betroffene systematisch überwacht werden sollen, ob besondere Kategorien personenbezogener Daten verarbeitet werden oder ob Daten von vulnerablen Gruppen verarbeitet werden sollen (z. B. Minderjährige).
Ergibt diese Risiko-Analyse ein hohes Risiko, so muss eine Datenschutzfolgenabschätzung gemäß den Kriterien des Art. 35 DSGVO durchgeführt werden. Hier müssen zunächst die wichtigsten Informationen zum Verarbeitungsvorgang gesammelt und geprüft werden. So z. B., welche Rechtsgrundlage für die Verarbeitung herangezogen werden soll oder wie die Betroffenenrechte gewährleistet werden. Wird die Verarbeitung auf berechtigte Interessen gestützt, so sind die gegenläufigen Interessen zu nennen und konkret miteinander abzuwägen. Schließlich müssen zahlreiche Aspekte aus Sicht des Betroffenen betrachtet und Gegenmaßnahmen zur Verhinderung des Eintretens des Risikos definiert und ergriffen werden. So ist z. B. darauf einzugehen, wie ein unberechtigter Zugriff auf die Daten des Betroffenen verhindert werden soll, wie eine ungewollte Modifikation ausgeschlossen werden kann oder wie der Verlust personenbezogener Daten unterbunden werden soll.
3.1.4 Ordnungsgemäße Archivierung
Da au...