Davon auszugehen, dass das Thema „Personalakten und Datenschutz“ von allen Organisationen mittlerweile beherrscht wird, ist leider ein Trugschluss. Gerade die ständig wachsende Digitalisierung und verstärkte Verwebungen der Gesellschaft verlangen ständig neue Updates. Denn grundsätzlich gilt: die DSGVO gilt nicht nur für Personalakten im Papierform, sondern ist sehr wohl auch Vorgabe für die sog. digitale Personalakte.
Daher wollen wir Sie hiermit auf den aktuellen Stand bringen.
Übersicht
1) Die Personalakte in Papierform
Viele Personalabteilungen stehen bei der Einhaltung der DSGVO im Zusammenhang mit der Personalakte in Papierform vor Herausforderungen: Wo werden die Personaldaten aufbewahrt und wer hat Zugriff darauf? Unter welchen Umständen darf wer und auf welche Art und Weise die Personalakten einsehen? Wie sehen die Aufbewahrungsfristen aus?
Dafür sollte man sich ansehen, welche Daten eine Personalakte i.d.R. enthält:
- Informationen über die beschäftigte Person (z.B. Arbeitsvertrag mit Anlagen wie z.B. Richtlinien, Einwilligungserklärungen etc.; Bankverbindung; Urlaubs- und Krankheitstage; Bewerbungsunterlagen usw.)
- Informationen über die Tätigkeit (z.B. Stellenbeschreibung, Schulungsnachweise, Belehrungshinweise usw.)
- Informationen über Abrechnungen (z.B. Lohn- und Gehaltsabrechnungen, Reisekosten, Informationen zu Lohnsteuer, Krankenkasse usw.)
- weitere Informationen (z.B. Unfallmeldungen, Daten zur Familie und Elternzeit usw.)
Die Personalabteilung sollte daher unbedingt einem strengen Zutrittsschutz unterliegen. Auch wenn es häufig klar erscheint, weisen wir darauf hin, dass Personalakten verschlossen aufbewahrt werden müssen. Sollten mehrere Personen Zugriff benötigen, sollte der Schlüssel in einer mit Zahlencode versehenen Aufbewahrung verschlossen gehalten sein. Die Akten sollten – je nach Anzahl – bestenfalls in Tresoren oder speziell dafür vorgesehenen Räumen verschlossen sein.
2) Die digitale Personalakte
Gerade die Pandemie und Zeiten von Homeoffice haben vielerorts die Notwendigkeit der digitalen Personalakte beschleunigt. Nicht zuletzt die Kosten- und Platzersparnis sind dabei überzeugende Argumente. Darüber hinaus besteht seit Anfang 2022 die Verpflichtung, gewisse Entgeltunterlagen ausschließlich digital vorzuhalten.
Gleichzeitig müssen Verantwortliche bei der Konzeption eines solchen Vorhabens jede Menge datenschutzrechtlicher Vorgaben einhalten. Der/die Datenschutzbeauftragte sollte unbedingt hinzugezogen werden. Sollten Sie hier Unterstützung benötigen, melden Sie sich gerne bei uns.
Auch empfiehlt es sich, den Betriebsrat hinzuzuziehen. Denn wenn mit der digitalen Personalakte weitere technische Einrichtungen eingeführt werden, die Leistung oder Verhalten der Beschäftigten überwachen, hat der Betriebsrat ein Mitbestimmungsrecht. Ein allgemeines Zugriffsrecht auf die digitale Personalakte hat der Betriebsrat nicht. Ein beschränktes Zugriffsrecht kann durch eine Betriebsvereinbarung geregelt werden.
Möglicherweise muss im Zusammenhang mit der digitalen Personalakte auch eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchgeführt werden. Auch das sollten Sie prüfen / lassen.
Gewisse Dokumente müssen (zwingend) in Papierform aufbewahrt werden. Auch dies gilt es zu prüfen. Dokumente, die nicht im Original aufbewahrt werden müssen, sollten vernichtet werden. Hier gilt es Löschroutinen festzulegen.
Abschließend sollte ein Zugriffskonzept entwickelt und technische Gegebenheiten geprüft werden: Wer soll / darf auf welche Bereiche Zugriff haben? Welche Rechte (z.B. Lese- und/oder auch Schreibrechte?) erhält diese Person? Wie kann eine Löschung „aus Versehen“ verhindert werden? Welche Verschlüsselungsmethode gibt es? etc.
3) Recht auf Einsichtnahme und Auskunftsrecht
Nach § 83 Betriebsverfassungsgesetz (BetrVG) haben Mitarbeiter einen Anspruch auf Einsicht in die Personalakte. Darüber hinaus kann der Arbeitnehmer nach Art. 15 DSGVO ein Auskunftsrecht geltend machen. Dies sollte immer beachtet werden.
4) Regelung von Digitalisierung / Einscannen von Personalakten
Beim Übergang von der analogen zur digitalen Personalakte wird die klassische Papierakte i.d.R. eingescannt und aufbewahrt. Sollte dies durch einen Dienstleister erfolgen, ist hier ein Auftragsverarbeitungsvertrag abzuschließen. Zudem ist dieser Prozess – auch wenn es ein einmaliger Prozess ist – im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Sichergestellt werden sollte auch, dass die digitale Personalakte alle Informationen der Papierakte enthält, da andernfalls das Recht auf Einsichtnahme unter Umständen nicht vollständig umzusetzen wäre.
5) Gemeinsame Personalabteilungen (Konzern)
Ein besonderer Fall ist das Arbeiten im Konzern, vor allem dann, wenn die Muttergesellschaft ihre Personaldaten den Tochtergesellschaften zur Verfügung stellt. Dies ist beispielsweise dann der Fall, wenn mit einer gemeinsamen Personalverwaltung gearbeitet wird oder gemeinsame zentrale Programme zur Personalverwaltung verwendet werden. Ein „Konzernprivileg“ kennt die DSGVO nicht, daher kommt es hier auf den Einzelfall an. Wenn beispielsweise ein Weisungsrecht durch die zentrale Personalabteilung besteht, könnte ein Auftragsverarbeitungsvertrag vorliegen. Dann sollten entsprechende Verträge zwischen den beteiligten Konzernunternehmen ausgearbeitet werden. Auch könnte nach Art. 6 Abs. 1 Buchst. f DSGVO das berechtigte Interesse vorliegen.
In der Regel agieren Konzernunternehmen jedenfalls als gemeinsam Verantwortliche nach Art. 26 DSGVO. Dies bedarf daher klare Regelungen und Verträge, wer schlussendlich die Betroffenenrechte erfüllt.
6) Fazit
Im Zusammenhang mit der digitalen Personalakte gibt es einige Punkte aus datenschutzrechtlicher Sicht, die Sie zu beachten haben. Sollten Sie hierbei Unterstützung benötigen oder weitere Fragen haben, melden Sie sich gerne bei uns.
Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe 04/2023