Der Beschäftigtendatenschutz und die digitale Personal­akte

PrintMailRate-it

zuletzt aktualisiert am 18. Mai 2022 | Lesedauer ca. 3 Minuten


Über 80 Prozent der Arbeitgeber führen bereits eine digitale Personalakte. Das ist nicht verwunder­lich, da eine digitale Verarbeitung von Personaldaten den Unterneh­men zahlreiche Vorteile bietet, wie etwa eine Entlastung der Personalabteilung, ein Plus an Transparenz und die Einsparung eines Archivraums. Doch aufgrund des In­kraft­tretens der europäischen Datenschutz-Grundverordnung (nachfolgend nur „EU-DSGVO” genannt) und deren empfindlicher Strafen sind viele Arbeitgeber verun­si­chert, ob bei der digitalen Verwaltung von Personaldaten der Datenschutz überhaupt zu beachten ist und wenn ja, in welchem Umfang.


Inhalt der digitalen Personalakte

Da in den digitalen Personalakten hochsensible Arbeitnehmerdaten wie Name, Lebenslauf, Beurteilungen, Zeugnisse, Adress- und Kontodaten, Informationen über die Gesundheit des Betroffenen (z.B. Atteste) oder sogar dessen Religion zu finden sind, ist es nur logisch, dass die digitale Personalakte dem Daten­schutz unter­liegt.

 

Prinzip des Verbots mit Erlaubnisvorbehalt/Rechtsgrundlage für die Verarbeitung der Personaldaten

Die EU-DSGVO und das Bundesdatenschutzgesetz sind jeweils Auffanggesetze mit Erlaubnisvorbehalt. Daher bedarf es für die Verarbeitung personenbezogener Personaldaten jeweils einer Rechtsgrundlage. Sie kann ent­weder in der Einwilligung des betroffenen Arbeitnehmers liegen, in einer Betriebsvereinbarung oder die Verar­beitung muss für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für dessen Durchführung oder Beendigung erforderlich sein.


Beginn des Datenschutzes

Meist werden im Bewerbungsprozess die Unterlagen der Bewerber seitens der Unternehmen eingescannt und gespeichert, sodass der Arbeitgeber bereits in diesem Stadium dazu verpflichtet ist, den Datenschutz zu be­achten (siehe hierzu den Bereich „Wann beginnt der Beschäftigtendatenschutz”). Eine Speicherung von Bewer­berdaten, die aufgrund von zulässigen Fragen gewonnen werden, also von solchen Fragen, an deren Beant­wortung der Arbeitgeber ein „berechtigtes, billigenswertes und schutzwürdiges Interesse” hat, ist aus Daten­schutzsicht unproblematisch. Anders sieht es hingegen aus, wenn der Arbeitgeber sein Fragerecht über­schrei­tet. Da eine Speicherung solcher Daten unzulässig ist, hat der Bewerber ein Recht auf deren Löschung. Die Aufnahme des Bewerbers in einen sogenannten Bewerberpool und die damit einher­gehende längere Spei­che­rung der Daten ist mit der Einwilligung des Bewerbers als zulässig anzusehen.


Erhöhte Informationspflichten für den Arbeitgeber

Für den Arbeitgeber entsteht mit dem Einscannen der Bewerber- bzw. Arbeitnehmerdokumente die Pflicht, den Betroffenen unter anderem über die Kontaktdaten des Datenschutzbeauftragen (sofern vorhanden), die Verar­beitungszwecke, die Rechtsgrundlage und etwaige berechtigte Interessen zu informieren. Darüber hinaus um­fasst die Informationspflicht des Arbeitgebers auch Angaben bereitzustellen zu:
  • der Dauer der Speicherung,
  • den Rechten des Betroffenen,
  • der Widerrufbarkeit von Einwilligungen,
  • dem Beschwerderecht bei der Aufsichtsbehörde sowie
  • die gesetzliche oder vertragliche Verpflichtung bei personenbezogenen Daten.


Entbehrlich ist die Informationspflicht seitens des Arbeitgebers nur dann, wenn der betroffene Bewerber bzw. Arbeitnehmer bereits über diese Angaben verfügt. Sinn und Zweck der erhöhten Informationspflichten ist es, dass der Bewerber bzw. Arbeitnehmer wissen muss, ob und zu welchem Zweck der Arbeitgeber seine perso­nen­bezogenen Daten nutzt.


Privacy by Design und Privacy by Default bei internen Prozessabläufen und technischen Einstellungen

Um auch im Rahmen der digitalen Personalaktenführung die Vertraulichkeit der Personaldaten zu gewähr­leis­ten, ist es zwingend erforderlich, zunächst zu klären, wer im Unternehmen auf die Arbeitnehmerdaten Zugriff haben darf und für welche Aufgaben solche Zugriffe notwendig sind. Im öffentlichen Dienst finden sich ent­sprechende Vorschriften im Bundesbeamtengesetz. Auch wenn für privatrechtliche Arbeitsver­hältnisse ent­sprechende Regelungen nicht existieren, gelten dieselben Vorgaben. Insbesondere, dass der Kreis der Ein­sichts­berechtigten vom Vorgesetzten möglichst klein gehalten werden muss und dass die Einsicht in die Perso­nalakte auch bei einer Berechtigung nur dann zulässig ist, wenn sie zum Zwecke der Personalverwaltung bzw. einer Personalangelegenheit erfolgt. Was auf den ersten Blick eine klare Sache zu sein scheint, bereitet bei näherer Betrachtung viele Fallstricke u.a. im Bewerbungsprozess, wenn bspw. die eingegangene Bewerbung per E-Mail innerhalb des Unternehmens weitergeleitet wird. Dabei stellt sich den Datenschutz betreffend die Fra­ge, welche Personen im Unternehmen die Möglichkeit der Einsichtnahme in bestimmte E-Mail-Postfächer haben und sie alle einsichtsberechtigt sind. Zudem ist fraglich, ob die E-Mail nach der Stellenbesetzung auch tatsächlich wieder gelöscht wurde.

Aus technischer Sicht sind Arbeitgeber gut beraten, die Arbeitnehmerdaten auf ihren eigenen Servern zu speichern, um einen Missbrauch der Personaldaten durch Dritte zu vermeiden. Eine andere Möglichkeit ist der Rückgriff auf eine Software aus einer Cloud, sofern die vom Cloudanbieter verwendete Software den ge­setz­lichen Datenschutzvorschriften entspricht und dessen Rechner- und Serverräume zudem eine größtmögliche physische Datensicherheit bieten.


Löschungspflichten

Die gespeicherten Personaldaten müssen seitens des Arbeitgebers dann gelöscht werden, wenn ihre Spei­che­rung unzulässig war, weil bspw. das Fragerecht des Arbeitgebers überschritten wurde oder die Speicherung ihren Zweck erfüllt hat (etwa bei Ablehnung eines Bewerbers).


Aufbewahrungsfristen

Der Arbeitgeber ist demgegenüber gesetzlich verpflichtet, bestimmte Unterlagen (wie z.B. Abrechnungs­unter­lagen) aufzubewahren. Die Aufbewahrungspflicht ist folglich das Pendant zu den Löschungspflichten des Arbeitgebers. Kollidieren beide Pflichten miteinander, ist eine weitergehende Speicherung und damit Auf­be­wahrung erlaubt, solange der Arbeitgeber einer rechtlichen Verpflichtung nachkommen muss oder um Rechtsansprüche durchzusetzen oder abzuwehren. Insoweit gilt das Recht der Arbeitnehmer auf „Vergessen­werden” nicht.


Fazit

Auch wenn die EU-DSGVO die Rechte der Bewerber und Arbeitnehmer nachhaltig gestärkt hat und die digitale Personalakte eine erhöhte Missbrauchsgefahr mit sich bringt, bietet die IT-gestützte Verarbeitung von Perso­nal­daten den Unternehmen doch zahlreiche Vorteile. Mittels des richtigen Einsatzes einer daten­schutz­kon­formen Software für das Bewerbermanagement und das Personalwesen sowie regelmäßigen Audits und Schu­lungen der Mitarbeiter können die datenschutzrechtlichen Anforderungen reibungslos gemeistert werden.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu