Die voranschreitende Digitalisierung der Geschäftsprozesse betrifft ebenfalls die Datenverarbeitungen in der Personalabteilung. Neben Systemen zur Zeiterfassung erfolgt in Unternehmen und Behörden zunehmend die Einführung der digitalen Personalakte. In diesem Zusammenhang stellen sich oftmals die Fragen der datenschutzrechtlichen Anforderungen sowie die Grenzen einer möglichen Digitalisierung. Der nachfolgende Beitrag gibt einen kurzen Einblick und soll bestehende Unsicherheiten auflösen.
Allgemeines zur (digitalen) Personalakte
Für privatwirtschaftliche Unternehmen besteht in der Regel keine gesetzliche Pflicht zur Führung einer Personalakte. Für öffentliche Stellen kann sich eine solche aus dem jeweiligen Landesrecht ergeben. In Sachsen regelt beispielsweise die Verwaltungsvorschrift (VwV) Personalakten „das Verfahren der Führung und Verwaltung von Personalakten der Angestellten, Arbeiter und der zu ihrer Ausbildung Beschäftigten im öffentlichen Dienst des Freistaates Sachsen“ und verweist größtenteils auf die Regelungen des Sächsischen Beamtengesetzes.
Soweit eine Verpflichtung zur Führung von Personalakten besteht oder solche freiwillig geführt werden, ist die Aufnahme von Vorgängen und Dokumentationen an den seitens der Rechtsprechung entwickelten Regeln des Personalaktenrechts auszurichten. Dabei gelten insbesondere die Grundsätze der Transparenz, der Richtigkeit, der Zulässigkeit und der Vertraulichkeit der darin befindlichen Informationen. Vertraulichkeit bedeutet in diesem Zusammenhang auch, dass die jeweiligen Informationen auch intern ausschließlich für zulässige Zwecke verwendet werden dürfen und entsprechend der hohen Schutzbedürftigkeit mit angemessenen technischen und organisatorischen Maßnahmen vor unbefugter Kenntnisnahme zu schützen sind.
Inhaltlich beschränkt sich die Personalakte in der Regel auf die für die Durchführung des Beschäftigten- bzw. Dienstverhältnisses erforderlichen Informationen, wobei sich die Rechtsgrundlage für die Verarbeitung personenbezogener Daten aus § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) bzw. für öffentliche Stellen aus länderspezifischen Regelungen wie § 11 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) ergibt. Arbeitsunfähigkeitsbescheinigungen sollten aufgrund Ihrer Sensibilität als Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DS-GVO sowie wegen der abweichenden Aufbewahrungsfrist von maximal vier Jahren (§ 6 Abs. 1 Aufwendungsausgleichgesetz), nicht in der Personalakte aufbewahrt werden.
Die parallele Führung von Personalakten, beispielsweise durch den Betriebs- bzw. Personalrat oder durch die Personalabteilung in analoger und digitaler Form zugleich, verbietet sich bereits aufgrund des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO. Eine Führung von Teilakten durch verschiedene zuständige Personen ist möglich.
Einbindung von Dienstleistern
Im Rahmen der Einführung von digitalen Personalakten ist grundsätzlich eine Einbindung von externen Dienstleistern möglich. Beispielswiese kommen hierbei Unternehmen in Betracht, welche eine Digitalisierung der analogen Bestandsakten vornehmen oder welche im Rahmen von Support-Anfragen auf die Systeme Zugriff erhalten. Dabei ist jedoch zu berücksichtigen, dass diese Tätigkeiten in der Regel eine Auftragsverarbeitung im Sinne des Art. 28 DS-GVO darstellen und es hierfür eines entsprechenden Vertrages zur Auftragsverarbeitung bedarf.
Zu beachten ist dabei insbesondere die Regelung des Art. 28 Abs. 1 DS-GVO, wonach die verantwortliche Stelle ausschließlich mit Auftragsverarbeitern arbeitet, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Aufgrund der regelmäßig hohen Schutzbedürftigkeit von personenbezogenen Daten innerhalb einer Personalakte, sollte hierbei bereits vorab eine besonders strenge Prüfung erfolgen.
Aufbewahrung von Unterlagen im Original
Wie bereits dargestellt, verbietet sich eine grundsätzliche Aufbewahrung von digitalisierten Unterlagen zusätzlich im Original bereits aufgrund des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO. Darin heißt es: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“
Eine Erforderlichkeit zur Aufbewahrung im Original ergibt sich regelmäßig für Dokumente, welche zwingend dem Schriftformerfordernis gemäß § 126 BGB unterliegen. Hierzu gehören beispielsweise der Arbeitsvertrag, Aufhebungsverträge sowie Kündigungsschreiben. Durch das Scannen der entsprechenden Unterlagen bleibt zwar zunächst die Schriftform gewahrt, jedoch kann im Zweifelsfall nicht der Urkundsbeweis nach den §§ 415 ff. ZPO erbracht werden. Hierfür ist zwingend die Vorlage des Originals in Papierform erforderlich.
Selbiges gilt auch bei der Einführung der digitalen Personalakte durch öffentliche Stellen. Hierbei kann stellvertretend auf eine Entscheidung des Verwaltungsgerichts Köln (Urt. v. 15. Dezember 2016, Az.: 15 K 5144/16) verwiesen werden, welches zu digitalen Personalakten von Beamten auf Bundesebene wie folgt ausführte: „Die Entscheidung, in welcher Form der Dienstherr Personalakten führt, liegt in seinem Organisationsermessen. […] Denn bei der vom Gesetz zugelassenen vollständigen elektronischen Aktenführung entfällt die Notwendigkeit, eine papierne Akte nebenher vorzuhalten. Aus der Begründung des Gesetzes, […] lässt sich entnehmen, dass eine parallele Führung gleicher Aktenteile in Papierform und in elektronischer Form grundsätzlich zu vermeiden ist und eine ausschließliche elektronische Führung in Betracht zu ziehen ist, wenn die erforderlichen technischen Voraussetzungen (etwa eine qualifizierte elektronische Signatur) vorliegen.“
Umsetzung von Löschfristen
Ein Vorteil der digitalen Personalakte liegt – je nach Funktionsumfang des gewählten Systems – in einer automatisierten Umsetzung von Löschfristen. Gemäß Art. 17 Abs. 1 lit. a) DS-GVO sind personenbezogene Daten regelmäßig zu löschen, soweit diese für die Verarbeitungszwecke nicht mehr erforderlich sind und gemäß Art. 17 Abs. 3 lit. b) DS-GVO keiner gesetzlichen Aufbewahrungspflichten unterliegen. Im Falle von Beschäftigtendaten können die gesetzlichen Aufbewahrungsfristen variieren. Während Dokumente und Unterlagen arbeitsrechtlicher Natur einer regelmäßigen Aufbewahrungsfrist von drei Jahren unterliegen, sind lohnsteuerrelevante Unterlagen für einen Zeitraum von bis zu sechs Jahren aufzubewahren.
Weitere Informationen zum Thema gesetzliche Aufbewahrungsfristen und Löschung personenbezogener Daten erhalten Sie in unserem Blog-Beitrag „Löschpflicht vs. Aufbewahrungsfrist“ sowie in unseren Informationsmaterialien „Aufbewahrung – Datenschutzrechtliche Grundlagen und Informationen hinsichtlich der Verpflichtung zur Löschung von personenbezogenen Daten unter Berücksichtigung gesetzlicher Aufbewahrungsfristen“.
Gewährleistung des Einsichtsrechts
Arbeitnehmern steht gemäß § 83 Abs. 1 Satz 1 Betriebsverfassungsgesetz (BetrVG) ein Einsichtsrecht in die ihnen betreffende Personalakte zu. Der Anspruch besteht grundsätzlich parallel zum datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DS-GVO. Die Einführung einer digitalen Personalakte steht den gesetzlichen Ansprüchen nicht im Wege, kann bei entsprechender Etablierung der hierfür notwendigen Prozesse und Bereitstellung von Ressourcen sogar einfacher realisiert werden: Durch eine (gesicherte) Abrufmöglichkeit der digitalen Personalakte steht den Arbeitnehmern eine jederzeitige ortsunabhängige Möglichkeit zur Einsichtnahme in die Personalakte zur Verfügung. Demnach wird die Einsicht im Büro der Personalabteilung und unter Anwesenheit einer Person der Personalabteilung obsolet.
Fazit
Mit der Einführung der digitalen Personalakte können datenschutzrechtliche Besonderheiten verknüpft sein, welche jedoch gemeinsam mit dem Datenschutzbeauftragten leicht zu bewältigen sind. Insbesondere bei der Einbindung externer Dienstleister und der Umsetzung technischer und organisatorischer Maßnahmen sollte der Sensibilität und Schutzbedürftigkeit der personenbezogenen Daten der Personalakte angemessen Rechnung getragen werden. Darüber hinaus gelten für die digitale Personalakte die auch im Rahmen der analogen Personalakte anzuwendenden Regelungen des Personalaktenrechts.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.