Datenschutz – die elektronische Personalakte

Das papierlose Büro… davon ist so manches Unternehmen noch weit entfernt, die elektronische Personalakte hält aber in vielen Personalabteilungen Einzug und freut sich steigender Beliebtheit. Durch die Verwendung der elektronischen Personalakte ergeben sich viele Verwendungs- und Verknüpfungsmöglichkeiten. Die Einbindung in Personalinformationssysteme, um die Arbeitsabläufe im Personalmanagement und auch im Unternehmen zu vereinfachen und zu optimieren, ist nur eine davon.

Unabhängig, ob die Personalakte in Papierform oder elektronischer Form geführt wird, gilt es in Sachen Datenschutz einiges zu beachten. Die Vorschriften stellen den Arbeitgeber bei der elektronischen Form, noch vor besondere Anforderungen.

…es beginnt bereits bei der Bewerbung

Der Bewerbungsprozess ist als vorvertragliches Vertrauensverhältnis zu sehen. Eine Speicherung von Daten, die mit zulässigen Fragen erhoben werden, ist aus Datenschutzsicht unproblematisch. Zu diesen Daten gehören z. B. Name und Anschrift, Telefonnummer und E-Mail-Anschrift.

Bewirbt sich der Bewerber über das Online-Portal eines Unternehmens ist § 6a Abs. 1 BDSG zu beachten. Darin heißt es: „Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.“ Das bedeutet, dass eine automatisierte Vorselektion zwar stattfinden darf, die abschließende Entscheidung über die Einstellung eines Bewerbers hat aber durch eine natürliche Person stattzufinden und darf nicht durch ein elektronisches System erfolgen.

Bei einem Online-Bewerbungsprozess ist § 35 BDSG ebenfalls zu beachten. Dieser erklärt die Verarbeitung von personenbezogenen Daten im Rahmen des Onlineprozesses zwar auch ohne ausdrückliche Einwilligung des Betroffenen, sprich des Bewerbers, für zulässig. Es empfiehlt sich dennoch eine entsprechende Einwilligungserklärung einzuholen. Zum einen schafft dies Vertrauen, zum anderen kann man bei der Gelegenheit auch auf den Zeitraum, in dem die Bewerberdaten vom Unternehmen gespeichert werden dürfen, hinweisen.

Anlegen der elektronischen Personalakte

Der erste Schritt ist das Einscannen der Dokumente. Hier ist mit Vorsicht ranzugehen. Bei neuen Mitarbeitern ist das relativ einfach. Bei „alten“ Mitarbeitern darf nicht alles eingescannt werden. In (fast) jeder Personalakte befinden sich alte und veraltete Unterlagen, die aus Datenschutzsicht nicht mehr gespeichert werden dürfen. Das BDSG spricht in § 20 Abs. 2 BDSG von „nicht mehr erforderlich“. Ein solches Dokument ist umgehend zu löschen.

Kurzum: Eine elektronische Personalakte darf nur die Informationen enthalten, die der Arbeitgeber a) rechtmäßig erworben hat und b) für die ein sachliches Interesse besteht. § 32 BDSG regelt, dass nur die Informationen erhoben, verarbeitet und genutzt werden dürfen, die für die Begründung, Durchführung und Beendigung eines Beschäftigtenverhältnisses erforderlich sind. Das Schlüsselwort ist hier erforderlich, d.h. die Informationen dürfen nicht nur nützlich sein.

Entscheidet sich das Unternehmen dafür, das Einscannen der Personalakten und Dokumente an einen Dienstleister auszulagern (Outsourcing), ist mit ihm eine Auftragsdatenverarbeitung nach § 11 BDSG abzuschließen.

Einwilligung durch den Mitarbeiter

Das Bundesdatenschutzgesetz (BDSG) ist ein Auffanggesetz mit Erlaubnisvorbehalt. Ein Erlaubnisvorbehalt ist die Einwilligung durch den Betroffenen. Die Datenverarbeitung im Rahmen einer elektronischen Personalakte unterliegt einem Verbot mit Erlaubnisvorbehalt.

Wird die elektronische Personalakte in ein Personalinformationssystem integriert geht das automatisierte Verarbeiten über das „normale“ Speichern und Verarbeiten hinaus. Das BDSG stellt Arbeitgeber beim automatisierten Verfahren vor besondere Anforderungen. Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten ist bei einer elektronischen Personalakte in der Regel nur mit Einwilligung des betroffenen Mitarbeiters möglich. Der Arbeitgeber muss vor Erteilung der Einwilligung durch den Betroffenen, den Arbeitnehmer über den vorgesehenen Zweck der Datenspeicherung und auf die Folgen der Verweigerung der Einwilligung hinweisen.

Eine Einwilligung muss in der Regel schriftlich erfolgen. Dies kann im Rahmen des Arbeitsvertrages vereinbart werden, sofern die Textpassage entsprechend und besonders hervorgehoben wird. Empfehlenswert ist aber, die Einwilligung gesondert einzuholen, zum einen das Vorgehen transparenter zu machen und zum anderen, um bei einem möglichen Audit, z. B. durch Kunden oder Aufsichtsbehörde, nicht den kompletten Arbeitsvertrag vorlegen zu müssen. Denn dieser enthält personenbezogene Daten, die im Rahmen eines Audits oder Revision unerheblich sind und keinem Dritten zur Verfügung gestellt werden dürfen.

Ein weiterer Erlaubnisvorbehalt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist eine anderweitige Rechtsvorschrift. Dazu zählt eine Betriebsvereinbarung. In Abstimmung mit dem Betriebsrat ist die Einführung der elektronischen Personalakte für alle Mitarbeiter möglich. Ein Mitbestimmungsrecht hat der Betriebsrat, wenn allgemeine Beurteilungsgrundsätze eingeführt werden und dies im Zusammenhang mit einer technischen Einrichtung, sprich elektronischem System, geschieht. Hier greift § 87 Abs. 1 Satz 6 Betriebsverfassungsgesetz: „Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen:

[…] Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; […].

Und dann sind da noch die Aufbewahrungsfristen

Arbeitgeber speichern Unterlagen von Bewerbern und Mitarbeitern im verschließbaren Aktenschrank, oder, vielleicht sogar mit Hilfe eines Personalinformationssystem, elektronisch. In der Regel gibt es keinerlei Regelungen über Aufbewahrungs- und Vernichtungs- bzw. Löschfristen, sodass Bewerbungs- und Mitarbeiterunterlagen oft länger aufbewahrt werden als erlaubt ist.

Gemäß § 32 Abs. 2 Nr. 2 BDSG sind personenbezogene Daten zu löschen, sobald der Zweck der Speicherung nicht mehr vorhanden ist (Zweckbindung). Die Erhebung und Speicherung von Bewerberdaten erfüllt ihren Zweck, bis der passende Kandidat gefunden ist. Wenn der Kandidat dabei ungeeignet ist und/oder für die Position abgelehnt wird, entfällt der Zweck und die Daten sind zu löschen.

Einer Löschung von Bewerbungsunterlagen stehen ggf. bestehende Aufbewahrungsfristen entgegen: § 21 Abs. 5 AGG, welcher eine Frist von zwei Monaten für entsprechende Klageerhebung einräumt bzw. das Gericht gewährt noch eine Fristverlängerung. Es kann also durchaus von einer gerechtfertigten Aufbewahrungsfrist von drei Monaten ausgegangen werden. Ist die Frist abgelaufen, sind sämtliche Daten unwiderruflich zu löschen bzw. zu vernichten. Dies gilt übrigens auch für das Anschreiben. Eine Ausnahme bildet hier, wie oft, die schriftliche Einwilligung des Betroffenen.

Häufig werden Personalakten ausgeschiedener Mitarbeiter jahrzehntelang aufbewahrt. Vielfach wird die Auffassung vertreten, dass der Arbeitgeber dazu verpflichtet ist. Hier ist aber zu differenzieren:

Die gemeinten Vorschriften sind steuer- und sozialversicherungsrechtlicher Natur, welche den Arbeitgeber verpflichten, zum einen Abrechnungsunterlagen (z. B. Gehaltsabrechnung) zu führen und zum anderen diese auch eine gewisse Zeit aufzubewahren. Der Erlaubnisvorbehalt zur weiteren Speicherung resultiert aus einem einschlägigen Gesetz sowie bilanzrechtlichen Vorschriften.

Verschiedene arbeitsschutzrechtliche Vorschriften, u. a. das ArbZG, MuSchG, verpflichten den Arbeitgeber ebenfalls Personalunterlagen aufzubewahren bzw. zu speichern. Es handelt sich hier um Unterlagen, die in Listenform, außerhalb der Personalakte des einzelnen Mitarbeiters geführt werden.

Grundsätzlich muss sich der Arbeitgeber beim Ausscheiden von Mitarbeitern zwei Fragen stellen bzw. unterscheiden:

1. Ist der Arbeitgeber verpflichtet, Dokumente von Mitarbeitern nach Beendigung des Beschäftigungsverhältnisses (weiter) aufzubewahren?

2. Ist der Arbeitgeber verpflichtet, dem ehemaligen Mitarbeiter Einsicht in die Unterlagen zu gewähren und wenn ja, unter welchen Voraussetzungen?

Fazit:

Die elektronische Personalakte birgt Gefahren und Missbrauch. Mit die größte Gefahr besteht auch darin, dass sie durch Profilerstellung eine weitere Möglichkeit der Leistungs- und Verhaltenskontrolle der Mitarbeiter missbraucht werden kann. Sie erleichtert außerdem die Möglichkeit den Datenschutz durch automatisierte Einzelentscheidungen zu verletzen. Die Einführung und Nutzung der elektronischen Personalakte sollte deshalb auch schriftlich geregelt werden, z. B. in einer Unternehmensrichtlinie oder Betriebsvereinbarung.

Natürlich ist eine Einführung der elektronischen Personalakte möglich, wenn die Speicherung der Daten des Mitarbeiters der Zweckbestimmung des Beschäftigungsverhältnisses entspricht (§ 32 BDSG). Empfehlenswert ist hier unbedingt, eine Prüfung des Einzelfalles.

Ach ja, unabhängig davon sind natürlich die Vorgaben gemäß § 9 BDSG, technische und organisatorische Maßnahmen, hinsichtlich für die Speicherung und Nutzung der elektronischen Personalakte genutzten Systems, umzusetzen, zu dokumentieren und regelmäßig durch den Datenschutzbeauftragten zu auditieren. So ist z. B. ein Berechtigungskonzept zu erstellen wie auch ein Löschkonzept zu entwickeln. Hier kann die DIN 66398:2015-02 „Leitlinie eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ sicherlich hilfreich sein.