Elektronische Personalakte datenschutzkonform umsetzen

it-sicherheit 17
Fachbeitrag

Immer mehr Unternehmen stellen ihre Papierablage auf digitales Dokumenten-Management um. Im Rahmen dieser Umstellung bietet sich die Einführung einer elektronischen Personalakte (ePersA) oftmals an. Was bei der Einführung datenschutzrechtlich zu beachten ist, finden Sie, neben einer Checkliste für die Umsetzung, nachstehend im Artikel.

Zulässiger Inhalt der Personalakte

Grundsätzlich besteht keine gesetzliche oder vertragliche Verpflichtung zur Führung einer Personalakte. Gleichwohl ist bei einigen Dokumenten der Arbeitgeber gesetzlich zur Verwahrung verpflichtet, wie z.B. für Quittungsbelege über den Arbeitslohn (§ 257 HGB) oder für Lohnberechnungsunterlagen (§ 147 AO). Entscheidet sich der Arbeitgeber deshalb für die Führung einer Personalakte, liegt es auch in seinem Organisationsermessen, wie er sie führt. Der Arbeitgeber ist daher unter Fürsorgegesichtspunkten verpflichtet, alle Vorgänge, die sich auf die dienstlichen Verhältnisse des einzelnen Arbeitnehmers beziehen, zu der von ihm geführten Personalakte zu nehmen.

Hinsichtlich des Inhalts der Personalakte ergeben sich jedoch aus dem Zweck der Personalaktenführung, grundrechtlichen Wertentscheidungen und dem BDSG Einschränkungen der Gestaltungsfreiheit für den Arbeitgeber. So müssen Informationen, die zur Personalakte genommen werden, für das Arbeitsverhältnis maßgeblich sein, etwa weil sie Bedeutung für die Lohnabrechnung, die Personalplanung, den individuellen Werdegang haben oder einen Leistungsvergleich ermöglichen (Arbeitsvertrag, Zeugnisse, Krankheitsbescheinigungen, Urlaubsanträge, Kündigungsschreiben).

Rechtsgrunde für die Speicherung

Die Zulässigkeit der Datennutzung und -verarbeitung beurteilt sich, sofern keine Einwilligung oder Betriebsvereinbarung vorliegt, nach § 32 Abs. 1 BDSG. Danach muss sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich sein. Auch wenn dies nicht gesondert in der Vorschrift geregelt ist, muss die Datenerhebung in einem zweiten Schritt dem Grundsatz der Verhältnismäßigkeit entsprechen, d. h. insbesondere angemessen sein. Hierbei ist jeweils eine Interessenabwägung unter Berücksichtigung grundrechtlicher Wertentscheidungen vorzunehmen.

Besonderheiten bei der elektronischen Personalakte

Für den Inhalt und den Umgang der elektronischen Personalakte gelten, nahezu dieselben Kriterien wie für die konventionelle Papier-Personalakte. Gleichwohl sind wegen der digitalen bzw. teilweise auch automatisierten Datenverarbeitung einige Besonderheiten beim Einsatz der elektornischen Personalakte zu beachten:

Beteiligungsrechte des Betriebsrat

Dem Betriebsrat steht nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendungen von technischen Einrichtungen zu, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Des Weiteren hat der Arbeitgeber den Betriebsrat gemäß § 92 Abs. 1 BetrVG über die Personalplanung, insbesondere über den gegenwärtigen und künftigen Personalbedarf, sowie über die sich daraus ergebenden personellen Maßnahmen und Maßnahmen der Berufsbildung anhand von Unterlagen rechtzeitig und umfassend zu unterrichten sowie Art und Umfang der erforderlichen Maßnahmen mit dem Betriebsrat zu beraten.

Richtigkeit der Personaldaten

Eine weitere Besonderheit bei der elektronischen Personalakte ergibt sich aus den Berichtigungs-/ Löschungs- und Sperrungsrechten des Arbeitnehmers nach § 35 BDSG. Dabei ist insbesondere § 35 Abs. 4 BDSG zu beachten, nach dem das Bestreiten der Richtigkeit durch den betroffenen Arbeitnehmer ausreicht, um den Arbeitgeber zum Richtigkeitsbeweis zu verpflichten.

Bei dem Recht auf Gegendarstellung nach § 35 Abs. 6 Satz 2 BDSG ist zu beachten, dass ein Verfahren eingesetzt wird, nach dem eine Gegendarstellung des Betroffenen (§ 83 Abs. 2 BetrVG) auch zur Kenntnis genommen wird, unabhängig davon, welche Relevanz ihm bei zumessen ist.

Vollständigkeit und Archivierung

Der Grundsatz der Vollständigkeit verlangt bei der ePersA, dass alle Personalvorgänge digital erfasst werden und alle Dokumente jederzeit aufgerufen werden können. Daher sind Grundsätze der Richtigkeit und Vollständigkeit auch bei der digitalen Personalaktenführung einzuhalten und eine ordnungsgemäße Archivierung zu gewährleisten. Zu diesem Zweck hat das Bundesfinanzministerium mit Schreiben vom 14.11.2014 die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) aufgestellt, die unter anderem genaue Regeln für die digitale Archivierung vorgeben.

Nichts desto trotz kann jedoch neben der digitalen Aufbewahrungspflicht eine gesetzliche Verpflichtung erwachsen, neben der umfassenden Digitalisierung von Daten, die dazugehörigen Originale aufbewahren zu müssen. Dies gilt u.a. für sozialversicherungsrechtliche Nachweise. Nach § 28 Abs. 2 Satz 1 SGB IV hat der Arbeitgeber für jeden Beschäftigten, getrennt nach Kalenderjahren, Lohnunterlagen in deutscher Sprache zu führen und bis zum Ablauf des auf die letzte Prüfung folgenden Kalenderjahres im Original geordnet aufzubewahren.

Im Übrigen empfiehlt sich dringend, bedeutsame arbeitsrechtliche Dokumente wegen vorgeschriebener Schriftform (insbesondere Kündigungen, Aufhebungsverträge oder nachvertragliche Wettbewerbsverbote) in Papierform aufzubewahren, um im Streitfall Beweis über die formelle Wirksamkeit führen zu können.

Transparenzgebot

Nach § 33 BDSG ist der Arbeitnehmer über die digitale Personalaktenführung zu unterrichten. Auch das Einsichtsrecht bleibt bestehen, egal ob aus §83 BetrVG oder auf Grund einer nebenvertraglichen Pflicht.

Darüber hinaus ist nach § 34 Abs. 1 Nr. 1 BDSG dem Arbeitnehmer ein besonderes Auskunftsrecht eingeräumt. Er kann über die zu seiner Person gespeicherten Daten schriftlich Auskunft verlangen. Dies umfasst auch die Mitteilungen über die Herkunft und Empfänger der Daten. Dem Arbeitnehmer dürfen hierfür keine Kosten entstehen.

Vertraulichkeit

Um auch im Rahmen der digitalen Personalakten die Vertraulichkeit zu gewährleisten, kann in der Regel auf die im Aktenführungsprogramm technisch abgesicherten Rollen- und Berechtigungsstrukturen zurückgegriffen werden. Darin können Zugriffsbefugnisse festgelegt werden und wird jedem einzelnen Benutzer die entsprechenden Zugriffsrechte zugeteilt.

Des Weiteren besteht die Verpflichtung, die Anzahl von Zugriffsrechten festzulegen, besonders sensible Vorgänge zu verschlüsseln, lediglich vorgangsbezogene Zugriffe zuzulassen und Zugriffskontrollen mit regelmäßiger Überprüfung einzurichten, verbindliche Verfahrensanweisungen für Systemnutzer zu erstellen und eine regelmäßige Schulung für Beschäftigte im Umgang mit der Personalakte durchzuführen.

Außerdem sind physikalische Sicherungsmaßnahmen notwendig, wie z. B. Datensicherung, Protokollierung von Systemaktivitäten sowie die Zugriffskontrolle. Grundsätzlich sind alle Maßnahmen an den Voraussetzungen der Anlage zu § 9 Satz 1 BDSG zu messen.

Löschfristen

Hier finden die gleichen Grundsätze Anwendung, die auch für die herkömmliche Papierakte gelten. Jedoch kann nunmehr die Technik gewährleisten, dass von vorneherein bzw. durch Zeitablauf unzulässig gespeicherte Daten entfernt/gelöscht werden, ohne Spuren zu hinterlassen.

Checkliste für die Umsetzung der ePersA

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat eine Handlungsempfehlung zum Datenschutz bei technisch unterstützten Verfahren der Personal- und Haushaltsbewirtschaftung entworfen. Diese kann als Checkliste für die Umsetzung der elektronischen Personalakte (ePersA) verstanden werden. Eine Auszug der Handlungsempfehlung finden sie nachstehend:

  1. Personenbezogene Daten der Beschäftigten dürfen in technikgestützten Verfahren nur in dem Umfang gespeichert, übermittelt und genutzt werden, in dem dies rechtlich zulässig und im Rahmen der festgelegten Zwecke zur Durchführung der der jeweiligen Stelle obliegenden personalwirtschaftlichen, organisatorischen und sozialen Aufgaben erforderlich ist (Grundsatz der Zulässigkeit, Zweckbindung und Erforderlichkeit).
  2. In einem Berechtigungskonzept ist festzulegen, welche Stellen und/oder Funktionsträgerinnen oder Funktionsträger im Rahmen der ihnen übertragenen Aufgaben für welche Zwecke und in welcher Form (lesend/verändernd) befugt sind, auf Daten zuzugreifen oder Auswertungen vorzunehmen. Das Berechtigungskonzept ist fortzuschreiben und mindestens so lange zu speichern wie die zugehörigen Protokolldaten.
  3. Es ist schon im Vorfeld bei der Auswahl und Gestaltung der automatisierten Verfahren darauf hinzuwirken, dass keine oder möglichst wenig personenbezogene Daten verarbeitet werden (Grundsatz der Datenvermeidung und Datensparsamkeit).
  4. Die Betroffenen sind über ihren persönlichen Datenbestand, die Zwecke der Verarbeitung und Zugriffsberechtigungen zu unterrichten. Ihre Rechte auf Auskunft, Sperrung und Löschung sind zu wahren (Transparenzgebot und Betroffenenrechte).
  5. Arbeits- und dienstrechtliche Entscheidungen, die für die Betroffenen eine rechtliche Folge nach sich ziehen oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient (Verbot der automatisierten Einzelentscheidung).
  6. Zulässige dienststellenübergreifende Auswertungen der in den Verfahren verarbeiteten Personaldaten sollten soweit möglich anonym oder pseudonym erfolgen; dies gilt nicht für Auswertungen, Abgleiche oder Zusammenführungen, die sich auf die in der Anlage aufgeführten Merkmale (Informationen zur dienstlichen Funktion und Erreichbarkeit = sogenannte Funktionsträgerdaten) beschränken.
  7. Die Sicherungsziele Vertraulichkeit, Integrität, Authentizität und Revisionsfähigkeit sind – ausgerichtet am Schutzbedarf der Daten – durch geeignete technisch-organisatorische Maßnahmen zu gewährleisten; das Grundschutz-Handbuch des Bundesamtes für Sicherheit in der Informationstechnik BSI gibt dazu zahlreiche Hilfestellungen. Für die Ausgestaltung der Datenschutz- und Datensicherungsmaßnahmen ist – ggf. aus einer Vorabkontrolle (vgl. Ziffer 9) – ein Sicherheitskonzept zu entwickeln und entsprechend dem Stand der Technik fortzuschreiben. Die für das jeweilige Verfahren fachlich Verantwortlichen sind verpflichtet, die erforderlichen technischen und organisatorischen Maßnahmen spätestens mit dem Einsatz des Verfahrens umzusetzen und zu dokumentieren, falls dies noch nicht im Sicherheitskonzept enthalten ist. Insbesondere mit Protokollierungsverfahren ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, wer welche Beschäftigtendaten zu welcher Zeit eingegeben, verändert, übermittelt und/oder abgerufen hat; Entsprechendes gilt auch für die Systemadministration.
  8. Protokolldaten von Anwenderinnen und Anwendern sowie Administratorinnen und Administratoren, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs gespeichert werden, dürfen grundsätzlich nicht für andere Zwecke, insbesondere nicht für eine Verhaltens- und Leistungskontrolle, verarbeitet werden. Die Zweckbindung muss daher technisch und organisatorisch (z.B. durch Dienstanweisung) sichergestellt werden. Für Art, Umfang und Aufbewahrung der Protokollierung gilt der Grundsatz der Erforderlichkeit. Soweit technisch möglich und ausreichend, sollte auf personenbezogene Daten verzichtet werden. Die Beteiligungsrechte des Personalrates sind zu beachten.
  9. Vor der Einführung und Anwendung neuer Verfahren oder im Falle einer wesentlichen Veränderung der Verfahren ist eine Vorabkontrolle (auch „Technikfolgenabschätzung“ genannt) durchzuführen, wenn dies durch eine Rechtsvorschrift vorgesehen ist.
  10. Die Verfahren sind in inhaltlicher und technischer Hinsicht ausreichend und nachvollziehbar zu dokumentieren.
  11. Um die Akzeptanz zu fördern, wird empfohlen, über Einführung und Anwendung der Verfahren eine Dienstvereinbarung mit dem Personalrat abzuschließen, in der insbesondere die Fragen der Zugriffsberechtigungen, der Zulässigkeit und Zweckbestimmung von Auswertungen und die Durchführung von Kontrollen für alle Beteiligten eindeutig und klar geregelt werden. Soweit die Verfahren geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen, sind die Mitbestimmungs- bzw. Mitwirkungsrechte der Personalvertretung zu berücksichtigen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Datenschutzkonformer Umgang mit Beschäftigtendaten
  • Fragen zum Bewerbungsverfahren, zur Videoüberwachung oder zum Outsourcing
  • Erstellung von erforderlichen Dokumenten, insbesondere Betriebsvereinbarungen

Informieren Sie sich hier über unser Leistungsspektrum: Arbeitnehmerdatenschutz

7 Kommentare zu diesem Beitrag

  1. Hallo Herr Tezel, der Artikel ist sehr interessant. Viele Unternehmen betrifft dies bestimmt; so auch uns. Können Sie auch ein paar Tipps dahin gehend geben, was zu beachten ist, wenn die ePersA außerhalb der EU gespeichert wird. Wie sieht es auch mit etwaigen Krankmeldungen oder BEM Infos etc aus, die ja auch in der Personalakte aufbewahrt werden? Vielen Dank vorab!

  2. Wie sieht es denn mit Krankmeldungen aus. Dürfen die auch elektronisch erfasst werden? Wenn ja, was ist zu beachten? Was wäre außerdem zu beachten, wenn das ganze im Ausland gespeichert werden soll? Bei uns soll das zu unserer Mutter in China geschickt werden. Vielen Dank für die Tipps! Weiter so!

  3. Für die elektronische Personalakte ist die Zugriffskontrolle von besonderer Bedeutung. Diese besagt, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu hat das BAG (RDV 2007,125) genäußert, dass Personalakten nicht allgemein zugänglich sein dürfen, der Kreis der mit Personalakten befassten Beschäftigten möglichst eng gehalten werden muss. Daher unterliegen Gesundheitsdaten einem besonderen Schutz, weswegen solche Daten nicht “offen” in der Personalakte abgelegt werden dürfen und der Kreis der Zugriffsberechtigten stark einzuschränken ist. Mit diesen Grundsätzen muss daher auch das datenschutzrechtliche Berechtigungskonzept übereinstimmen. Es ist sicherzustellen, dass die Gesundheitsdaten gesondert gespeichert und vor unberechtigtem Zugriff besonders geschützt, bspw. durch Verschlüsslung der einzelnen Dateien, sind.

    Ob eine Datenübertragung von besonderen personenbezogenen Daten in Länder außerhalb des der EU bzw. des EWR ohne gesonderte Einwilligung der Betroffenen möglich ist, halte ich für äußerst fraglich, da ein hinreichendes Datenschutzniveau oftmals nicht sichergestellt werden kann.

    Eine Übermittlung von Gesundheitsdaten ist jedoch möglicherweise unter ähnlich strengen Voraussetzungen, wie sie der Muster-ADV für das Gesundheitswesen, welcher in Zusammenarbeit des Berufsverband der Datenschutzbeauftragten Deutschlands e. V, des Bundesverband Gesundheits-IT e. V, der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. und der Gesellschaft für Datenschutz und Datensicherheit e. V. aufstellt, möglich. Einen Freibrief zur Datenübermittlung erteilt jedoch selbst dieses umfangreiche Dokument nicht. Aus diesem Grund sollte von einer Datenübermittlung von Gesundheitsdaten abgesehen werden.

  4. Herr Tezel, sie erwähnen das Berechtigungskonzept. Wer kümmert sich üblicher Weise um dieses? Der DSB sagt ja nur, dass eins da sein sollte und nicht wie dies auszusehen hat. Die die Berechtigungen vergeben werden ist oftmals ja eine Geschäfts-/IT-Sicherheitsentscheidung. Vielleicht lohnt es sich auch hiermal einen Fachbeitrag zu zuschreiben.

    • Es richtig, dass die Ausgestaltung des Berechtigungskonzepts nicht die Aufgabe des Datenschutzbeauftragten ist und dieses meist im Zusammenspiel zwischen IT und Geschäftsführung entwickelt wird. Gleichwohl muss der Datenschutzbeauftragte das Berechtigungskonzepts für die elektronische Personalakte bewerten können und ist Ihm hierzu ein Konzept vorzulegen, dass allgemein genug gehalten ist und die unterschiedlichen Rollen, sowie Berechtigungen nachvollziehbar darlegt. Dieses Konzept ist vom allgemeinen Berechtigungskonzept, welches mittels Active Directory umgesetzt wird, zu unterscheiden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.