Zum Inhalt springen Zur Navigation springen
Personalakte: Ob Papier oder digital, den Datenschutz beachten!

Personalakte: Ob Papier oder digital, den Datenschutz beachten!

Die Verwaltung der Personalakten ist beim Arbeitnehmerdatenschutz von besonderer Bedeutung, da sie naturgemäß eine Vielzahl personenbezogener Daten enthalten. Dabei gilt es einige wichtige Aspekte bezüglich Datenschutz und Datensicherheit zu beachten.

Die Personalakte und ihre Berührungspunkte mit dem Datenschutz

In einer Personalakte sind Unterlagen und Informationen enthalten, die die Person des Arbeitnehmers und das Arbeitsverhältnis betreffen. Grundsätzlich besteht keine gesetzliche oder vertragliche Verpflichtung zur Führung einer Personalakte. Gleichwohl ist bei einigen Dokumenten der Arbeitgeber gesetzlich zur Verwahrung verpflichtet, wie z.B. für Quittungsbelege über den Arbeitslohn (§ 257 HGB) oder für Lohnberechnungsunterlagen (§ 147 AO). Hinsichtlich des Inhalts der Personalakte ergibt sich aus § 26 Abs. 1 S. 1 BDSG, dass nur solche Beschäftigtendaten in ihr enthalten sein dürfen, die für die Durchführung des Beschäftigungsverhältnisses oder zu dessen Beendigung erforderlich sind. Informationen, die zur Personalakte genommen werden, müssen somit für das Arbeitsverhältnis maßgeblich sein, etwa weil sie Bedeutung für die Lohnabrechnung, die Personalplanung, den individuellen Werdegang haben oder einen Leistungsvergleich ermöglichen (Arbeitsvertrag, Zeugnisse, Krankheitsbescheinigungen, Urlaubsanträge, Kündigungsschreiben).

Die Personalakte enthält neben den Angaben zur Person und dem Lebenslauf zum Teil sehr sensible Daten, wie z.B. Angaben zur Gesundheit, zu den familiären Verhältnissen oder zur Religion des Arbeitnehmers. Sie stellt damit eine umfassende und detaillierte Datensammlung über eine Einzelperson dar.

Eine Ausnahme besteht allerdings für Gesundheitsdaten, welche von einem Betriebsarzt erhoben werden. Diese sind separat von der regulären Personalakte aufzubewahren und es darf kein Zugriff durch den Arbeitgeber oder sonstige unbefugte Dritte erfolgen.

Keine gesetzlichen Vorgaben im privaten Arbeitsverhältnis

Dem Arbeitgeber steht es frei, die Personalakte sowohl elektronisch als auch in Papierform zu führen. Er hat bei der Führung von Personalakten, in jedweder Form, bestimmte datenschutzrechtliche Regeln zu beachten, insbesondere hinsichtlich der Vertraulichkeit des Inhalts der Personalakten. Es gelten grundsätzlich die Anforderungen der DSGVO.

Rechtsgrundlage für die Speicherung

Die Zulässigkeit der Datenverarbeitung beurteilt sich, sofern keine Einwilligung oder Betriebsvereinbarung vorliegt, nach § 26 Abs. 1 S. 1 BDSG. Demnach muss sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich sein. Auch wenn dies nicht gesondert in der Vorschrift geregelt ist, muss die Datenerhebung in einem zweiten Schritt dem Grundsatz der Verhältnismäßigkeit entsprechen, d. h. insbesondere angemessen sein. Hierbei ist jeweils eine Interessenabwägung unter Berücksichtigung grundrechtlicher Wertentscheidungen vorzunehmen.

Was darf in der Personalakte nicht stehen?

In der Personalakte dürfen keine Informationen gespeichert werden, die für das Arbeitsverhältnisses nicht erforderlich sind. Besonders anschaulich ist diesbezüglich der Fall des Modekonzerns „H&M“. Dort hatten Führungskräfte am Nürnberger Standort jahrelang Informationen über das Privatleben ihrer Angestellten gesammelt und auf einem Netzwerkordner gespeichert (u.a. Informationen zu Beziehungen, Fitnesszustand, Religionsbekenntnis). Auf diesen Ordner hatten bis zu 50 Personen Zugriff. Die betroffenen Mitarbeiter wussten von diesen Vorgängen nichts und nur durch Zufall wurden sie bekannt. Diese Daten waren offensichtlich nicht für die Durchführung des Arbeitsverhältnisses erforderlich. Die zuständige Datenschutzbehörde verhängte daraufhin ein beträchtliches Bußgeld in Höhe von 35,3 Millionen €. Für ein weiteres Beispiel unzulässiger Datenverarbeitung hat ein französischer Verkehrsbetrieb gesorgt. Dort wurde die Anzahl der Tage, an denen Beschäftigte an Streiks teilgenommen hatten, aktenkundig gemacht und bei Beförderungsentscheidungen einbezogen. Die französische Aufsichtsbehörde (CNIL) sah hierin einen Verstoß gegen den Grundsatz der Datenminimierung, da zwar die Anzahl der Fehltage für eine Beförderungsentscheidung notwendig sein könne, nicht jedoch ob diese Fehltage im Zusammenhang mit Streiks standen. Daraufhin wurde ein Bußgeld in Höhe von 400.000 € verhängt.

Datensicherheit: Wer darf die Personalakte einsehen?

Der Arbeitgeber hat gem. Art. 32 DSGVO gewisse Anforderungen an die Datensicherheit hinsichtlich der Personalakte zu erfüllen. Er muss dafür Sorge tragen, dass Unbefugte keinen Zutritt (physische Zugriffsmöglichkeit) und keinen Zugang (tatsächliche Nutzungsmöglichkeit) zu Datenverarbeitungsanlagen haben, mit denen Personalakten verarbeitet werden. Personalakten dürfen nicht sämtlichen Betriebsangehörigen allgemein zugänglich sein. Darüber hinaus muss er gewährleisten, dass auch der Kreis der Berechtigten tatsachlich nur auf die Daten zugreifen kann, für die die Berechtigung besteht. Zudem muss er Maßnahmen ergreifen, dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu gehört auch, dass es Möglichkeiten gibt im Nachhinein festzustellen, ob und von wem personenbezogene Daten in Personalakten eingegeben, verändert oder entfernt worden sind.

Der Personenkreis, der Zugriff auf die Personalakte haben darf, ist dabei so klein wie möglich zu halten. Regelmäßig sind dies die Personalabteilung, die Geschäftsführung sowie der direkte Vorgesetzte.

Innerhalb von Konzernen besteht das Problem, dass andere Konzernunternehmen datenschutzrechtlich wie Drittunternehmen zu behandeln sind. Eine Datenweitergabe oder die Gewährung von Einsicht ist hier grundsätzlich unzulässig, es sei denn die konkrete Tätigkeit des Betroffenen hat einen Bezug zum Konzern. Ist dies nicht der Fall und ist eine Datenweitergabe innerhalb des Konzerns geplant, sollte frühestmöglich eine Einwilligung des Betroffenen eingeholt werden.

Im Falle unternehmensinterner Nachforschungen im Zuge von Compliance-Maßnahmen muss der Arbeitgeber ebenfalls die Vertraulichkeit der Personalakte wahren. Nur ausnahmsweise darf Externen Einsicht in die Personalakten gewährt werden und auch nur wenn es sich um Personen handelt, welche gesetzlich zur Verschwiegenheit verpflichtet sind (Wirtschaftsprüfer, Rechtsanwälte) oder sie eine Verschwiegenheitsverpflichtung unterzeichnet haben.

Wichtige Aspekte bei der Führung digitaler Personalakten

Für den Inhalt und den Umfang der elektronischen Personalakte gelten grundsätzlich dieselben Kriterien wie für die konventionelle Papier-Personalakte. Einige wichtige Aspekte sind im Folgenden herausgegriffen:

Betroffenenrechte

Selbstverständlich sind auch Arbeitnehmer Datensubjekte und können ihre Betroffenenrechte aus der DSGVO wahrnehmen. Gem. Art. 16 DSGVO hat die betroffene Person etwa das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Gleiches gilt hinsichtlich unvollständiger Daten. Der Arbeitgeber muss daher tätig werden, sollte ein Arbeitnehmer dieses Recht wahrnehmen.

Auch das Auskunftsrecht gem. Art. 15 DSGVO kann der Arbeitnehmer wahrnehmen. Er kann demnach über die zu seiner Person gespeicherten Daten Auskunft verlangen. Dies umfasst auch die Mitteilungen über die Herkunft und Empfänger der Daten. Dem Arbeitnehmer dürfen hierfür keine Kosten entstehen.

Beteiligungsrechte des Betriebsrats

Dem Betriebsrat steht nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendungen von technischen Einrichtungen zu, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Hierunter kann auch eine elektronische Personalakte fallen. Obgleich dies bislang umstritten ist, empfiehlt es sich in jedem Fall, den Betriebsrat einzubinden.

Des Weiteren hat der Arbeitgeber den Betriebsrat gemäß § 92 Abs. 1 BetrVG über die Personalplanung, insbesondere über den gegenwärtigen und künftigen Personalbedarf, sowie über die sich daraus ergebenden personellen Maßnahmen und Maßnahmen der Berufsbildung anhand von Unterlagen rechtzeitig und umfassend zu unterrichten sowie Art und Umfang der erforderlichen Maßnahmen mit dem Betriebsrat zu beraten.

Gesetzliche Vorgaben zu Schriftform und Originaldokumenten

Bei aller Digitalisierung darf nicht vergessen werden, dass bei bestimmten Unterlagen gesetzliche Verpflichtungen bestehen, diese im Original aufzubewahren bzw. es besteht ein Schriftformerfordernis. Dies gilt auf jeden Fall für wichtige arbeitsrechtliche Dokumente bei denen eine Schriftform vorgeschrieben ist. Insbesondere Kündigungen, Arbeits- und Aufhebungsverträge oder nachvertragliche Wettbewerbsverbote sollten daher in Papierform aufbewahrt werden. Damit kann im Streitfall der Beweis über die formelle Wirksamkeit geführt werden.

Mögliche Aufbewahrungsfristen und Löschfristen bei Personalakten

Bei der Führung von Personalakten stellt sich die Frage, wie lange diese nach Beendigung des Arbeitsverhältnisses aufbewahrt werden dürfen. Grundsätzlich gilt im Datenschutz, dass personenbezogene Daten, deren Speicherung nicht mehr erforderlich ist, gelöscht werden müssen. Diesem generellen Grundsatz und der allgemeinen Regelung des § 26 Abs. 1 S. 1 BDSG stehen allerdings eine Vielzahl arbeitsrechtlicher und sonstiger Regelungen entgegen, welche vorrangig zu beachten sind.

Es ist hier zunächst jedem Arbeitgeber zu empfehlen, eine Personalakte für mindestens drei Jahre aufzubewahren (regelmäßige Verjährungsfrist gem. § 195 BGB). So lange kann ein ehemaliger Arbeitnehmer noch Ansprüche geltend machen. Er kann zum Beispiel Schadenersatzansprüche stellen oder ein Arbeitszeugnis einfordern. Es sollten dabei auch unbedingt diejenigen Dokumente in analoger Form aufbewahrt werden, für die das Gesetz die Schriftform vorsieht.

Eine einheitliche Aufbewahrungsfrist für die gesamte Personalakte gibt es nicht. Es kommt immer auf die in ihr enthaltenen Dokumente an. Im Folgenden sind typische Fälle aufgelistet:

Steuerrecht (§ 41 EStG)

  • Belege für den Lohnsteuerabzug sind sechs Jahre lang aufzubewahren
  • Unterlagen, die für die betriebliche Gewinnermittlung relevant sind, sind zehn Jahre aufzubewahren (z.B. Lohnlisten, Lohnsteuerdokumente, Jahresabschlüsse)

Sozialversicherungsrecht (§ 165 SGB VII)

  • Lohnnachweise über die Arbeitsstunden und das an den Arbeitnehmer geleistete Entgelt müssen fünf Jahre aufbewahrt werden

Hinsichtlich sensibler Gesundheitsdaten gilt, dass diese nicht länger als nötig aufbewahrt werden sollten. So sollten etwa Krankheitsdaten von Arbeitnehmern nach einem Jahr gelöscht werden (Ausnahme: Die Fehlzeiten übersteigen sechs Wochen).

Weitergabe der Personalakte bei Betriebsübergang

Bei einem Betriebsübergang werden in aller Regel die Personalakten der Mitarbeiter vom Betriebserwerber übernommen. Mit Betriebsübergang tritt der Erwerber an die Stelle des bisherigen Arbeitgebers. Eine Übergabe der Personalakten an ihn dürfte damit als gem. § 26 Abs. 1 S. 1 BDSG erforderlich anzusehen sein. Der neue Arbeitgeber benötigt Zugang zu Informationen, wie etwa Zeugnissen, Lebensläufen und Weiterbildungen, damit er in der Lage ist, die Arbeitnehmer richtig einzusetzen und Gehalt zu zahlen. Zu beachten ist, dass der alte Arbeitgeber auch nach Übermittlung der Daten an den neuen Arbeitgeber die gesetzlichen Aufbewahrungsfristen beachten muss.

Demgegenüber ist eine Übermittlung der Personalakte oder einzelner personenbezogener Daten vor Betriebsübergang regelmäßig unzulässig. Der Datenschutz steht hier dem Interesse des Erwerbers entgegen, schon vor Betriebsübergang Einsicht in die Personalakten zu erhalten. Dies wäre lediglich mit Einwilligung der Betroffenen möglich. Andernfalls wäre höchstens eine Übermittlung anonymisierter Daten denkbar.

Entfernen einer Abmahnung mit dem Recht auf Löschung aus der DSGVO

Unter Umständen kann Arbeitnehmern, welche eine Abmahnung in ihrer Personalakte haben, der Datenschutz zur Seite stehen. Es ist denkbar, dass neben dem „klassischen“ Anspruch auf Entfernung einer Abmahnung aus der Personalakte gem. §§ 242, 1004 BGB analog auch der datenschutzrechtliche Löschungsanspruch gem. Art. 17 DSGVO greifen könnte. Das LAG Sachsen-Anhalt hat etwa entschieden, dass nach Beendigung des Arbeitsverhältnisses der Zweck der Abmahnung (Warnfunktion, Kündigungsmöglichkeit) entfallen sei und ein Löschanspruch demnach besteht. Eine höchstrichterliche Klärung steht diesbezüglich allerdings noch aus.

Damit hätten Betroffene eine Rechtsschutzmöglichkeit hinzugewonnen, da bisher bei beendeten Arbeitsverhältnissen der Anspruch gem. §§ 242, 1004 BGB analog nur in Ausnahmefällen gewährt wurde (wenn objektive Anhaltspunkte dafür bestehen, dass die Abmahnung dem Arbeitnehmer weiterhin schaden kann).

Bei bestehenden Arbeitsverhältnissen kann ein Arbeitnehmer grundsätzlich die Entfernung sowohl einer rechtmäßigen als auch einer rechtswidrigen Abmahnung aus seiner Personalakte mit dem „klassischen“ Anspruch erreichen. Ein Anspruch gem. Art. 17 DSGVO wäre gegeben, wenn die Speicherung der Abmahnung nicht mehr erforderlich wäre. Da für die Frage der Erforderlichkeit der Abmahnung für das Arbeitsverhältnis auf Kriterien zurückgegriffen wird, die die Rechtsprechung bereits zu §§ 242, 1004 BGB analog entwickelt hat, hat der datenschutzrechtliche Löschungsanspruch insoweit keine geringeren Anforderungen als die zivilrechtlichen. Datenschutzrechtlich drohen jedoch umfassendere Rechtsfolgen, wie das Beschwerderecht des Betroffenen gem. Art. 77 DSGVO, Schadensersatzansprüche gem. Art. 82 DSGVO sowie ein Bußgeld gem. Art 83 Abs. 5 DSGVO. Es empfiehlt sich daher regelmäßig zu prüfen, ob eine Abmahnung noch in der Personalakte des jeweiligen Arbeitnehmers verbleiben darf.

Den Datenschutz der Personalakte nicht vernachlässigen

Die Personalakte ist auf Grund ihrer Natur ein datenschutzrechtlich nicht zu vernachlässigender Faktor für eine umfassende Datenschutz-Compliance innerhalb des Unternehmens. Wegen der Vielzahl an personenbezogenen Daten, die sie typischerweise enthält, muss hier genau auf Sicherheit, Berechtigungen und den erforderlichen Inhalt geschaut werden. Der Fall „H&M“ macht hier noch einmal deutlich, dass die Aufsichtsbehörden beim Thema Arbeitnehmerdatenschutz mitunter keinen Spaß verstehen. Digitale Systeme bieten hier mitunter Vorteile, da bestimmte Vorgaben, wie die Einhaltung von Aufbewahrungspflichten, einfacher eingehalten werden können. Gleichwohl gilt der Datenschutz auch bei Personalakten in Papierform.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Liebes Dr. Datenschutz-Team, wie immer danke für den interessanten Beitrag. Sie schreiben, dass auch Arbeitsunfähig-keitsbescheinigungen in der Personalakte aufbewahrt werden können. Aus meiner Sicht könnte sich hieraus ein datenschutzrechtliches Problem ergeben, denn gem. Art. 4 Nr. 15 DSGVO handelt es sich dabei um ein Gesundheitsdatum, was den strengeren Verarbeitungsanforderungen aus Art. 9 DSGVO genügen muss. Gerade in Betrieben mit vielen Mitarbeitenden ist regelmäßig auch von größeren Personalabteilungen auszugehen. Wie Sie selbst darstellen, sollte der Zugriff auf P-Akten z.B. auf HR Mitarbeitende, Geschäftsführer und die zuständige Führungskraft beschränkt bleiben. Da ein Krankenschein auch immer den Stempel des behandelten Arztes trägt, kann daraus unter Umständen auf die Krankheitskategorie des Betroffenen geschlossen werden (z.B. Facharzt für Onkologie) – diesbezüglich halte ich die Aufbewahrung in der Personalakte mit einem Zugriff durch z.B. alle HR Mitarbeitenden für kritisch. Wie bewerten Sie diesen Sachverhalt? Danke und viele Grüße NG

    • Zunächst einmal vielen Dank für die lobenden Worte. Ihr Gedanke ist durchaus nachvollziehbar. Arbeitsunfähigkeitsbescheinigungen können ja schon deshalb als Gesundheitsdatum gewertet werden, da durch sie die Tatsache, dass man arbeitsunfähig ist, schon etwas über den Gesundheitszustand aussagt. Art. 4 Nr. 15 DSGVO ist grundsätzlich weit zu verstehen.

      Doch unabhängig davon, ob auch zusätzlich aus den Daten des behandelnden Arztes ein Rückschluss auf konkrete Erkrankungen gezogen werden kann, bestehen vorliegend Ausnahmen gem. Art. 9 Abs. 2 lit. b, h DSGVO bei arbeitsrechtlicher Erforderlichkeit (auch gem. § 26 Abs. 3 BDSG) und für die Beurteilung der Arbeitsfähigkeit eines Beschäftigten. Art. 9 Abs. 1 DSGVO gilt demnach für Arbeitsunfähigkeitsbescheinigungen nicht.

      Was die Einsichtsmöglichkeit durch die gesamte Personalabteilung angeht, so ist davon auszugehen, dass diese ja schon deshalb die Arbeitsunfähigkeitsbescheinigungen der Mitarbeiter zu Gesicht bekommen, da sie regelmäßig für damit verbundenen Krankmeldungen zuständig ist. Eine weitere Aufsplitterung von Berechtigungen innerhalb der Personalabteilung, auch bei größeren Abteilungen, dürfte wohl eher nicht notwendig sein und vermutlich auch auf praktische Schwierigkeiten stoßen.

  • Sehr geehrte Damen und Herren,
    vielen Dank für den interessanten Beitrag. Hinsichtlich der Entfernung von Abmahnungen aus der Akte wäre ich sehr vorsichtig. Bei einer verhaltensbedingten Kündigung wird ein Abmahnungsschreiben als Beweismittel ggf. (je nach Schwere des Vorfalls) sehr wichtig sein, um eine sogenannte „beanstandungsfreie Betriebszugehörigkeit“ zu widerlegen. Hat man das Schreiben jedoch frühzeitig aus der Akte entfernt, fehlt der Beweiswert, auch wenn es sich um ein relativ „leichtes Fehlverhalten“ handelt. Aus meiner Sicht ist dies ein gewichtiges Argument. Eine „Ablaufzeit“ von Abmahnungsschreiben gibt es grundsätzlich nicht.

    • Vielen Dank für Ihren Kommentar und die ergänzenden Hinweise. Der Artikel soll nur eine grobe Übersicht möglicher Konstellationen und Probleme darstellen. Dass regelmäßig Abmahnungen in Personalakten aufbewahrt werden dürfen, sollte in dem Artikel nicht in Abrede gestellt werden, sondern lediglich auf Einzelfälle hingewiesen werden, bei denen möglicherweise eine Löschung in Betracht kommt (das BAG sieht dies z.B. bei nicht hinreichend konkreten Rügen oder wenn das gerügtes Verhalten für das Arbeitsverhältnis in jeder Hinsicht bedeutungslos ist).

  • Sehr geehrte Damen und Herren,
    die Digitalisierung ist ein allgegenwärtiges Thema, daher ist es wichtig zu wissen, welche Unterlagen im Original aufbewahrt werden müssen. In Ihrem Beitrag wird in diesem Zusammenhang auf § 28a Abs. 2 S. 1 SGB IV verwiesen; aus diesem kann ich keine Pflicht zur Vorhaltung von Originalunterlagen (in Papierform) ableiten. Habe ich hier etwas übersehen?

    • Vielen Dank für Ihren Hinweis. Richtig wäre hier § 28 Abs. 1 S. 1 SGB IV. Danach hat der Arbeitgeber für jeden Beschäftigten, getrennt nach Kalenderjahren, Entgeltunterlagen im Geltungsbereich dieses Gesetzes in deutscher Sprache zu führen und bis zum Ablauf des auf die letzte Prüfung (§ 28p) folgenden Kalenderjahres geordnet aufzubewahren. Da seit 2023 die elektronische Betriebsprüfung vorgesehen ist, müssen hier regelmäßig keine Unterlagen im Original aufbewahrt werden. Ein Original müsste wohl nur noch in Papierform vorliegen, soweit ein Dokument mit Schriftformerfordernis, in elektronischer Form keine qualifizierte elektronische Signatur enthält (z.B: Antrag auf Befreiung von der Rentenversicherungspflicht bei einer geringfügigen Beschäftigung). Wir haben den Artikel entsprechend angepasst.

  • Liebes Dr. Datenschutzteam,
    vielen Dank für den interessanten Beitrag. Zum Thema Zugriff schreiben Sie: „Regelmäßig sind dies die Personalabteilung, die Geschäftsführung sowie der direkte Vorgesetzte.“
    Wie wäre das bei einem Unternehmen mit ca. 70 Beschäftigten im HR-Bereich? Müsste da dann nicht das Zugriffsrecht an Rollen geknüpft werden? Ein Recruiter muss eigentlich nicht zwingend die gleichen Dinge sehen, wie ein Controller oder eine Personalentwicklerin. Besteht denn auch ein Recht für die Führungskraft, alle Informationen der Mitarbeiter zu sehen?

    • Aus datenschutzrechtlicher Sicht ist zu empfehlen, die Berechtigungen zum Zugriff auf Daten der Beschäftigten maximal restriktiv auszugestalten und im Einzelfall zu prüfen, ob weitergehende Berechtigungen möglich sind.

      Bei der Verarbeitung von Beschäftigtendaten sind, ob digital oder in Papierform, die Grundsätze des Datenschutzes nach Art. 5 DSGVO zu beachten, insbesondere die Integrität und Vertraulichkeit personenbezogener Daten. Personalakten, Daten zur Zeiterfassung oder sonstige Daten der Beschäftigten dürfen daher nicht allgemein zugänglich sein, vielmehr muss der Kreis der zugriffsberechtigten Personen möglichst klein und die Zugriffsmöglichkeiten möglichst gering gehalten werden, sog. „Need-to-know-Prinzip“. Dies gilt insbesondere für besonders sensible Daten wie z.B. Gesundheitsdaten nach Art. 9 DSGVO. Deren Verarbeitung ist grundsätzlich verboten und gemäß § 26 Absatz 3 BDSG im Beschäftigungsverhältnis nur in bestimmten Ausnahmefällen erlaubt. Aufgrund dessen dürfen solche Daten nicht „offen“ in der Personalakte abgelegt werden und der Kreis der Zugriffsberechtigten ist ggf. noch weiter einzuschränken.

      Mit diesen Grundsätzen muss das datenschutzrechtliche Berechtigungskonzept übereinstimmen. Das Berechtigungskonzept kann daher je nach Unternehmen stark variieren, daher kommt es bei konkreten Fragen auch immer auf den konkreten Einzelfall an.

  • Meine gesamte Personalakte wurde einem leitenden Mitarbeiter meines AG aus dem Auto gestohlen ?!
    Diese darf doch nicht in einem geparkten Auto liegen und was muss ich nun beachten. Haftung und Schadensersatz ?

    • Der Arbeitgeber muss dafür sorgen, dass Unbefugte keinen Zugriff auf die Daten der Personalakte erhalten. Um sicherzustellen, dass die Personalakte nicht durch unbefugte Dritte einsehbar ist, müssen daher sogenannte technische und organisatorische Maßnahmen (TOM) eingeführt werden. In aller Regel bestehen dazu in Unternehmen Richtlinien, die definieren, wie Personalakten aufzubewahren sind und es werden entsprechende Mittel zur Verfügung gestellt (z.B. Aufbewahrung nur in abschließbaren Räumen/Schränken). In dem von Ihnen geschilderten Fall, hat sich der leitende Mitarbeiter eventuell darüber hinweggesetzt oder solche Richtlinien bestehen in Ihrem Unternehmen nicht. Bei einem Diebstahl einer vollständigen Personalakte dürfte es sich regelmäßig um einen meldepflichtigen Datenschutzvorfall gem. Art. 33 DSGVO handeln, da diese eine Vielzahl von Daten einer natürlichen Person enthält auf die grundsätzlich nur ein begrenzter Personenkreis Zugriff nehmen darf, und damit ein Risiko für die Rechte und Freiheiten einer natürlichen Person bejaht werden dürfte.

      Eine zivilrechtliche Haftung des Verantwortlichen ist gem. Art. 82 DSGVO ebenfalls möglich. Zentrale Voraussetzung hierfür ist, dass dem Betroffenen ein materieller oder immaterieller Schaden entstanden sein muss. Der EuGH hat hierzu entschieden (Urteil v. 4.5.2023, C-300/21, Österreichische Post), dass zwar kein erheblicher Schaden vorliegen muss, der bloße Verstoß gegen die Bestimmungen der DSGVO jedoch nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Denkbare Schäden wären etwa Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung oder der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten.

      Bitte beachten Sie, dass wir im Rahmen unseres Blogs keine Rechtsberatung anbieten können. Hinsichtlich des Vorliegens zivilrechtlicher Ansprüche in Ihrem konkreten Fall sollten Sie sich daher an einen Anwalt wenden.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.