Die digitale Personalakte: Die Risiken und Vorteile im Blick

Teilen Sie diese Seite
Kostenloser Download

Leadership Report 2023

Kostenloser Download

Weiterbildungsprogramm für Führung & Management

Kostenloser Download

Das große 1x1 der Künstlichen Intelligenz

Updates via Newsletter

Weiterbildungsangebote, Praxistipps und Expertenmeinungen bequem per E-Mail – für einen leichteren Alltag!

20. August 2019
Digitalisierung, Personal
0 Kommentare

Spätestens im Rahmen der neuen DSGVO sind auch Personaler hellhörig, was die Speicherung von Daten angeht. Die Umstellung auf die digitale Personalakte ist da besonders vorsichtig zu behandeln. Herr Thomas Hey kennt die rechtlichen Voraussetzungen und gibt Ihnen hier wichtige Informationen, was Sie in Sachen Datenspeicherung und -verwaltung wissen müssen.

Datenspeicherung, Datenerhebung und -sicherung

Können Sie uns einen kurz einen Überblick geben, was man bei der Einführung von elektronischen Akten beachten muss?

Bei der Einführung von elektronischen Akten sollten Sie auf die Prüfung der DSGVO-Konformität achten. Bei der Speicherung auf einer Cloud sollte ein Anbieter ausgesucht werden, der eine BDSG-zertifizierte Cloud-Lösung (beispielsweise Zertifizierung durch TÜV Rheinland) anbietet. Im Rahmen der Zertifizierung wird geprüft, ob alle gesetzlichen Datenschutzvorhaben zuverlässig eingehalten wurden, ob die betriebsinternen Abläufe des externen Anbieters dem Datenschutz entsprechen, und ob die höchste physische Datensicherheit herrscht und keine Sicherheitslücken in der Software bestehen.

Bei der Speicherung On-Premises (lokal) sollte beachtet werden, dass die digitalen Personalakten nur in Räumen ohne Öffentlichkeitsverkehr gespeichert werden, welche bestmöglich gegen Zugang Unbefugter durch Sicherungen geschützt sind. Physikalische Sicherungsmaßnahmen können beispielsweise auch darin bestehen, die Daten zu sichern und Systemaktivitäten zu protokollieren.

Wie auch bei Personalakten in Papierform, müssen die Personaldaten richtig und vollständig erfasst sein und der Umfang der Datenerhebung muss dem Grundsatz der Verhältnismäßigkeit entsprechen.

Die Vorteile einer digitalen Personalakte sind breit gefächert.

Welche Vorteile hat die digitale Akte? Hat Papier in der Personalabteilung tatsächlich völlig ausgedient?

Die Vorteile einer digitalen Personalakte sind breit gefächert. Zum einen können die Beschäftigten einer Personalabteilung von automatisierten Prozessen profitieren, wodurch sie entlastet werden. Durch eine zentrale Datenverwaltung kann das unnötige Suchen nach Akten in Papierform vermieden und der Platz für Archivräume eingespart werden.

Außerdem ermöglicht die Digitalisierung einen externen Zugriff auf die Daten, wodurch Führungskräfte und Beschäftigte flexibler Einsicht nehmen können. Die Einsicht kann auch durch mehrere Beschäftigte zur gleichen Zeit erfolgen, wodurch eine parallele Bearbeitung möglich ist.

Darüber hinaus können die Beschäftigten ihre Daten in der digitalen Personalakte sogar selbst bearbeiten, was die Personalabteilung entlastet.

Nicht zuletzt trägt die Digitalisierung von Akten durch die mit ihr einhergehende Eindämmung des Papierverbrauchs zum Umweltschutz bei.

Es ist jedoch zu beachten, dass bedeutsame arbeitsrechtliche Dokumente in Papierform archiviert werden müssen, um im Streitfall Beweis über formelle Wirksamkeit führen zu können. Das gilt für Dokumente, für die die Schriftform nach § 126 BGB vorgeschrieben ist, wie z. B. Kündigungen oder Aufhebungsverträge.

Löschung und Sperrung: Arbeitnehmer haben mehr Rechte

Welche neuen Regelungen gelten nun, die man vielleicht vor der DSGVO noch nicht kannte?

Seit der Umsetzung der EU-Datenschutzgrundverordnung umfasst das BDSG nicht mehr das Recht auf Berichtigung unrichtiger Daten, welches zuvor in § 35 Abs. 1 BDSG a.F. festgelegt war. Allerdings hat ein betroffener Arbeitnehmer nun ein Recht auf Löschung aus Art. 17 VO 2016/679/EU.

Dieses Recht unterliegt jedoch einer Beschränkung aus § 35 Abs. 1 S. 1 BDSG. Danach müssen, soweit die Löschung nur mit unverhältnismäßig hohem Aufwand möglich und das Interesse des Betroffenen nur als gering anzusehen ist, die in Rede stehenden Daten nicht gelöscht werden, sondern nur dessen Verarbeitung eingeschränkt werden, Art. 18 VO 2016/679/EU.

In § 35 Abs. 4 BDSG a.F. wurde außerdem die Sperrung von personenbezogenen Daten angeordnet, soweit deren Richtigkeit bestritten wird und weder die Richtigkeit noch die Unrichtigkeit festgestellt werden kann. Eine solche Regelung besteht in der aktuellen Fassung des BDSG nach Umsetzung der EU-Datenschutzgrundverordnung nicht, jedoch kann der Arbeitnehmer nach Art. 18 VO 2016/679/EU die Sperrung seiner Daten verlangen.

Zu gerade genanntem lässt sich zusammenfassen, dass der Verarbeiter der Daten früher zur Umsetzung der Vorschriften gesetzlich verpflichtet war, wohingegen der Arbeitnehmer heute seine Rechte nach Art. 17, 18 VO 2016/679/EU jeweils geltend zu machen hat. Durch diese Notwendigkeit steht der Arbeitnehmer diesbezüglich durch die Umsetzung der EU-Datenschutzgrundverordnung schlechter als zuvor.

Die DSGVO gibt dem Arbeitnehmer jedoch zusätzliche Rechte, die von dem BDSG in der alten Fassung nicht umfasst waren. Beispielsweise werden durch die Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen (Art. 12 ff VO 2016/679/EU) die Rechte der Arbeitnehmer gefestigt. Außerdem wird der Datenschutz durch die EU-Datenschutzgrundverordnung durch Technikgestaltung und datenschutzfreundliche Voreinstellungen verstärkt.

Auswertung ja – Überwachung nein!

Wann muss der Betriebsrat mit involviert werden?

Nach § 87 Abs. 1 Nr. 6 BetrVG steht dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, zu.

Durch Personalakten in digitaler Form wird zwar in der Regel nicht die Überwachung von Arbeitnehmern bezweckt, allerdings lassen diese statistische Auswertungen zu, wodurch Rückschlüsse auf einzelne Arbeitnehmer denkbar sind, was unter die Verhaltens- oder Leistungsüberwachung fallen könnte.

Ein Mitbestimmungsrecht des Betriebsrats kann sich auch aus § 92 Abs. 1 BetrVG ergeben. Der bestimmt, dass der Arbeitgeber den Betriebsrat über den gegenwärtigen und künftigen Personalbedarf sowie über die sich daraus ergebenden personellen Maßnahmen und Maßnahmen der Berufsbildung anhand von Unterlagen rechtzeitig und umfassend zu unterrichten ist. Außerdem muss er zu Art und Umfang der erforderlichen Maßnahmen mit dem Betriebsrat beraten.

Vertraulichkeit muss gewahrt werden

Wer darf die Akten einsehen und bearbeiten?

Sowohl bei digitalen Personalakten, als auch Personalakten in Papierform muss aufgrund des Persönlichkeitsrechts des Arbeitnehmers und der Fürsorgepflicht des Arbeitgebers die Vertraulichkeit der Personalakte gewahrt werden, indem sie vor dem Zugriff Dritter bewahrt wird. Dies ist gewährleistet, wenn der Zugriff nur einer möglichst geringen Anzahl von Betriebsangehörigen gestattet wird, die für die Personalentscheidungen zuständig sind.

Darüber hinaus müssen besonders sensible Daten gesondert verschlossen aufbewahrt werden, damit sie nicht ohne konkreten Anlass bei Durchsicht der Personalakte ins Auge fallen. Das kann bei einer digitalen Personalakte zum Beispiel durch Verschlüsselung oder Beschränkung von Zugriffsrechten geschehen.

Vorsicht Cloud!

Was gibt es hinsichtlich des Speicherortes für Richtlinien, insbesondere wenn man mit externen Dienstleistern zusammenarbeitet?

Bei Nutzen eines Cloud-Angebots sollten zunächst die Compliance-Regeln mit dem Dienstleister abgestimmt werden. Außerdem ist der Cloud-Service-Provider dazu verpflichtet, die Datenverarbeitung ausreichend zu dokumentieren. Festgehalten werden müssen beispielsweise die Datenverarbeitung, Aufbewahrungsfristen sowie die unternehmensinternen Empfänger der Daten.

Die Daten sollten außerdem, am besten schon vor der Migration in die Cloud, verschlüsselt werden, da diese im Falle eines Datenlecks unter Verschlüsselung als nicht verloren gelten.

Zu beachten ist bei der Frage nach dem physischen Speicherort auch, dass personenbezogene Daten von EU-Bürgern nicht in einem Land aufbewahrt werden dürfen, dessen Schutzvorschriften nicht den EU-Mindeststandards entsprechen.

Gefällt Ihnen, was Sie lesen? Teilen Sie diesen Beitrag oder hinterlassen Sie uns einen Kommentar!

Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich

Die Management Circle AG mit Sitz in Eschborn im Taunus ist spezialisiert auf die berufliche Weiterbildung in Form von Seminaren, Konferenzen und Kongressen für Fach- und Führungskräfte.

© Management Circle 2024