Bild: KI

Datenschutz bei der digitalen Personalakte

Die Anforderungen an den Datenschutz sind bei sensiblen Daten der Mitarbeiter besonders hoch. Wir zeigen, worauf Unternehmen achten sollten.

Die digitale Personalakte im Spannungsfeld von Effizienz und Datenschutz

Die Einführung der digitalen Personalakte soll vor allem die Effizienz in der Personalabteilung steigern. Gleichzeitig enthält sie sensible Daten der Mitarbeiter, die besonders geschützt werden müssen. Die Wahrung des Datenschutzes genießt deshalb höchste Priorität.

Die zentralen Kriterien beim Datenschutz von Personaldaten sind:

• Zugriff nur durch Berechtigte
• Schutz der Daten vor Manipulation
• Einhalten der gesetzlichen Aufbewahrungspflichten
• Wahrung der Auskunftspflichten der Mitarbeiter

Zugriff nur durch Berechtigte

Eine der größten Herausforderungen der digitalen Personalakte besteht darin, den Zugriff auf die digitalen Daten zu kontrollieren und gleichzeitig sicherzustellen, dass nur befugte Personen Einsicht in die Daten haben. Es muss ein detailliertes Berechtigungskonzept eingeführt werden, das genau festlegt, wer auf welche Daten zugreifen darf. Der Zugriff sollte nur nach persönlicher Authentifizierung und mit modernen Sicherheitstechnologien geschützt sein.

Schutz der Daten vor Manipulation

Eine weitere wichtige Aufgabe ist die Sicherung der Daten vor unbefugtem Zugriff und Manipulation. Die digitalen Personalakten müssen durch geeignete technische und organisatorische Maßnahmen vor Cyberangriffen und Datenverlust geschützt werden.

Einhalten der gesetzlichen Aufbewahrungspflichten

Die Einhaltung der gesetzlichen Aufbewahrungsfristen ist ebenfalls essentiell. Unternehmen müssen sicherstellen, dass die Daten nicht länger gespeichert werden, als es gesetzlich zulässig ist. Gleichzeitig müssen sie die Daten aber auch so lange aufbewahren, wie es für die Erfüllung ihrer rechtlichen Verpflichtungen notwendig ist.

Wahrung der Auskunftspflichten der Mitarbeiter

Schließlich müssen die Mitarbeiter über die Verarbeitung ihrer Daten informiert und ihre Rechte gewahrt werden. Sie haben das Recht, Auskunft über die gespeicherten Daten zu erhalten und die Berichtigung falscher Daten zu verlangen.

Sensibilität der in Personalakten gespeicherten Daten

Die Daten in der digitalen Personalakte sind besonders sensibel, da sie umfangreiche und detaillierte Informationen zu den Arbeitnehmer enthalten. Diese Informationen sind besonders schützenswert, da sie sehr persönlich sind und bei Missbrauch negative Folgen für den Arbeitnehmer haben könnten. Beispielsweise könnten sie zu Diskriminierung oder Stigmatisierung führen.

Wie hoch der Schutz der Daten in Personalakten eingestuft wird, zeigt sich auch an den hohen Bußgeldern, die bei Datenschutzverstößen im Zusammenhang mit Personalakten verhängt werden können. Der Fall des Modekonzerns H&M, bei dem sensible Daten von Mitarbeitern unzulässig erhoben und verarbeitet wurden, zeigt, dass die Datenschutzbehörden Verstöße in diesem Bereich sehr ernst nehmen.

Die Sensibilität der Daten in der digitalen Personalakte ergibt sich also nicht nur aus ihrem Inhalt, sondern auch aus den rechtlichen Rahmenbedingungen, die einen besonderen Schutz dieser Daten gewährleisten sollen.

Personaldaten und das Prinzip des Verbots mit Erlaubnisvorbehalt

Das Prinzip des Verbots mit Erlaubnisvorbehalt im Datenschutz besagt, dass die Verarbeitung personenbezogener Daten grundsätzlich nicht erlaubt ist. Es ist also nicht so, dass man Daten einfach verarbeiten darf, solange es keinen Grund gibt, dies zu verbieten. Vielmehr ist es genau umgekehrt: Die Verarbeitung ist verboten, es sei denn, es gibt eine explizite Erlaubnis dafür.

Diese Erlaubnis, also die Rechtsgrundlage für die Datenverarbeitung, kann verschiedene Formen annehmen. Im Kontext der digitalen Personalakte kann dies zum Beispiel die Einwilligung des Arbeitnehmers sein. Das bedeutet, der Arbeitnehmer muss der Verarbeitung seiner Daten aktiv zustimmen. Eine weitere Möglichkeit ist eine Betriebsvereinbarung, die die Datenverarbeitung im Unternehmen regelt. Schließlich können auch Gesetze eine Rechtsgrundlage für die Datenverarbeitung schaffen, wie beispielsweise das Bundesdatenschutzgesetz (BDSG) oder die Datenschutzgrundverordnung (DSGVO). Nur wenn eine dieser Rechtsgrundlagen vorliegt, ist die Verarbeitung der Daten in der digitalen Personalakte erlaubt.

Rechtliche Grundlagen: Datenschutz im Arbeitsverhältnis

Die wichtigste Rechtsgrundlage für den Datenschutz von Personaldaten ist die DSGVO, Sie enthält allgemeine Datenschutzbestimmungen, die auch für die Verarbeitung von Personaldaten gelten. Diese gelten gleichermaßen für digitale Personalakten und Personalakten in Papierform.

Ein zentraler Aspekt der DSGVO ist das sogenannte „Verbot mit Erlaubnisvorbehalt“, welches besagt, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, es liegt eine Rechtsgrundlage vor. Im Kontext der Personalakten kann diese Rechtsgrundlage beispielsweise in der Einwilligung des Arbeitnehmers, einer Betriebsvereinbarung oder in gesetzlichen Ermächtigungsgrundlagen liegen.

Die Verarbeitung sensibler Daten, wie beispielsweise Gesundheitsdaten, ist grundsätzlich verboten und nur in wenigen Ausnahmefällen zulässig. Hier greift Artikel 9 der DSGVO, der besondere Anforderungen an die Verarbeitung dieser Datenkategorie stellt. Beispielsweise ist die explizite Einwilligung des Arbeitnehmers in der Regel erforderlich, um Gesundheitsdaten in der Personalakte verarbeiten zu dürfen.

Die DSGVO sieht zudem strenge Anforderungen an die Datensicherheit vor. Artikel 32 DSGVO verpflichtet den Arbeitgeber, geeignete technische und organisatorische Maßnahmen zu treffen, um die Daten in der digitalen Personalakte vor unberechtigtem Zugriff, Verlust oder Manipulation zu schützen.

Schließlich ist auch das Prinzip der Datenminimierung zu beachten. Dieses Prinzip besagt, dass der Arbeitgeber nur solche Daten verarbeiten darf, die für den jeweiligen Zweck tatsächlich erforderlich sind. Die digitale Personalakte darf also nicht dazu missbraucht werden, um übermäßig viele Daten über den Arbeitnehmer zu sammeln.

Ergänzend gilt in Deutschland das Bundesdatenschutzgesetz (BDSG), das die Regelungen der DSGVO für den deutschen Rechtsraum konkretisiert. Insbesondere § 26 BDSG ist für den Datenschutz in Personalakten von Bedeutung. Diese Vorschrift regelt die Zulässigkeit der Datenverarbeitung im Beschäftigungskontext und stellt klar, dass Arbeitgeber nur solche Daten verarbeiten dürfen, die für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind.

Darüber hinaus sind im Arbeitsrecht weitere Gesetze relevant, die sich auf den Datenschutz in Personalakten auswirken. Das Betriebsverfassungsgesetz (BetrVG) räumt dem Betriebsrat beispielsweise Mitbestimmungsrechte bei der Einführung und Anwendung von technischen Einrichtungen ein, die das Verhalten oder die Leistung der Arbeitnehmer überwachen. Dies kann auch für die digitale Personalakte relevant sein, da sie die Möglichkeit bietet, Daten über die Arbeitsleistung der Mitarbeiter zu erfassen und zu analysieren.

Rechte des Arbeitnehmers

Der Arbeitnehmer hat verschiedene Rechte, die ihm die Kontrolle über seine persönlichen Daten ermöglichen. Zunächst steht dem Arbeitnehmer das Recht zu, Auskunft über die in seiner Personalakte gespeicherten Daten zu erhalten. Er kann jederzeit Einsicht in seine Akte verlangen und sich über die Herkunft, die Empfänger und den Zweck der Datenverarbeitung informieren.

Der Arbeitnehmer hat das Recht auf Berichtigung falscher und Löschung unzulässiger Daten in seiner Akte. Sind Daten unzulässig gespeichert, beispielsweise weil sie nicht für das Arbeitsverhältnis relevant sind, kann er deren Löschung fordern.

Das Widerspruchsrecht ermöglicht es dem Arbeitnehmer, der Verarbeitung bestimmter Daten zu widersprechen, wenn er berechtigte Gründe dafür hat. Beispielsweise kann er der Verarbeitung von Daten widersprechen, die nicht für die Durchführung des Arbeitsverhältnisses erforderlich sind.

Das Recht auf Datenübertragbarkeit erlaubt es dem Arbeitnehmer, seine Daten in einem gängigen Format zu erhalten, um sie beispielsweise an einen neuen Arbeitgeber weitergeben zu können.

Zulässige Inhalte der digitalen Personalakte

In Personalakten, ganz gleich ob elektronisch oder in Papierform, dürfen nur Informationen gespeichert werden, die einen direkten Bezug zum Arbeitsverhältnis haben und die für die Verwaltung und Abwicklung des Arbeitsverhältnisses notwendig sind. Dazu gehören beispielsweise Vertragsunterlagen wie Arbeitsvertrag, Gehaltsabrechnungen, Zeugnisse, Beurteilungen, Abwesenheitsnachweise, Fortbildungsnachweise und Korrespondenz zum Arbeitsverhältnis. Die Aufnahme von Informationen, die nicht für das Arbeitsverhältnis relevant sind, wie beispielsweise politische Meinungen, religiöse Ansichten oder detaillierte Gesundheitsdaten, ist unzulässig.

Sichere Aufbewahrung: Schutz vor unbefugtem Zugriff

Um sensible Mitarbeiterdaten in digitalen Personalakten zu schützen, kommt der Zugriffskontrolle eine entscheidende Rolle zu. Durch ein klares Rollen- und Berechtigungskonzept wird festgelegt, wer auf welche Daten zugreifen darf. So kann beispielsweise sichergestellt werden, dass nur die Personalabteilung Zugriff auf Gehaltsdaten hat, während der Betriebsrat nur auf bestimmte, für seine Aufgaben relevante Informationen zugreifen kann. Ein solches Konzept trägt dazu bei, dass sensible Daten nur von Personen eingesehen werden können, die sie  auch tatsächlich benötigen.

Die Verschlüsselung sensibler Daten ist eine weitere wichtige Sicherheitsmaßnahme. Diese schützt die Daten vor unberechtigtem Zugriff, selbst wenn sie in die falschen Hände geraten. Besonders sensible Daten, wie beispielsweise Gesundheitsdaten, sollten grundsätzlich verschlüsselt gespeichert werden.

Durch die Protokollierung von Datenzugriffen lässt sich nachzuvollziehen, wer wann auf welche Daten zugegriffen hat. Das erhöht die Transparenz und hilft dabei, unberechtigte Zugriffe frühzeitig zu erkennen und entsprechende Maßnahmen zu ergreifen. Durch die Protokollierung wird ein zusätzlicher Sicherheitsmechanismus geschaffen, der dazu beiträgt, die Integrität und Vertraulichkeit der Daten zu gewährleisten.

Eine Schlüsselfunktion hat der Datenschutz durch Technikgestaltung, auch bekannt als „Privacy by Design“. Dieser Ansatz zielt darauf ab, Datenschutz bereits bei der Entwicklung und Gestaltung von Systemen und Prozessen zu berücksichtigen. So sollten beispielsweise standardmäßig nur die notwendigsten Daten erhoben und verarbeitet werden, und der Zugriff auf die Daten sollte von vornherein auf das erforderliche Minimum beschränkt werden.

Eng damit verbunden ist das Prinzip „Privacy by Default“, das besagt, dass die Einstellungen mit dem stärksten Datenschutz standardmäßig voreingestellt sein sollten. Ein Nutzer muss dann aktiv handeln, um die Datenschutzeinstellungen zu ändern und weniger Datenschutz zu wählen.

Besondere Herausforderungen

Der Schutz von Personaldaten stellt Unternehmen vor verschiedene Herausforderungen, insbesondere in besonderen Situationen wie Betriebsübergängen, bei Homeoffice-Regelungen und beim Umgang mit Abmahnungen.

Beim Betriebsübergang ist die sichere Übermittlung der Personalakten an den neuen Arbeitgeber sicherzustellen. Der alte Arbeitgeber ist verpflichtet, die Daten der Mitarbeiter nur dann an den neuen Arbeitgeber zu übermitteln, wenn dies für die Fortsetzung des Arbeitsverhältnisses erforderlich ist. Eine Übermittlung vor dem eigentlichen Betriebsübergang ist in der Regel unzulässig, es sei denn, der betroffene Mitarbeiter hat seine Einwilligung erteilt. Der neue Arbeitgeber benötigt die Daten der Mitarbeiter, um beispielsweise die Gehaltsabrechnung durchführen zu können oder den Mitarbeiter entsprechend seiner Qualifikationen einzusetzen.

Die inzwischen große Verbreitung von Homeoffice-Regelungen bringt ebenfalls Herausforderungen für den Datenschutz mit sich. Unternehmen müssen sicherstellen, dass die Mitarbeiter im Homeoffice die Datenschutzbestimmungen einhalten und die Daten der Mitarbeiter ausreichend geschützt sind. Besonders wichtig ist hierbei die Sensibilisierung der Mitarbeiter für Datenschutzthemen, die sichere Speicherung der Daten und die Regelung des Zugriffs auf die Daten. Hier müssen Arbeitgeber die nötigen technischen Mittel wie Hardware und Software bereitstellen, die einen sicheren Zugriff auf die Daten von zu Hause aus nötig sind.

Abmahnungen sind ein weiteres sensibles Thema im Datenschutz der Personalakte. Grundsätzlich müssen Abmahnungen nach Ablauf einer bestimmten Frist aus der Personalakte entfernt werden, es sei denn, es gibt einen triftigen Grund für die weitere Aufbewahrung. Diese Frist orientiert sich an der jeweiligen Verjährungsfrist des Anspruchs, der mit der Abmahnung geltend gemacht werden soll. In der Regel beträgt die Frist drei Jahre. Es kann jedoch auch Fälle geben, in denen eine längere Aufbewahrungsfrist gerechtfertigt ist, beispielsweise wenn die Abmahnung für die Beurteilung der Leistung des Mitarbeiters von Bedeutung ist.

Die Rolle des Datenschutzbeauftragten beim Schutz von Personaldaten

Unternehmen mit mindestens 20 Mitarbeitern haben die Pflicht, einen Datenschutzbeauftragten zu benennen. Der Datenschutzbeauftragte hat die Aufgabe, die pflichtgemäße Führung der Personalakte zu kontrollieren.

Mitarbeiter können sich bei Problemen an den Datenschutzbeauftragten wenden, zum Beispiel, wenn sie einen Verstoß gegen den Datenschutz im Zusammenhang mit ihrer Personalakte feststellen.

Ein Datenschutzbeauftragter berät zudem die Verantwortlichen im Unternehmen hinsichtlich der Umsetzung der Datenschutzbestimmungen und schult die Mitarbeiter im Umgang mit sensiblen Daten.

Ausblick auf zukünftige Entwicklungen im Datenschutzrecht

Mit dem Voranschreiten der technischen Möglichkeiten werden auch die Anforderungen an den Datenschutz steigen.

Das zeigt sich Eindrucksvoll an der rasanten Entwicklung der künstlichen Intelligenz (KI). KI-Systeme wie zum Beispiel moderne HR-Software werden bereits heute in der Personalverwaltung eingesetzt, beispielsweise im Recruiting oder zur Leistungsbewertung von Mitarbeitern. Die Verwendung von KI birgt jedoch auch datenschutzrechtliche Risiken. Es ist daher zu erwarten, dass der Gesetzgeber in Zukunft strengere Regeln für den Einsatz von KI im Personalwesen erlassen wird. Dies könnte beispielsweise Vorgaben zur Transparenz von KI-Entscheidungen oder zur Vermeidung von Diskriminierung durch KI beinhalten.

Ein weiteres wichtiges Thema ist die zunehmende Vernetzung von Daten. Durch die zunehmende Digitalisierung werden immer mehr Daten über Mitarbeiter erfasst und in verschiedenen Systemen gespeichert. Dies erhöht das Risiko von Datenmissbrauch und -verlust. Es ist daher möglich, dass der Gesetzgeber in Zukunft strengere Anforderungen an die Sicherheit von Daten im Personalwesen stellen wird. Dies könnte beispielsweise die verpflichtende Einführung von Verschlüsselungsverfahren oder von Systemen zur Zugriffskontrolle umfassen.

Auch das Recht auf Vergessenwerden könnte in Zukunft eine größere Rolle im Datenschutz von Personaldaten spielen. Dieses Recht ermöglicht es den Betroffenen, die Löschung ihrer Daten zu verlangen, wenn die Speicherung nicht mehr erforderlich ist. In Zukunft könnten die Anforderungen an die Löschung von Daten im Personalwesen noch strenger werden. Dies könnte beispielsweise bedeuten, dass Unternehmen verpflichtet werden, Daten von Mitarbeitern nach Beendigung des Arbeitsverhältnisses schneller zu löschen.