- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Datenschutz für die digitale Personalakte

Die Verfahren rund um die Personalakte unterliegen den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Datenschutzbeauftragte sollten die Personalabteilung besonders sensibilisieren und Tipps für den Schutz von digitalen Personalakten geben. Denn hier hapert es in der Praxis immer wieder.

Warum ist Datenschutz bei Personalakten so wichtig?

Wenn es einen Unternehmensbereich gibt, bei dem Datenverarbeitung fast immer Verarbeitung personenbezogener Daten [1] bedeutet, dann ist es die Personalbateilung, auch Human Resources (HR) genannt.

In der Personaldaten-Verarbeitung geht es unter anderem um

Viele personenbezogene Daten zu Beschäftigten werden in der Personalakte erfasst. Das gilt zum Beispiel für die Daten aus dem Bewerbungsverfahren, für den Arbeitsvertrag, Urlaubsanträge, mögliche Abmahnungen, Angaben zur Sozialversicherung, Steuerinformationen und Zeugnisse.

Zweifellos sind dies Dokumente und Daten, die eine besondere Vertraulichkeit erwarten lassen.

Was fordern DSGVO und BDSG für die Personalakte?

In der DSGVO macht Artikel 88 (Datenverarbeitung im Beschäftigungskontext) grundlegende Vorgaben zum Beschäftigtendatenschutz.

Darüber hinaus enthält der Artikel eine Öffnungsklausel, die die nationalen Gesetzgeber zur weiteren Ausgestaltung nutzen können.

Die nationalen Vorgaben sollen vor allem regeln:

Das neue Bundesdatenschutzgesetz (BDSG) hat daher den § 26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses). Er ist seit 25. Mai 2018 bei der Datenschutz-Kontrolle der Verarbeitung von personenbezogenen Daten Beschäftigter zu beachten.

§ 26 BDSG regelt zum einen, was alles unter dem Begriff „Beschäftigte“ zu fassen ist. Für Unternehmen sind dies

Zum anderen äußert sich das BDSG hinsichtlich Erfordernis [2] und Zweckbindung [3]:

„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

Welche Risiken sind mit Verfahren zur Personalakte verbunden?

Viele Unternehmen nutzen eine spezielle Software im Personalmanagement, auch HR-Software genannt, um die Personalakte zu führen.

Leider sind solche Software-Lösungen meist nicht nur reich an Funktionen, sondern auch komplex in der Kontrolle des Datenschutzes.

Diese Kontrolle durch betriebliche bzw. behördliche Datenschutzbeauftragte ist aber enorm wichtig. Denn die Berichte der Datenschutz-Aufsichtsbehörden zeigen regelmäßig Mängel auf im Bereich der Verarbeitung von Personaldaten.

Bevor Sie sich nun in der Prüfung von HR-Software-Modulen verlieren, sehen Sie sich in erster Linie die Knackpunkte an, die in der Praxis auffallen:

Welchen Schutz braucht die Personalakte?

Die Maßnahmen für die Sicherheit der Verarbeitung müssen unter anderem der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos [7] für die Rechte und Freiheiten natürlicher Personen Rechnung tragen, wie Artikel 32 DSGVO darlegt.

Personaldaten oder Beschäftigtendaten haben einen hohen Schutzbedarf, geht es doch auch um Gesundheitsdaten oder Angaben zur Religionszugehörigkeit (besondere Kategorien personenbezogener Daten [8]).

Für die Datensicherheit im Bereich der Personaldatenverarbeitung müssen somit Lösungen her, die ein hohes Schutzniveau bieten, also den Zugang zu der HR-Software und den Zugriff auf die elektronischen Personalakten wirksam schützen.

Die Konzepte für Aufbewahrung und Entsorgung der Personalakten müssen auch auf die Personaldatenverarbeitung und die digitalen Personalakten übertragen werden.

Die Mitarbeiter- und Bewerberdaten [9] müssen also entsprechend rechtlicher bzw. vertraglicher Vorgaben aufbewahrt und fristgerecht gelöscht werden.

Es gelten die Grundsätze nach Artikel 5 DSGVO, darunter die Speicherbegrenzung [10] und die Datenminimierung.

Somit gibt es einige Knackpunkte in der Personaldatenverarbeitung, die häufig zu wenig Beachtung finden. Das sollte sich schnell ändern.


Download: Checkliste [11] Datenschutz bei der Personaldatenverarbeitung


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Datenschutz PRAXIS [12] Die Fachzeitschrift Datenschutz PRAXIS [12] gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen.

Nutzen Sie das kostenlose Probeabo [12], um Datenschutz PRAXIS zu testen!