Personalakte und Datenschutz – Das müssen Sie wissen
Personalakte und Datenschutz – Das müssen Sie wissen
Datenschutzrechtlich sind bei der Führung der Personalakten zwei wesentliche Vorschriften zu beachten. Dies sind § 9 BDSG (Datensicherheit) und § 32 BDSG (die Zweckbindung der Arbeitnehmerdaten). In unserem Informationsblog erhalten Sie die wichtigsten Informationen zu
- Zugriff auf die Personalakte datenschutzkonform organisieren
- Inhalt der Personalakte – Anforderungen der DSGVO
- Rechte des Mitarbeiters
Zugriff auf die Personalakte – Personalakte und Datenschutz – Das müssen Sie wissen
Der Zugriff auf die Personalakte richtet sich nach § 9 BSG und dem Anhang zu § 9 BDSG. Dies sind für die Personalakte und Datenschutz die Regelungen zur Datensicherheit. Bei Personalakten ist nach diesen Vorschriften:
- Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen Personalakten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle);
- zu verhindern, dass die Datenverarbeitungsanlage, mit denen Personalakten verarbeitet werden, Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle;
- zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme, mit denen Personalakten verarbeitet, eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).
Für die Praxis ist also wichtig, dass der Zugriff auf die Personalakte, egal ob diese elektronisch oder in Papierform geführt wird, nach den oben genannten Grundsätzen geschützt ist.
Welche Personen auf die Personalakte innerhalb eines Unternehmens Zugriff haben, richtet sich nach der sogenannten datenschutzrechtlichen Zweckbindung. Wie bereits dargestellt, bestimmen sich die grundsätzlichen Anforderungen hier nach § 32 BDSG und der Frage, welche Daten für die Begründung des Beschäftigungsverhältnisses erforderlich sind. Zweck der Personalakte ist es, Bestand, Führung und Beendigung des Arbeitsverhältnisses zu dokumentieren. Daher haben im Regelfall nur die folgenden Personen Zugriff auf die Personalakte des Mitarbeiters:
- unmittelbarer Vorgesetzter (z. B. Abteilungsleiter),
- Personalabteilung und
- Geschäftsführung.
Für Konzerne ist es dabei wichtig zu wissen, dass im Datenschutzrecht kein Konzernprivileg existiert. Eine eng auszulegende Ausnahme würde nur dann vorliegen, wenn das Arbeitsverhältnis Konzernbezug aufweist.
Das bedeutet: Auf die Personalakte kann jeweils nur innerhalb eines Unternehmens lediglich der oben genannte Personenkreis zugreifen.
Dies schafft in der Praxis regelmäßig dann Probleme, wenn innerhalb einer Konzernstruktur ein Konzernunternehmen Zugriff auf die Personalakte – oder auch sonstige Arbeitnehmerdaten – fordert. Da das Konzernunternehmen wie ein Drittunternehmen behandelt wird, gilt auch hier der datenschutzrechtliche Grundsatz des Verbots mit Erlaubnisvorbehalt. Eine Weitergabe innerhalb des Konzerns oder Einsicht in die Personalakte durch ein anderes Konzernunternehmen ist daher datenschutzrechtlich im Regelfall nicht zulässig, es sei denn, es besteht, z. B. wegen des Konzernbezugs der Tätigkeit ein datenschutzrechtlicher Ausnahmetatbestand.
Dies führt in der Praxis immer dann zu Problemen, wenn ein Konzern seine Personalaktivitäten zentral steuern möchte und die Verarbeitungsprozesse über eine reine Datenverarbeitung im Auftrag hinaus gehen. Man sollte daher schon früh (z. B. bei der Einstellung des Mitarbeiters) sicherstellen, dass die entsprechende Einwilligung des Mitarbeiters zur Verarbeitung seiner Daten innerhalb des Konzerns eingeholt wird.
Inhalte der Personalakte – Personalakte und Datenschutz – Das müssen Sie wissen
Für die Umsetzung Personalakte und Datenschutz gilt auch bei den Inhalten der Personalakte das Prinzip der Erforderlichkeit nach § 32 BDSG. In der Personalakte dürfen also aus datenschutzrechtlicher Sicht nur solche Daten abgespeichert werden, die zur Erfüllung des unmittelbaren Vertragszwecks – also dem Arbeitsverhältnis – erforderlich sind. Das sind typischerweise.
- Bewerbungsunterlagen,
- Anstellungsvertrag sowie
- sonstige Personalunterlagen (wie z. B. Abmahnungen).
Wichtig ist hierbei, dass nach der arbeitsgerichtlichen Rechtsprechung, unabhängig von den oben genannten datenschutzrechtlichen Bestimmungen, detaillierte Regelungen bestehen, nach welchen Zeiträumen Einträge in die Personalakte (wie z. B. Abmahnungen) gelöscht werden müssen.
Inhalte, die nichts zur Erfüllung des Arbeitsvertrages zweckgebunden sind, dürfen aus datenschutzrechtlicher Sicht nicht in der Personalakte gespeichert werden.
Die Speicherung der personenbezogenen Daten in den vorgenannten Beispielen in der jeweiligen Personalakte des Mitarbeiters ist datenschutzrechtlich unzulässig. Die Daten sind für die Durchführung des Arbeitsverhältnisses nicht erforderlich im Sinne des § 32 BDSG.
Rechte des Arbeitnehmers – Personalakte und Datenschutz – Das müssen Sie wissen
Die Regelungen zu Personalakte und Datenschutz räumen dem Arbeitnehmer das Recht auf Einsicht in seine Personalakte ein, egal ob in Papierform oder elektronisch, richtet sich nicht nach dem BDSG, sondern nach der insoweit spezielleren Vorschrift des § 83 BetrVG.
Neben dieser speziellen Vorschrift, welche sich ausschließlich auf die Personalakte bezieht, stehen dem Arbeitnehmer weitere Auskunftsansprüche zu, welche Daten außerhalb der eigentlichen Personalakte betreffen:
Datenschutzrechtlich hat jeder Arbeitnehmer zusätzlich das Recht auf Auskunft über die zu seiner Person gespeicherten Daten, soweit diese sich auf die Herkunft dieser Daten beziehen, auch über Empfänger der Daten und den Zweck der Speicherung. Die Auskunftsrechte ergeben sich aus § 34 BDSG.
Darüber hinaus hat jeder Arbeitnehmer auch das Recht auf Berichtigung, Löschung und Sperrung von Daten nach Maßgabe des § 35 BDSG.
Wird dem Arbeitnehmer durch die unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten ein Schaden zugefügt, ist der Arbeitgeber zusätzlich zu den oben dargestellten Ansprüchen auf Korrektur oder Löschung zu Schadensersatz verpflichtet. Denkbar ist dies zum Beispiel im Rahmen einer Beförderungsentscheidung wenn einzelne Beurteilungen fehlerhaft eingegeben wurden und diese Eingabefehler zu einer anderen Auswahlentscheidung geführt haben.
Aus Arbeitnehmersicht besteht neben rein zivilrechtlichen Ansprüchen, welche vor dem Arbeitsgericht geltend gemacht werden müssen, auch die Möglichkeit, aufsichtsrechtlich gegen den Arbeitgeber wegen einer Verletzung datenschutzrechtlicher Vorschriften vorzugehen. Die Arbeitnehmer haben also auch jederzeit das Recht, sich an die Aufsichtsbehörde und den betrieblichen Datenschutzbeauftragen zu wenden, wenn sie Verletzungen ihrer datenschutzrechtlichen Rechte befürchten.
S+P Infothek Datenschutz-Compliance – Auslagerung Datenschutzbeauftragter mit S+P
Besuchen Sie auch unseren Informationsbeiträge zu folgenden Datenschutz-Themen
- Datenschutz für Unternehmer – Management in der Pflicht
- AEAO zum Steuergeheimnis – Anpassung an Datenschutz-Grundverordnung
- Neue Datenschutz-Grundverordnung – Datenschutz-Compliance im Griff?
- EU-Datenschutz-Grundverordnung – Ihr Umsetzungs-Fahrplan
- Datenschutz-Compliance erfüllen
Seminare zum Thema Datenschutz finden Sie direkt beim S+P Unternehmerforum.
Datenschutz in der Personalabteilung - S&P Team Datenschutz
[…] Schutzwürdige Daten – Datenschutz in der Personalabteilung […]
Missbrauch des Video-Ident-Verfahrens für Betrug - S&P Consulting
[…] auf ein solches Stellenangebot werden häufig aufgefordert, an einem Online-Bewerbungsverfahren teilzunehmen. Im Online-Bewerbungsverfahren sollen sie vielfältige persönliche Daten von sich […]