Springe auf Hauptinhalt Springe auf Hauptmenü Springe auf SiteSearch
Personaldaten rechtssicher digitalisieren

DSGVO: So halten Sie Datenschutz im papierlosen Personalbüro ein

Inhalt

Mit wenigen Klicks können alle Mitarbeiterinformationen in einer digitalen Personalakte gespeichert werden und sind jederzeit verfügbar. Wie bei Personalakten in Papierform macht der Datenschutz nach DSGVO und BDSG bestimmte Vorgaben. Die elektronische Form stellt den Arbeitgeber jedoch vor besondere Anforderungen.

Datenschutz nach BDSG: Elektronische Vorselektion von Bewerbungen ist erlaubt

Der Bewerbungsprozess ist als vorvertragliches Vertrauensverhältnis zu sehen. § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) besagt, dass personenbezogene Daten von Bewerbern „[…] verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses […]“ erforderlich ist. Zu diesen Daten gehören im Bewerbungsverfahren z. B. Name und Anschrift, Telefonnummer und E-Mail-Adresse, Zeugnisse und Lebenslauf.

Neben diesen typischen Bewerbungsunterlagen ist auch eine Speicherung von personenbezogenen Daten, die mit zulässigen Fragen erhoben werden, aus Datenschutzsicht unproblematisch.

Wenn Bewerbungen über ­Onlineportale erfolgen

Viele Unternehmen bieten Bewerbern die Möglichkeit, sich über ein spezielles Portal, also online auf der Unternehmenswebsite, zu bewerben. Dazu gehören Angaben zur Person und zum beruflichen Werdegang ebenso wie das Hochladen von Dokumenten wie Lebenslauf, Zeugnissen etc. Besonders in großen Unternehmen steuern solche E-Recruiting-Systeme den Ablauf eines Bewerbungsverfahrens und helfen, Zeit und Ressourcen zu sparen.

Getty Images/iStockphoto/Sitthiphong

Viele Unternehmen bieten Bewerbern die Möglichkeit, sich über ein spezielles Online-Portal zu bewerben. Besonders in großen Unternehmen steuern solche E-Recruiting-Systeme den Ablauf eines Bewerbungsverfahrens und helfen, Zeit und Ressourcen zu sparen.

Dürfen Bewerber*innen rein automatisiert ausgewählt werden?

Bewirbt sich der Bewerber über das Onlineportal eines Unternehmens und wirken Systeme an der Entscheidung über die Stellenbesetzung mit, ist zunächst Art. 22 ­DSGVO (Datenschutz-Grundverordnung) zu berücksichtigen. Dieser verbietet es, dass die Entscheidung über eine Bewerberin oder einen Bewerber ausschließlich auf einer automatisierten Verarbeitung beruht.

Wobei diese Vorschrift noch nicht greift, wenn das System Bewerbungen aus rein formalen Gründen aussortiert, z. B. wenn Pflichtangaben oder erforderliche Zeugnisse fehlen. Das bedeutet, dass eine automatisierte Vorselektion zwar stattfinden darf, die abschließende Entscheidung über die Einstellung eines Bewerbers aber von einer natürlichen Person getroffen werden muss und nicht durch ein elektronisches System erfolgen darf.

Nur zweckgebundene Daten ­dürfen gespeichert werden

Bereits der erste Schritt – das Einscannen der Dokumente – erfordert Vorsicht. Bei neuen Mitarbeitern ist dies relativ einfach, sofern die für das Beschäftigungsverhältnis erforderlichen Daten nicht schon über das ­E-Recruiting-System erfasst wurden. Allerdings ist auch dann zu prüfen, ob die personenbezogenen Daten weiterhin gespeichert werden dürfen.

Bei bestehenden Mitarbeitern darf nicht alles eingescannt werden. In (fast) jeder Personalakte befinden sich alte und veraltete Unterlagen, die aus Datenschutzsicht nicht mehr verarbeitet werden dürfen. Eine Speicherung, Nutzung und Verarbeitung von personenbezogenen Daten darf stets nur zu einem bestimmten Zweck erfolgen.

Das darf die Personalakte enthalten

An diese Zweckbindung müssen sich die Verantwortlichen halten. D. h. es dürfen nur die personenbezogenen Daten des Beschäftigten gespeichert werden, die für die Durchführung des Beschäftigungsverhältnisses erforderlich sind, alles andere ist zu löschen (bei Papierunterlagen: zu vernichten). Das sind zwei der sechs Grundsätze für die Verarbeitung personenbezogener Daten.

Kurzum: Eine (elektronische) Personalakte darf nur die Informationen enthalten, die der Arbeitgeber a) rechtmäßig erworben hat und b) für die ein sachliches Interesse besteht. Das Schlüsselwort ist hier „erforderlich“, d. h. es genügt nicht, dass die Informationen nützlich sind.

Entscheidet sich das Unternehmen dafür, das Einscannen der Personalakten und Dokumente an einen Dienstleister outzusourcen, ist mit diesem eine Auftragsverarbeitung nach Art. 28 DSGVO (Auftragsverarbeiter) abzuschließen.

Elektronische Personalakte: Einwilligung des Mitarbeiters ist Voraussetzung

Die betroffene Person muss in die Verarbeitung der personenbezogenen Daten durch den Arbeitgeber einwilligen.

Getty Images/iStockphoto/Natee Meepian

Die betroffene Person muss in die Verarbeitung der personenbezogenen Daten durch den Arbeitgeber einwilligen.

Das Datenschutzrecht ist ein Verbotsgesetz mit Erlaubnisvorbehalt (Art. 6 DSGVO). Das bedeutet, die Verarbeitung von personenbezogenen Daten ist u. a. nur rechtmäßig:

● wenn die betroffene Person einwilligt,

● wenn die personenbezogenen Daten auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden,

● wenn sie zur Erfüllung der rechtlichen Verpflichtung, der das Unternehmen unterliegt, erforderlich ist,

● wenn sie zur Erfüllung eines Vertrages oder für die Durchführung vorvertraglicher Maßnahmen (ErwG 40 DSGVO) erforderlich ist.

Für alle Mitarbeiter einführen

Die Einführung einer elektronischen Personal­akte ist mitbestimmungspflichtig. In Abstimmung mit dem Betriebsrat ist die Einführung der elektronischen Personalakte für alle Mitarbeiter möglich. Ein Mitbestimmungsrecht hat der Betriebsrat, wenn allgemeine Beurteilungsgrundsätze eingeführt werden und dies im Zusammenhang mit einer technischen Einrichtung, sprich mit einem elektronischen System, geschieht.

Wann bestimmt der Betriebsrat mit?

Hier greift § 87 Abs. 1 Satz 6 Betriebsverfassungsgesetz: „Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen: [...] Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen […].

Aufbewahrungsfristen: Wann müssen Daten gelöscht werden?

Arbeitgeber müssen Unterlagen von Bewerbern und Mitarbeitern (Beschäftigten) im verschließbaren Aktenschrank und/oder mithilfe eines Personal-Informations-Systems elektronisch aufbewahren. Vielfach gibt es keinerlei Regelungen über Aufbewahrungs- und Löschfristen, sodass Bewerbungs- und Mitarbeiterunterlagen oft länger aufbewahrt werden als erlaubt.

Adobe Stock / momius

Speicherung, Nutzung und Verarbeitung von personenbezogenen Daten der Mitarbeiter darf stets nur zu einem bestimmten Zweck erfolgen.

Die Erhebung und die Speicherung von Bewerberdaten erfüllen ihren Zweck, bis die passende Kandidatin oder der passende Kandidat gefunden ist. Wenn der Kandidat ungeeignet ist und/oder für die Position abgelehnt wird, entfällt der Zweck und die Daten sind zu löschen.

Wann sind Ausnahmefälle ­gegeben?

In Ausnahmefällen kann eine längere Aufbewahrungsfrist geboten sein. Zum Beispiel räumt § 21 Abs. 5 AGG (Verstoß gegen das Benachteiligungsverbot) eine Frist von zwei Monaten für entsprechende Klageerhebung ein. Ein Bewerber muss eine Benachteiligung wegen eines vom AGG verbotenen Merkmals innerhalb der Zweimonatsfrist des § 15 Abs. 4 AGG anzeigen. Daher ist eine Aufbewahrungsfrist von drei Monaten gerechtfertigt bzw. ein Gericht kann noch eine Fristverlängerung gewähren.

Die Gefahr einer AGG-Klage besteht aber nicht unendlich lange. Ist die Frist abgelaufen, sind sämtliche personenbezogenen Daten unwiderruflich zu löschen. Dies gilt auch für handschriftliche Notizen, die z. B. während des Bewerbungsgesprächs gemacht wurden. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg ­(LfDI BW) hält eine Speicherung über drei Monate hinaus für nicht erforderlich.

Möchte das Unternehmen die personenbezogenen Daten, also die Bewerbungsunterlagen, nach Einstellung des Bewerbers weiter speichern, weil z. B. das Profil für einen späteren Zeitpunkt von Interesse ist, muss der Bewerber dieser weitergehenden Speicherung schriftlich zustimmen (§ 26 Abs. 2 Satz 3 BDSG).

Welche Daten müssen nach Beendigung des Beschäftigungsverhältnisses aufbewahrt werden?

Verlässt ein Mitarbeiter den Betrieb, gelten bestimmte Regeln dafür, welche Daten gespeichert bleiben müssen.

Bild: yacobchuk / Getty Images

Verlässt ein Mitarbeiter den Betrieb, gelten bestimmte Regeln dafür, welche Daten gespeichert bleiben müssen.

Häufig werden Personalakten ausgeschiedener Mitarbeiter jahrzehntelang aufbewahrt. Vielfach wird die Auffassung vertreten, dass Arbeitgeber dazu verpflichtet sind. Es ist zu differenzieren:

● Die Vorschriften sind steuer- und sozialversicherungsrechtlicher Natur, welche den Arbeitgeber verpflichten, zum einen Abrechnungsunterlagen (z. B. Gehalts- und Lohnabrechnung) zu führen und zum anderen diese auch eine gewisse Zeit aufzubewahren. Der Erlaubnisvorbehalt zur weiteren Speicherung resultiert aus einem einschlägigen Gesetz (z. B. AO, EStG, SGB) sowie bilanzrechtlichen Vorschriften.

● Verschiedene arbeitsschutzrechtliche Vorschriften, u. a. das ArbZG, das MuSchG sowie das BEM, verpflichten den Arbeitgeber ebenfalls dazu, Personalunterlagen aufzubewahren. Es handelt sich hier um Unterlagen, die vielfach auch außerhalb der Personalakte des einzelnen Mitarbeiters geführt werden (müssen).

Zusammengefasst: Vorteile und Risiken der digitalen Personalakte

Die digitale Personalakte hat viele Vorteile. Systembedingt kann man für eine elektronische Personalakte relativ einfach Zugriffe und Berechtigungen erteilen, automatisch archivieren und löschen. Arbeitsabläufe im Unternehmen und vor allem in der Personalabteilung werden vereinfacht und effizienter gestaltet. Mit wenigen Klicks können Mitarbeiterinformationen gespeichert werden und sind jederzeit für den Zugriffsberechtigten verfügbar.

Andererseits birgt sie aus Datenschutzsicht aber auch die Möglichkeit zum Missbrauch. Die größte Gefahr besteht darin, dass sie für die Leistungs- und Verhaltenskontrolle der Mitarbeiter ausgenutzt werden kann, indem ein detailliertes Profil erstellt wird. Auch automatisierte Einzelentscheidungen, die den Datenschutz verletzen, sind mit der digitalen Personalakte einfacher.

Schriftliche Regelungen beugen Missbrauch vor

Aus diesen Gründen sollte die Einführung und Nutzung der digitalen Personalakte schriftlich geregelt werden, etwa in einer Unternehmensrichtlinie oder Betriebsvereinbarung. In jedem Fall sind ein Zugriffs- und Berechtigungskonzept sowie ein Lösch- und Aufbewahrungskonzept zu erstellen. (Dies gilt übrigens auch und schon immer für Bewerbungsunterlagen und Personalakten in Papierform.)

Bewerbungen über ein Onlineportal, auf das die Kandidaten ihre Unterlagen hochladen, sind heute die Regel.

Bild: courtneyk / Getty Images

Bewerbungen über ein Onlineportal, auf das die Kandidaten ihre Unterlagen hochladen, sind heute die Regel.
Für Personalakten in Papierform gilt seit jeher: Zugriffs- und Berechtigungskonzept sowie ein Lösch- und Aufbewahrungskonzept erstellen.

Adobe Stock / mnirat

Für Personalakten in Papierform gilt seit jeher: Zugriffs- und Berechtigungskonzept sowie ein Lösch- und Aufbewahrungskonzept erstellen.

Vorgaben der DSGVO umsetzen

Prinzipiell sind natürlich die Vorgaben des Art. 32 DSGVO „Sicherheit der Verarbeitung“ hinsichtlich des genutzten Systems umzusetzen, zu dokumentieren und regelmäßig durch den Datenschutzbeauftragten zu prüfen und deren Einhaltung zu überwachen. Außerdem ist Art. 25 DSGVO („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) zu gewährleisten. Nicht nur bei einem Personalmanagementsystem, sondern auch beim Einsatz eines Online-Bewerberportals.

Dieser Artikel erschien zuerst in der Heftausgabe 01-2020 der SBZ unter dem Titel „Vorsicht im papierlosen Personalbüro“ von Regina Mühlich.

 

Lesen Sie auch: 

Forum Handwerk Digital: Kundendaten sicher verwalten
Das verlangt die Datenschutz-Grundverordnung


© Bild: Getty Images / A-Basler

Rateschluss beim Datenschutz

-

Meldepflicht nach DSGVO ▪ Die Datenschutz-Grundverordnung (DSGVO) hat – wie kaum eine andere europäische Rechtsverordnung in der jüngsten Vergangenheit – für große Aufregung bei nahezu allen Betrieben gesorgt. Als eine zentrale Regelung sieht die DSGVO in ihren Artikeln 33 und 34 Meldepflichten für sogenannte „Verletzungen des Schutzes personenbezogener Daten“ vor. Werden diese Pflichten nicht beachtet, drohen Bußgelder von bis zu 10 000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Doch wann liegt überhaupt eine solche Verletzung vor? Und wem muss ich überhaupt was melden? Diese Fragen beantwortet der folgende Artikel. → Carlo Kunz

© Bild: iStock / Getty Images Plus / nortonrsx

Webkonferenz und Onlinekommunikation fürs Handwerk

-

Besprechungen digital abhalten ▪ Die Planung anstehender Projekte vorantreiben. Angebote mit Kunden durchsprechen. Individuell aufbereitete Informationsveranstaltungen für Interessenten und Geschäftspartner durchführen. Einen kurzen Draht zu den Mitarbeitern im Homeoffice und den Baustellen ortsunabhängig und ohne „Erreichbarkeitsbremsen“ aufrechterhalten. Das alles lässt sich mit den richtigen Anwendungen längst auch online praktizieren – ohne großen technischen Aufwand.

© Bild: SBZ / Winter

Blick in Richtung Digitalisierung

-

Konzepte für die Betriebszukunft ▪ Was sind die Voraussetzungen für eine erfolgreiche – also gewinnbringende Digitalisierung in Handwerksbetrieben? Chefs, die die Richtung vorgeben. Mitarbeiter, die mitziehen. Das passende digitale Handwerkszeug. Alles richtige Antworten. Aber vor alldem muss eine Bedingung unbedingt erfüllt sein: Informationen beschaffen. Erst dann ist es möglich, die Anforderungen und Effekte für den eigenen Betrieb zu bestimmen und abzuwägen. Unter diesem Gesichtspunkt darf das vergangene „forum handwerk digital 2019“ in Stuttgart als Erfolg gewertet werden.