Mit wenigen Klicks können alle Mitarbeiterinformationen in einer digitalen Personalakte gespeichert werden und sind jederzeit verfügbar. Wie bei Personalakten in Papierform macht der Datenschutz nach DSGVO und BDSG bestimmte Vorgaben. Die elektronische Form stellt den Arbeitgeber jedoch vor besondere Anforderungen.
Datenschutz nach BDSG: Elektronische Vorselektion von Bewerbungen ist erlaubt
Der Bewerbungsprozess ist als vorvertragliches Vertrauensverhältnis zu sehen. § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) besagt, dass personenbezogene Daten von Bewerbern „[…] verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses […]“ erforderlich ist. Zu diesen Daten gehören im Bewerbungsverfahren z. B. Name und Anschrift, Telefonnummer und E-Mail-Adresse, Zeugnisse und Lebenslauf.
Neben diesen typischen Bewerbungsunterlagen ist auch eine Speicherung von personenbezogenen Daten, die mit zulässigen Fragen erhoben werden, aus Datenschutzsicht unproblematisch.
Wenn Bewerbungen über Onlineportale erfolgen
Viele Unternehmen bieten Bewerbern die Möglichkeit, sich über ein spezielles Portal, also online auf der Unternehmenswebsite, zu bewerben. Dazu gehören Angaben zur Person und zum beruflichen Werdegang ebenso wie das Hochladen von Dokumenten wie Lebenslauf, Zeugnissen etc. Besonders in großen Unternehmen steuern solche E-Recruiting-Systeme den Ablauf eines Bewerbungsverfahrens und helfen, Zeit und Ressourcen zu sparen.
Dürfen Bewerber*innen rein automatisiert ausgewählt werden?
Bewirbt sich der Bewerber über das Onlineportal eines Unternehmens und wirken Systeme an der Entscheidung über die Stellenbesetzung mit, ist zunächst Art. 22 DSGVO (Datenschutz-Grundverordnung) zu berücksichtigen. Dieser verbietet es, dass die Entscheidung über eine Bewerberin oder einen Bewerber ausschließlich auf einer automatisierten Verarbeitung beruht.
Wobei diese Vorschrift noch nicht greift, wenn das System Bewerbungen aus rein formalen Gründen aussortiert, z. B. wenn Pflichtangaben oder erforderliche Zeugnisse fehlen. Das bedeutet, dass eine automatisierte Vorselektion zwar stattfinden darf, die abschließende Entscheidung über die Einstellung eines Bewerbers aber von einer natürlichen Person getroffen werden muss und nicht durch ein elektronisches System erfolgen darf.
Nur zweckgebundene Daten dürfen gespeichert werden
Bereits der erste Schritt – das Einscannen der Dokumente – erfordert Vorsicht. Bei neuen Mitarbeitern ist dies relativ einfach, sofern die für das Beschäftigungsverhältnis erforderlichen Daten nicht schon über das E-Recruiting-System erfasst wurden. Allerdings ist auch dann zu prüfen, ob die personenbezogenen Daten weiterhin gespeichert werden dürfen.
Bei bestehenden Mitarbeitern darf nicht alles eingescannt werden. In (fast) jeder Personalakte befinden sich alte und veraltete Unterlagen, die aus Datenschutzsicht nicht mehr verarbeitet werden dürfen. Eine Speicherung, Nutzung und Verarbeitung von personenbezogenen Daten darf stets nur zu einem bestimmten Zweck erfolgen.
Das darf die Personalakte enthalten
An diese Zweckbindung müssen sich die Verantwortlichen halten. D. h. es dürfen nur die personenbezogenen Daten des Beschäftigten gespeichert werden, die für die Durchführung des Beschäftigungsverhältnisses erforderlich sind, alles andere ist zu löschen (bei Papierunterlagen: zu vernichten). Das sind zwei der sechs Grundsätze für die Verarbeitung personenbezogener Daten.
Kurzum: Eine (elektronische) Personalakte darf nur die Informationen enthalten, die der Arbeitgeber a) rechtmäßig erworben hat und b) für die ein sachliches Interesse besteht. Das Schlüsselwort ist hier „erforderlich“, d. h. es genügt nicht, dass die Informationen nützlich sind.
Entscheidet sich das Unternehmen dafür, das Einscannen der Personalakten und Dokumente an einen Dienstleister outzusourcen, ist mit diesem eine Auftragsverarbeitung nach Art. 28 DSGVO (Auftragsverarbeiter) abzuschließen.
Elektronische Personalakte: Einwilligung des Mitarbeiters ist Voraussetzung
Das Datenschutzrecht ist ein Verbotsgesetz mit Erlaubnisvorbehalt (Art. 6 DSGVO). Das bedeutet, die Verarbeitung von personenbezogenen Daten ist u. a. nur rechtmäßig:
● wenn die betroffene Person einwilligt,
● wenn die personenbezogenen Daten auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden,
● wenn sie zur Erfüllung der rechtlichen Verpflichtung, der das Unternehmen unterliegt, erforderlich ist,
● wenn sie zur Erfüllung eines Vertrages oder für die Durchführung vorvertraglicher Maßnahmen (ErwG 40 DSGVO) erforderlich ist.
Für alle Mitarbeiter einführen
Die Einführung einer elektronischen Personalakte ist mitbestimmungspflichtig. In Abstimmung mit dem Betriebsrat ist die Einführung der elektronischen Personalakte für alle Mitarbeiter möglich. Ein Mitbestimmungsrecht hat der Betriebsrat, wenn allgemeine Beurteilungsgrundsätze eingeführt werden und dies im Zusammenhang mit einer technischen Einrichtung, sprich mit einem elektronischen System, geschieht.
Wann bestimmt der Betriebsrat mit?
Hier greift § 87 Abs. 1 Satz 6 Betriebsverfassungsgesetz: „Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen: [...] Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen […].
Aufbewahrungsfristen: Wann müssen Daten gelöscht werden?
Arbeitgeber müssen Unterlagen von Bewerbern und Mitarbeitern (Beschäftigten) im verschließbaren Aktenschrank und/oder mithilfe eines Personal-Informations-Systems elektronisch aufbewahren. Vielfach gibt es keinerlei Regelungen über Aufbewahrungs- und Löschfristen, sodass Bewerbungs- und Mitarbeiterunterlagen oft länger aufbewahrt werden als erlaubt.
Die Erhebung und die Speicherung von Bewerberdaten erfüllen ihren Zweck, bis die passende Kandidatin oder der passende Kandidat gefunden ist. Wenn der Kandidat ungeeignet ist und/oder für die Position abgelehnt wird, entfällt der Zweck und die Daten sind zu löschen.
Wann sind Ausnahmefälle gegeben?
In Ausnahmefällen kann eine längere Aufbewahrungsfrist geboten sein. Zum Beispiel räumt § 21 Abs. 5 AGG (Verstoß gegen das Benachteiligungsverbot) eine Frist von zwei Monaten für entsprechende Klageerhebung ein. Ein Bewerber muss eine Benachteiligung wegen eines vom AGG verbotenen Merkmals innerhalb der Zweimonatsfrist des § 15 Abs. 4 AGG anzeigen. Daher ist eine Aufbewahrungsfrist von drei Monaten gerechtfertigt bzw. ein Gericht kann noch eine Fristverlängerung gewähren.
Die Gefahr einer AGG-Klage besteht aber nicht unendlich lange. Ist die Frist abgelaufen, sind sämtliche personenbezogenen Daten unwiderruflich zu löschen. Dies gilt auch für handschriftliche Notizen, die z. B. während des Bewerbungsgesprächs gemacht wurden. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) hält eine Speicherung über drei Monate hinaus für nicht erforderlich.
Möchte das Unternehmen die personenbezogenen Daten, also die Bewerbungsunterlagen, nach Einstellung des Bewerbers weiter speichern, weil z. B. das Profil für einen späteren Zeitpunkt von Interesse ist, muss der Bewerber dieser weitergehenden Speicherung schriftlich zustimmen (§ 26 Abs. 2 Satz 3 BDSG).
Welche Daten müssen nach Beendigung des Beschäftigungsverhältnisses aufbewahrt werden?
Häufig werden Personalakten ausgeschiedener Mitarbeiter jahrzehntelang aufbewahrt. Vielfach wird die Auffassung vertreten, dass Arbeitgeber dazu verpflichtet sind. Es ist zu differenzieren:
● Die Vorschriften sind steuer- und sozialversicherungsrechtlicher Natur, welche den Arbeitgeber verpflichten, zum einen Abrechnungsunterlagen (z. B. Gehalts- und Lohnabrechnung) zu führen und zum anderen diese auch eine gewisse Zeit aufzubewahren. Der Erlaubnisvorbehalt zur weiteren Speicherung resultiert aus einem einschlägigen Gesetz (z. B. AO, EStG, SGB) sowie bilanzrechtlichen Vorschriften.
● Verschiedene arbeitsschutzrechtliche Vorschriften, u. a. das ArbZG, das MuSchG sowie das BEM, verpflichten den Arbeitgeber ebenfalls dazu, Personalunterlagen aufzubewahren. Es handelt sich hier um Unterlagen, die vielfach auch außerhalb der Personalakte des einzelnen Mitarbeiters geführt werden (müssen).
Zusammengefasst: Vorteile und Risiken der digitalen Personalakte
Die digitale Personalakte hat viele Vorteile. Systembedingt kann man für eine elektronische Personalakte relativ einfach Zugriffe und Berechtigungen erteilen, automatisch archivieren und löschen. Arbeitsabläufe im Unternehmen und vor allem in der Personalabteilung werden vereinfacht und effizienter gestaltet. Mit wenigen Klicks können Mitarbeiterinformationen gespeichert werden und sind jederzeit für den Zugriffsberechtigten verfügbar.
Andererseits birgt sie aus Datenschutzsicht aber auch die Möglichkeit zum Missbrauch. Die größte Gefahr besteht darin, dass sie für die Leistungs- und Verhaltenskontrolle der Mitarbeiter ausgenutzt werden kann, indem ein detailliertes Profil erstellt wird. Auch automatisierte Einzelentscheidungen, die den Datenschutz verletzen, sind mit der digitalen Personalakte einfacher.
Schriftliche Regelungen beugen Missbrauch vor
Aus diesen Gründen sollte die Einführung und Nutzung der digitalen Personalakte schriftlich geregelt werden, etwa in einer Unternehmensrichtlinie oder Betriebsvereinbarung. In jedem Fall sind ein Zugriffs- und Berechtigungskonzept sowie ein Lösch- und Aufbewahrungskonzept zu erstellen. (Dies gilt übrigens auch und schon immer für Bewerbungsunterlagen und Personalakten in Papierform.)
Vorgaben der DSGVO umsetzen
Prinzipiell sind natürlich die Vorgaben des Art. 32 DSGVO „Sicherheit der Verarbeitung“ hinsichtlich des genutzten Systems umzusetzen, zu dokumentieren und regelmäßig durch den Datenschutzbeauftragten zu prüfen und deren Einhaltung zu überwachen. Außerdem ist Art. 25 DSGVO („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) zu gewährleisten. Nicht nur bei einem Personalmanagementsystem, sondern auch beim Einsatz eines Online-Bewerberportals.
Dieser Artikel erschien zuerst in der Heftausgabe 01-2020 der SBZ unter dem Titel „Vorsicht im papierlosen Personalbüro“ von Regina Mühlich.
Lesen Sie auch:
Forum Handwerk Digital: Kundendaten sicher verwalten
Das verlangt die Datenschutz-Grundverordnung