Datenschutz für die digitale Personalakte
Die Verfahren rund um die Personalakte unterliegen den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Datenschutzbeauftragte sollten die Personalabteilung besonders sensibilisieren und Tipps für den Schutz von digitalen Personalakten geben. Denn hier hapert es in der Praxis immer wieder.
Warum ist Datenschutz bei Personalakten so wichtig?
Wenn es einen Unternehmensbereich gibt, bei dem Datenverarbeitung fast immer Verarbeitung personenbezogener Daten bedeutet, dann ist es die Personalbateilung, auch Human Resources (HR) genannt.
In der Personaldaten-Verarbeitung geht es unter anderem um
- Gehaltsabrechnung,
- Bewerber-Management,
- Talent-Management,
- Zeit- und Anwesenheits-Management,
- Urlaubsplanung,
- Personalplanung und
- Personalbedarfs-Analysen.
Viele personenbezogene Daten zu Beschäftigten werden in der Personalakte erfasst. Das gilt zum Beispiel für die Daten aus dem Bewerbungsverfahren, für den Arbeitsvertrag, Urlaubsanträge, mögliche Abmahnungen, Angaben zur Sozialversicherung, Steuerinformationen und Zeugnisse.
Zweifellos sind dies Dokumente und Daten, die eine besondere Vertraulichkeit erwarten lassen.
Was fordern DSGVO und BDSG für die Personalakte?
In der DSGVO macht Artikel 88 (Datenverarbeitung im Beschäftigungskontext) grundlegende Vorgaben zum Beschäftigtendatenschutz.
Darüber hinaus enthält der Artikel eine Öffnungsklausel, die die nationalen Gesetzgeber zur weiteren Ausgestaltung nutzen können.
Die nationalen Vorgaben sollen vor allem regeln:
- angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung,
- die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und
- die Überwachungs-Systeme am Arbeitsplatz.
Das neue Bundesdatenschutzgesetz (BDSG) hat daher den § 26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses). Er ist seit 25. Mai 2018 bei der Datenschutz-Kontrolle der Verarbeitung von personenbezogenen Daten Beschäftigter zu beachten.
§ 26 BDSG regelt zum einen, was alles unter dem Begriff „Beschäftigte“ zu fassen ist. Für Unternehmen sind dies
- Arbeitnehmerinnen und Arbeitnehmer,
- einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
- zu ihrer Berufsbildung Beschäftigte,
- Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
- Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind (auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten), sowie
- Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis und
- Personen, deren Beschäftigungsverhältnis beendet ist.
Zum anderen äußert sich das BDSG hinsichtlich Erfordernis und Zweckbindung:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“
Welche Risiken sind mit Verfahren zur Personalakte verbunden?
Viele Unternehmen nutzen eine spezielle Software im Personalmanagement, auch HR-Software genannt, um die Personalakte zu führen.
Leider sind solche Software-Lösungen meist nicht nur reich an Funktionen, sondern auch komplex in der Kontrolle des Datenschutzes.
Diese Kontrolle durch betriebliche bzw. behördliche Datenschutzbeauftragte ist aber enorm wichtig. Denn die Berichte der Datenschutz-Aufsichtsbehörden zeigen regelmäßig Mängel auf im Bereich der Verarbeitung von Personaldaten.
Bevor Sie sich nun in der Prüfung von HR-Software-Modulen verlieren, sehen Sie sich in erster Linie die Knackpunkte an, die in der Praxis auffallen:
- Digitale Personalakten müssen mindestens den gleichen Schutz wie klassische, papiergebundene Personalakten erhalten.
- Dabei ist zu bedenken, dass die Vorteile der Digitalisierung wie die einfachere Durchsuchbarkeit und die Möglichkeit zur automatischen Datenanalyse gleichzeitig Datenschutz-Risiken darstellen.
- Achten Sie deshalb darauf, dass die Berechtigungen zum Beispiel für Suchen und Analysen in HR-Modulen sehr restriktiv vergeben werden.
- Zudem müssen Verantwortliche verhindern, dass Beschäftigte digitale Personalakten unter Umständen durch einen einfachen falschen Mausklick ungewollt „weitergeben“.
- Verschlüsselung und Mehr-Faktor-Authentifizierung sind deshalb im Bereich der Personaldatenverarbeitung Pflicht. Kontrollieren Sie, ob die HR-Software entsprechende Funktionen vorsieht oder unterstützt.
- Die Datenschutz-Prinzipien wie die Datenminimierung gelten auch in der Personaldatenverarbeitung. Möglichst viele Daten über Bewerber und Mitarbeiter anzuhäufen, ist zwar für Datenanalysen scheinbar von Vorteil, für den Datenschutz und die Compliance aber nicht.
Welchen Schutz braucht die Personalakte?
Die Maßnahmen für die Sicherheit der Verarbeitung müssen unter anderem der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen Rechnung tragen, wie Artikel 32 DSGVO darlegt.
Personaldaten oder Beschäftigtendaten haben einen hohen Schutzbedarf, geht es doch auch um Gesundheitsdaten oder Angaben zur Religionszugehörigkeit (besondere Kategorien personenbezogener Daten).
Für die Datensicherheit im Bereich der Personaldatenverarbeitung müssen somit Lösungen her, die ein hohes Schutzniveau bieten, also den Zugang zu der HR-Software und den Zugriff auf die elektronischen Personalakten wirksam schützen.
Die Konzepte für Aufbewahrung und Entsorgung der Personalakten müssen auch auf die Personaldatenverarbeitung und die digitalen Personalakten übertragen werden.
Die Mitarbeiter- und Bewerberdaten müssen also entsprechend rechtlicher bzw. vertraglicher Vorgaben aufbewahrt und fristgerecht gelöscht werden.
Es gelten die Grundsätze nach Artikel 5 DSGVO, darunter die Speicherbegrenzung und die Datenminimierung.
Somit gibt es einige Knackpunkte in der Personaldatenverarbeitung, die häufig zu wenig Beachtung finden. Das sollte sich schnell ändern.
Download: Checkliste Datenschutz bei der Personaldatenverarbeitung