In der Personalakte befinden sich u.a. sensible personenbezogene Daten aller Arbeitnehmerinnen und Arbeitnehmer. Neben Lebenslauf, Zeugnis und Beurteilungsbögen können z.B. auch Informationen zur Gesundheit und Religion der Mitarbeiterinnen und Mitarbeiter enthalten sein. Bei diesen Daten handelt es sich um besondere Kategorien von personenbezogenen Daten gem. Art. 9 der Datenschutz-Grundverordnung (DSGVO), weshalb diese Daten besonders schutzwürdig sind. Denn ihre Verarbeitung stellt erhebliche Risiken für die betroffenen Personen dar. Daher fordert sowohl die DSGVO als auch das neue Bundesdatenschutzgesetz (BDSG-neu) hinsichtlich der Verarbeitung derartig sensibler Daten, neben einer entsprechenden Rechtsgrundlage, hohe Sicherheitsmaßnahmen für den Schutz dieser Daten.
Derartige Sicherheitsmaßnahmen werden in Art. 32 DSGVO aufgeführt und als technisch-organisatorische Maßnahmen beschrieben. Technische und organisatorische Maßnahmen meinen in diesem Zusammenhang Schutzmechanismen für die Sicherheit der Datenverarbeitung, die auf technische Art, z.B. durch digitale Zugriffsbeschränkungen oder mit der Hilfe von organisatorischen Maßnahmen, wie die Aufbewahrung von Personalakten in verschlossenen Schränken, eingerichtet werden müssen.
Bezüglich Personalakten und damit auch Personaldaten bestehen diverse datenschutzrechtliche Risiken für Unternehmen. Ein typisches Risiko ist der Zugriff auf Personalakten durch unbefugte Personen, indem sich diese beispielsweise rechtswidrigen Zugang zu Räumlichkeiten verschaffen, in denen Personalakten aufbewahrt werden.
Personalakten werden allerdings immer häufiger auch digital gespeichert: Einige Anbieter von HR-Software bieten die Möglichkeit, die Personalakte von Mitarbeitern digital zu erstellen und zu verwalten. Deshalb muss bei der Auswahl der HR-Software auf verschiedene Faktoren geachtet werden. Zum einen kommt es darauf an, ob es sich bei der HR-Software um eine On Premises oder um eine Cloud Lösung handelt. Bei einer On Premises Lösung werden die Daten lediglich auf dem lokalen Server gespeichert. Für Cloud-Dienste ergeben sich zusätzliche Vorgaben aus der DSGVO aufgrund der Übermittlung von personenbezogenen Daten an den jeweiligen Dienstleister. Wird eine Cloud Lösung gewählt, werden personenbezogene Daten auf einem Server des jeweiligen Anbieters gespeichert. Das führt dazu, dass ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem jeweiligen Anbieter abgeschlossen werden muss. Falls Übermittlungen in ein Drittland stattfinden, müssen darüber hinaus Garantien nach den Vorgaben der Art. 44 ff. DSGVO gegeben sein, beispielsweise eine Privacy Shield Zertifizierung für Anbieter aus den USA oder sog. Corporate Binding Rules.
Bei Cloud Lösungen besteht grundsätzlich das Risiko, dass häufig keine oder nur fehlerhafte Auftragsverarbeitungsverträge abgeschlossen werden. Ein weiteres Risiko bei Cloud-Diensten ist , dass der Auftragsverarbeiter nicht die gesetzlich erforderlichen technisch-organisatorischen Maßnahmen gewährleistet, wie sie in Art. 28 DSGVO vorgeschrieben sind, und diese vorab von dem Auftraggeber nicht kontrolliert werden. Auch die nach Art. 44 ff. DSGVO erforderlichen Garantien werden nicht immer eingehalten. Diese Risiken und Gefahren führen dazu, dass Unternehmen, die diese Vorgaben nicht einhalten, Bußgelder von bis zu vier Prozent des gesamten weltweiten erzielten Jahresumsatzes bzw. i.H.v. bis zu 20 Mio. € erhalten können, je nachdem, welcher der Beträge höher ist.
Ein weiteres typisches Risiko sowohl bei digitalen als auch bei Personalakten in Papierform ergibt sich häufig aus der Tatsache, dass gesetzliche Löschfristen i.S.v. Art. 17 und 25 DSGVO seitens des Arbeitgebers nicht eingehalten werden. Die Pflicht, ein explizites Löschkonzept zu entwerfen und einzuhalten, ergibt sich aus dem Erwägungsgrund 39 Satz 8 und 10 zur DSGVO. Hiernach soll sichergestellt werden, dass personenbezogenen Daten nicht länger als nötig gespeichert werden. Die gesetzlichen Aufbewahrungsfristen müssen für digitale wie auch für analoge Personalakten zwingend eingehalten werden, damit Arbeitgeber keine Bußgelder von den zuständigen Aufsichtsbehörden riskieren.
Mit technisch-organisatorischen Maßnahmen nach Art. 32, 25 DSGVO, wie z.B. mit Zugriffs-, Zutritts- und Zugangskontrollen, müssen die personenbezogenen Daten in Personalakten geschützt werden. Der Arbeitgeber muss alle erforderlichen Maßnahmen treffen, um die personenbezogenen Daten zu schützen.
Für die datenschutzkonforme Dokumentation und Aufbewahrung von Personalakten müssen die Vorgaben der technisch-organisatorischen Maßnahmen aus Art. 32, 25 DSGVO, wie z.B. Zugriffs-, Zutritts- und Zugangskontrollen umgesetzt werden. Es ist darauf zu achten, dass nur bestimmte Personen Zugriff auf die jeweiligen Daten haben. Dazu zählen befugte Personen der Personalabteilung und die Geschäftsführung. Das gilt sowohl für digitale als auch für analoge Personalakten.
Insbesondere die Zutrittskontrolle ist ein Beispiel für eine effiziente, technisch-organisatorische Maßnahme: Räumlichkeiten, in denen Personalakten aufbewahrt werden, müssen besonders gegen unbefugte Personen geschützt werden. Hier empfehlen sich Maßnahmen, wie z.B. Schließsysteme mit Codesperren, Chip- und Transponderkarten oder Zugangssperren mit Verifikationsmechanismen, damit nur befugte Personen Zugang zu den Räumlichkeiten mit Personalakten haben.
Mit einem modernen Workforce Management erfassen Sie Arbeitszeiten und verarbeiten Sie Personaldaten DSGVO-konform. Zudem schaffen Sie die Grundlage für einen flexiblen und bedarfsoptimierten Personaleinsatz.
Eine weitere effiziente Maßnahme sind Zugangskontrollen. Durch die Zugangskontrolle soll verhindert werden, dass Datenverarbeitungssysteme von unbefugten Personen genutzt werden können. Zugangskontrollen müssen daher insbesondere bei digitalen Personalakten etabliert werden. Das heißt, dass nur ein bestimmter Personenkreis Zugang zu den Personalakten haben darf. Geeignete Maßnahmen zu ordnungsgemäßen Durchsetzung der Zugangskontrolle sind z.B automatisch aktivierte Bildschirmschoner mit sicherem Passwortschutz, Sperrung von USB-Anschlüssen an PCs und Laptops, Verschlüsselung von Datenträgern, falls auf diesen digitale Personalakten gespeichert werden, und mobile Geräte.
Auch die Zugriffskontrolle ist eine wichtige Maßnahme für die datenschutzkonforme Aufbewahrung von Personalakten: Durch die Zugriffskontrolle soll gewährleistet werden, dass die zur Benutzung eines Datenverarbeitungssystems berechtigten Personen lediglich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Beispiele für die Zugriffskontrolle sind die Protokollierung der Zugriffe auf Anwendungen wie HR-Software mit digitalen Personalakten und Berechtigungskonzepte für den Zugriff auf Personalakten.
Die Eingabekontrolle ist eine weitere Maßnahme für den Schutz von digitalen Personalakten: In diesem Zusammenhang werden Protokolle bezüglich der Eingabe, Veränderung und Löschung von Daten angefertigt. Zudem muss ein digitales Berechtigungskonzept (z.B. Active Directory) erstellt werden, welches dokumentiert werden sollte, um die Nachweispflichten zu erfüllen. Die Verwendung von individuellen Benutzernamen und individuellen Zugriffsberechtigungen mit sicheren Passwörtern ist daher zwingend für den Schutz von Personalakten.
Weitere erforderliche technisch-organisatorische Maßnahmen sind nach Maßgabe des Art. 32, 25 DSGVO ebenfalls einzurichten, um das für den jeweiligen Verantwortlichen bzw. Unternehmen erforderliche Datenschutzniveau für Personalakten zu gewährleisten.
Mit der DSGVO wurde eine sog. Beweislastumkehr eingeführt: Betroffenen Personen müssen nicht mehr nachweisen, dass Verantwortliche, wie z.B. Unternehmen, den Datenschutz nicht einhalten, sondern die Verantwortlichen müssen selbst nachweisen, dass sie die datenschutzrechtlichen Anforderungen einhalten. Diese Beweislastumkehr bzw. Rechenschaftspflicht für Verantwortliche ist in Art. 5 Abs. 2 DSGVO niedergeschrieben. Hiernach ist der Verantwortliche, z.B. der Arbeitgeber, dazu verpflichtet, die Einhaltung aller Vorschriften der DSGVO nachzuweisen. Daher muss insbesondere die Personalabteilung deutlich mehr Vorgänge dokumentieren als noch vor Inkrafttreten bzw. Anwendbarkeit der DSGVO am 25.05.2018.
Arbeitgeber müssen somit stets nachweisen können, dass sie z.B. eine wirksame Rechtsgrundlage für die Datenverarbeitung darlegen können oder dass geeignete Datenschutzvorkehrungen in Form von technisch-organisatorischen Maßnahmen umgesetzt wurden. Auch die Einhaltung der Grundsätze der Datenverarbeitung, die in Art. 5 Abs. 1 DSGVO niedergeschrieben sind, wie die Verarbeitung nach Treu und Glauben, die Grundsätze der Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität sowie Vertraulichkeit, muss der Arbeitgeber nachweisen.
Der Betriebsrat hat diverse Mitbestimmungsrechte, die einen engen Bezug zu datenschutzrechtlichen Regelungen haben. Hierzu gehören Mitbestimmungsrechte, wie z.B. hinsichtlich der Einrichtung von Systemen für die Überwachung des Verhaltens oder der Leistung von Arbeitnehmern (§ 87 Abs. 1 Nr. 6 BetrVG) oder Mitbestimmungsrechte hinsichtlich der Einhaltung von datenschutzrechtlichen Gesetzen zugunsten der Beschäftigten. Häufig machen Betriebsräte von diesen Rechten Gebrauch, indem sie entsprechende Betriebsvereinbarungen abschließen.
Betriebsvereinbarungen spielen darüber hinaus als Erlaubnistatbestand bzw. Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten in Unternehmen eine zunehmend wichtige Rolle. Nach Art. 88 DSGVO und Erwägungsgrund 155 zur DSGVO können Betriebsvereinbarungen einen Erlaubnistatbestand für die Verarbeitung von Beschäftigtendaten bilden und diese legitimieren. Ein Erlaubnistatbestand ist aufgrund der in der DSGVO geltenden Grundsatzes des Verbots mit Erlaubnisvorbehalt für jede Verarbeitung von personenbezogenen Daten erforderlich.
Für Betriebsvereinbarungen müssen einige Vorgaben beachtet, die u.a. Art. 88 Abs. 2 DSGVO definiert: Essenziell ist hier die Vorgabe, dass Betriebsvereinbarungen u.a. angemessene und besondere Maßnahmen zum Schutz der betroffenen Personen bzw. Arbeitnehmer enthalten. Der Schutzstandard der DSGVO sollte sich daher in den Betriebsvereinbarungen widerspiegeln.
Gastbeitrag von Keyed. Keyed steht für eine praxisorientierte, digitale und ganzheitliche Umsetzung der Datenschutz-Anforderungen für Unternehmen.
Information zum Gastautor:
Serkan Taskin. Als zertifizierter Datenschutzbeauftragter und Consultant für Datenschutz unterstützt der studierte Jurist Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist er als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig.