Mira Husemann
Wissenschaftliche Mitarbeiterin
Informationen zum Datenschutz
Elektronische Personalverwaltungssysteme
Einleitung
Arbeitgeber sind gesetzlich nicht verpflichtet eine Personalakte zu führen. In der Praxis ist eine Personalakte aber regelmäßig notwendig, um die Vielzahl an Informationen über die Arbeitnehmer zu verwalten und zu organisieren. Dabei sind elektronische Personalinformations- und Personalverwaltungssysteme eine weit verbreitete Lösung zur Verwaltung von Personalakten in digitaler Form. In der Rechtsprechung des Bundesarbeitsgerichts (BAG, Urt. v. 16.11.2010, Az. 9 AZR 573/09) werden Personalakten als „eine Sammlung von Urkunden und Vorgängen, die die persönlichen und dienstlichen Verhältnisse des Bediensteten betreffen und in einem inneren Zusammenhang mit dem Dienstverhältnis stehen“, definiert. Folglich beinhalten Personalverwaltungssysteme nicht nur personenbezogene Daten über die Arbeitnehmer, es handelt sich auch um ein Dateisystem im Sinne des Art. 4 Nr. 6 DSGVO und der Anwendungsbereich der DSGVO ist eröffnet. Arbeitgeber haben für einen datenschutzkonformen Einsatz eines elektronischen Personalverwaltungssystems in Anbetracht der geltenden Datenschutzgrundsätze auch die Zugriffsberechtigungen der Mitarbeiter sowie die Einsichtsrechte des Arbeitnehmers zu beachten und technisch umzusetzen.
Die datenschutzkonforme Führung eines Personalverwaltungssystems
Das Personalverwaltungssystem muss im Einklang mit den Datenschutzgrundsätzen aus Art. 5 DSGVO stehen.
Im Datenschutzrecht herrscht das Verbot mit Erlaubnisvorbehalt. Danach ist die Verarbeitung personenbezogener Daten nur dann erlaubt, wenn sie durch eine Rechtsgrundlage legitimiert werden kann. Indem zwischen Arbeitgeber und Arbeitnehmer ein Arbeitsvertrag geschlossen wurde und die Verwaltung der personenbezogenen Daten des Arbeitnehmers zur Erfüllung der vertraglichen Rechte und Pflichten – wie die Gehaltszahlung – notwendig ist, ist für die Datenverarbeitung in Personalverwaltungssystemen die Rechtsgrundlage der Vertragserfüllung nach Art. 6 Abs. 1 lit. b) DSGVO einschlägig. Bereits mit der Bewerbung bahnt sich ein vertragliches Verhältnis zwischen Arbeitgeber und -nehmer an, sodass die Verarbeitung der Bewerbungsunterlagen von Art. 6 Abs. 1 lit. b) DSGVO umfasst ist. Die datenschutzrechtliche Rechtfertigung wird in der deutschen Rechtsordnung durch § 26 Abs. 1 S. 1 BDSG dahingehend konkretisiert, dass die Datenverarbeitung nur für Zwecke des Beschäftigungsverhältnisses, also für die Entscheidung über dessen Begründung, für dessen Durchführung oder Beendigung, erfolgen darf. Auch hier wird der Bewerbungsprozess berücksichtigt. Für Informationen, die zwar in das Personalverwaltungssystem aufgenommen werden sollen, aber nicht der Erfüllung des Dienstverhältnisses dienen, muss eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO eingeholt werden oder eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO positiv ausfallen. Damit sind beispielsweise personenbezogene Daten aus Fahrtenbüchern angesprochen. Eine Verarbeitung personenbezogener Beschäftigtendaten kann außerdem aufgrund einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c) DSGVO gerechtfertigt sein.
Nach dem Transparenzgrundsatz muss die Datenverarbeitung für den Arbeitnehmer nachvollziehbar sein. Zudem sind die Arbeitnehmer bereits vor dem ersten Eintrag in das Personalverwaltungssystem über die Datenverarbeitung nach Art. 13 DSGVO zu informieren.
Der Arbeitgeber unterliegt einer Rechenschaftspflicht und muss die Einhaltung des Datenschutzrechts nachweisen können. Es ist zu empfehlen, alle in dem Personalverwaltungssystem vorgenommenen Aktivitäten – mit Ausnahme des Lesens – zu protokollieren und die mit dem Personalverwaltungssystem einhergehende Datenverarbeitung in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO aufzunehmen.
Entsteht durch die Verwendung eines Personalverwaltungssystems ein hohes Risiko für die Arbeitnehmer, ist eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO vorzunehmen. Das Personalverwaltungssystem enthält teilweise sensible Finanz- oder Gesundheitsdaten, sodass eine Kenntnisnahme durch unberechtigte Dritte ein hohes Schadensausmaß haben kann. Organisatorische oder technische Schutzmaßnahmen, zuverlässige Berechtigungskonzepte und die Verwendung einer etablierten Standardsoftware können aber zu einer geringen Eintrittswahrscheinlichkeit für einen unberechtigten Zugriff führen und dadurch das Risiko erheblich mindern und eine Datenschutz-Folgenabschätzung entbehrlich machen.
Die Verarbeitungstätigkeit in dem Personalverwaltungssystem ist zweckgebunden und darf nur vorgenommen werden, soweit dies für Zwecke der Personalverwaltung oder -wirtschaft erforderlich ist.
Der Grundsatz der Datenrichtigkeit bestimmt, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sein sollen. Hier ist es sinnvoll, aktuelle und archivierte Datenbestände getrennt aufzubewahren. Hinzu tritt das Recht des Arbeitnehmers auf Korrektur unrichtiger Daten in der digitalen Personalakte nach Art. 16 DSGVO.
Schließlich ist in Unternehmen mit einem Betriebsrat auch das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG zu beachten. Nicht nur die Entscheidung über die Einführung eines Personalverwaltungssystems, sondern auch die (De-)Aktivierung datenschutzrelevanter Funktionen oder die Installation von funktionsändernden Aktualisierungen können von dem Mitbestimmungsrecht umfasst sein und erfordern dann einen zuverlässigen Informationsfluss zwischen der IT-Abteilung, der Personalabteilung und dem Betriebsrat.
Welche Daten dürfen in das Personalverwaltungssystem aufgenommen werden?
Im Unterschied zur Papierform können im elektronischen Personalverwaltungssystem enorme Mengen an Informationen hinterlegt werden, was unter dem Grundsatz der Datenminimierung bedenklich ist. Nach diesem Grundsatz dürfen eben nur solche Daten in das Personalverwaltungssystem aufgenommen werden, die für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses notwendig sind.
Bereits Bewerbungsunterlagen werden in Anbahnung eines Beschäftigungsverhältnisses erhoben und nach Einstellung zur Personalakte genommen. Aufgenommen werden auch vertragliche Unterlagen, wie der Arbeitsvertrag und Vergütungsänderungen sowie arbeitsrechtliche Vorgänge wie Abmahnungen oder Urlaubsanträge. Für Gesundheitsdaten – wie Gesundheitszeugnisse, Krankmeldungen und ärztliche Stellungnahmen – verlangt Art. 9 DSGVO ein höheres Schutzniveau. Dies kann beispielsweise durch strengere Zugriffsberechtigungen oder zusätzliche Passwörter umgesetzt werden. Des Weiteren ist zu beachten, dass der Begriff der Personalakte sämtliche Neben- oder Sonderakten mit entsprechendem Bezug zum Dienstverhältnis umfasst, auch wenn sie gegenständlich oder technisch nicht mit der (Haupt-) Personalakte verbunden sind. Der Arbeitgeber kann den datenschutzrechtlichen Angaben also nicht durch das Anlegen einer separaten Akte entgehen.
Gesetzliche Aufbewahrungspflichten
Die personenbezogenen Daten dürfen nur solange in dem Personalverwaltungssystem verbleiben, bis die Rechtsgrundlage entfällt. Ungeachtet der gesetzlichen Aufbewahrungspflichten besteht eine Rechtsgrundlage für die Datenverarbeitung über die Beendigung des Beschäftigungsverhältnisses hinaus bis zum Verjährungseintritt etwaiger Ansprüche fort. Der Verjährungseintritt liegt regelmäßig bei drei Jahren beginnend mit dem Ende des Kalenderjahres, in dem das Beschäftigungsverhältnis beendet wurde. Unterlagen über Arbeitsunfälle sowie über Ansprüche auf regelmäßig wiederkehrende Leistungen der betrieblichen Altersvorsorge verjähren ebenfalls regelmäßig nach drei Jahren (§§ 195, 199 BGB, § 113 SGB VII, § 18a S. 2 BetrAVG). Der allgemeine Anspruch auf Leistungen aus der betrieblichen Altersversorgung verjährt sogar erst in 30 Jahren (§ 18a BetrAVG).
Ist aufgrund der Ablehnung eines Bewerbers kein Beschäftigungsverhältnis entstanden, empfiehlt sich eine sechsmonatige Aufbewahrung zur Erfüllung von Betroffenenrechten oder zur Abwehr nachträglicher Schadensersatzansprüche.
Einige der in dem Personalverwaltungssystem eingepflegten Daten unterliegen auch handels- oder steuerrechtlichen Aufbewahrungspflichten, die bereits bei der Programmierung und technischen Einrichtung zu beachten sind. Dokumente betreffend die Arbeitszeit sollten in der Regel mindestens zwei Jahre aufbewahrt werden (§ 16 Abs. 2 ArbZG, § 19 AEntG, § 17 Abs. 1. S. 1 MiLoG, § 27 Abs. 5 MuSchG). Dies gilt ebenfalls für Unterlagen über im Unternehmen beschäftigte Jugendliche (§ 50 JArbSchG). Für einkommenssteuerrechtlich relevante Unterlagen gilt eine sechsjährige (§ 41 EStG), für Lohnunterlagen eine zehnjährige Aufbewahrungspflicht (§ 147 Abs. 1 AO).
Aufgrund der unterschiedlichen Aufbewahrungspflichten bietet sich an, automatische Löschfristen zu implementieren. Damit können sowohl eine längere Speicherung sowie eine versehentlich vorzeitige Löschung vermieden werden kann. Bei einer längeren Speicherung ist der Datenschutzverstoß gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO offensichtlich. Aber auch bei einer vorzeitigen Löschung wird möglicherweise gegen gesetzliche Aufbewahrungspflichten verstoßen oder der Arbeitnehmer seinen Betroffenenrechten beraubt, wenn die Löschung beispielsweise vor Erteilung einer geforderten Datenauskunft erfolgt.
Zugriffsberechtigung
Die Aufbewahrung der personenbezogenen Daten in elektronischen Personalverwaltungssystemen muss technisch und organisatorisch so ausgestaltet sein, dass ein Zugang durch unberechtigte Dritte ausgeschlossen wird. Mögliche technische Maßnahmen sind etwa Verschlüsselungen, Passwörter oder Authentifizierungen. Sensible Informationen – die eines erhöhten Schutzes bedürfen – sollten nicht bereits in der Einstiegsmaske angezeigt werden und bei dem Aufruf der digitalen Personalakte direkt sichtbar sein. Vielmehr sollte die Eingabe weiterer Befehle oder ein zusätzliches Passwort erforderlich sein; die Zugriffsberechtigungen sind besonders sorgfältig zu prüfen. Es empfiehlt sich, ein Berechtigungskonzept zu erstellen und die Berechtigungen durch den Systemadministrator verwalten zu lassen.
Eine Zugangsberechtigung dürfen nur Mitarbeiter, die in der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten befasst sind, erhalten. Die Mitarbeitenden dürfen die Daten dann entsprechend auch nur zu Zwecken der Personalverwaltung und -wirtschaft nutzen. Systemadministratoren oder die Geschäftsführung sind hiervon grundsätzlich ausgeschlossen. Um den ordnungsgemäßen Dienstbetrieb sicherzustellen, kann jedoch eine interne Weitergabe von personenbezogenen Daten erforderlich werden, wobei für jede Weitergabe die datenschutzrechtlichen Voraussetzungen vorliegen müssen. Dies betrifft etwa die Bekanntgabe der krankheits- oder urlaubsbedingten Abwesenheit eines Arbeitnehmers, um die Aufgabenverteilung in der betroffenen Fachabteilung zu koordinieren. Dabei müssen in der Regel der entsprechende Vorgesetzte und die betroffenen Arbeitskräfte über die Abwesenheit informiert werden; eine Bekanntgabe des Abwesenheitsgrunds ist hingegen nicht erforderlich. Im Gegenbeispiel ist die interne Veröffentlichung eines Geburtstagskalenders nicht für den Dienstbetrieb notwendig und bedarf daher einer Einwilligung der Arbeitnehmer nach Art. 6 Abs. 1 lit. a) DSGVO, auch wenn das Geburtsdatum in dem Personalverwaltungssystem gespeichert ist.
Bereits die Überlassung der Personalakte an unberechtigte Dritte kann einen Schadensersatz nach Art. 82 Abs. 1 DSGVO wegen Kontrollverlustes des Arbeitnehmers über die in der Personalakte enthaltenen personenbezogenen Daten auslösen, soweit hierdurch ein Schaden entsteht. Etwaige Verschwiegenheitspflichten des unberechtigten Dritten können allenfalls bei der Schadenszumessung mildernd berücksichtigt werden.
Recht auf Einsicht in das Personalverwaltungssystem
Schließlich spielen der Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a) DSGVO und das Einsichtsrecht eine wichtige Rolle. Arbeitnehmer haben ein Recht auf Einsicht in ihre Personalakte; auch Auszüge, Abschriften oder Ablichtungen dürfen gefertigt werden. In Unternehmen mit einem Betriebsrat gewährt § 83 Abs. 1 S. 1 BetrVG dem Arbeitnehmer in einem bestehenden Dienstverhältnis das arbeitsrechtliche Recht zur Einsicht in die Personalakte. Ferner besteht ein datenschutzrechtliches Auskunftsrecht nach Art. 15 DSGVO. Indem der Arbeitnehmer zur Wahrnehmung seines Rechts auf Beseitigung oder Korrektur unrichtiger Daten in der Personalakte Kenntnis von deren Inhalt benötigt, hat er auch nach der Beendigung des Dienstverhältnisses noch Anspruch auf Einsicht in seine vom ehemaligen Arbeitgeber aufbewahrte Personalakte; diesen Anspruch hat das BAG im Jahr 2010, also vor Inkrafttreten der DSGVO, auf § 241 Abs. 2 BGB i. V. m. Art. 2 Abs. 1, Art. 1 Abs. 1 GG gestützt (BAG, Urt. v. 16.11.2010, Az. 9 AZR 573/09). Die Einsichtsmöglichkeit ist so technisch sicherzustellen, dass der auskunftsbegehrende Arbeitnehmer keine personenbezogenen Daten anderer Arbeitnehmer sichten kann.
Fazit
Eine weit verbreitete Lösung zur Verwaltung personenbezogener Daten über Arbeitnehmer bieten Personalverwaltungssysteme. Das Personalverwaltungssystem muss nicht nur die Einhaltung der Datenschutzgrundsätze ermöglichen, sondern auch die Zugriffsberechtigungen der Mitarbeiter sowie die Einsichtsrechte des jeweilen Arbeitnehmers gewährleisten.
Die mit dem Personalverwaltungssystem einhergehende Datenverarbeitung ist zur Erfüllung des Dienstvertrags nach Art. 6 Abs. 1 lit. b) DSGVO i. V. m. § 26 Abs. 1 S. 1 BDSG gerechtfertigt und an die Zwecke der Personalverwaltung und -wirtschaft gebunden. Dies gilt ebenfalls für die Bewerbungsunterlagen, da sich hier das vertragliche Verhältnis bereits anbahnt. Damit die Verarbeitungstätigkeit für den Arbeitnehmer nachvollziehbar ist, ist das Personalverwaltungssystem in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen und die dort vorgenommenen Aktivitäten sind zu dokumentieren. Zudem müssen die Arbeitnehmer über die mit dem Personalverwaltungssystem einhergehende Datenverarbeitung informiert werden. Für die Frage, welche Daten in das Personalverwaltungssystem aufgenommen werden dürfen, bieten der Grundsatz der Datenminimierung und Zweckbindung eine Orientierung. Die Daten müssen für die Begründung, Durchführung und Beendigung des Dienstverhältnisses notwendig sein. Dabei fallen Neben- oder Sonderakten unter die Definition der Personalakte und unterliegen ebenso den datenschutzrechtlichen Vorgaben.
Bei der Entscheidung darüber, welches Personalverwaltungssystem eingesetzt wird, und bei der technischen Einrichtung des gewählten Systems, ist gegebenenfalls der Betriebsrat einzubinden. Entscheidungserheblich ist insbesondere, dass die gesetzlichen Aufbewahrungsfristen technisch umgesetzt werden können und den Schutz der personenbezogenen Daten durch Zugriffsberechtigungen und andere Maßnahmen zulassen. Schließlich hat der Arbeitnehmer ein Recht auf Einsicht in seine Personalakte, dem der Arbeitgeber mithilfe des Personalverwaltungssystems nachzukommen hat.