Datenschutz in der Personalabteilung: Das papierlose Personalbüro – Vom Bewerber zum Mitarbeiter

Sie hält in vielen Personalabteilungen Einzug und freut sich steigender Beliebtheit: die elektronische Personalakte. Durch den Einsatz ergeben sich viele Verwendungs- und Verknüpfungsmöglichkeiten. Die Einbindung in Personalinformationssysteme, um die Arbeitsabläufe im Personalmanagement und auch im Unternehmen zu vereinfachen und zu optimieren, ist nur eine davon. Mit wenigen Klicks können alle Mitarbeiterinformationen in einer digitalen Personalakte gespeichert werden und sind jederzeit verfügbar.

Unabhängig, ob die Personalakte in Papierform oder elektronischer Form geführt wird, gilt es in Sachen Datenschutz einiges zu beachten. Die Datenschutzgesetze stellen den Arbeitgeber bei der elektronischen Form jedoch vor besondere Anforderungen.

Es beginnt bereits bei der Bewerbung …

Der Bewerbungsprozess ist als vorvertragliches Vertrauensverhältnis zu sehen. § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) besagt, dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses […] erforderlich ist. Zu diesen Daten gehören im Bewerbungsverfahren beispielsweise Name und Anschrift, Telefonnummer und E-Mail-Adresse, Zeugnisse und Lebenslauf. Neben diesen typischen Bewerbungsunterlagen, ist auch eine Speicherung von personenbezogenen Daten, die mit zulässigen Fragen erhoben werden, aus Datenschutzsicht unproblematisch.

Viele Unternehmen bieten Bewerbern die Möglichkeit, sich über ein spezielles Portal, also online auf der Unternehmenswebseite, zu bewerben. Dazu gehören Angaben zur Person und dem beruflichen Werdegang ebenso wie das Hochladen von Dokumenten wie Lebenslauf, Zeugnisse, Zertifikate, etc. Besonders in großen Unternehmen steuern solche E-Recruiting-Systeme den Ablauf eines Bewerbungsverfahrens und sind ressourcenschonend für den Personalbereich.

Bewirbt sich der Bewerber über das Online-Portal eines Unternehmens ist, wenn Systeme an der Entscheidung über die Stellenbesetzung mitwirken, zunächst Art. 22 DS-GVO (Datenschutz-Grundverordnung) zu berücksichtigen. Dieser verbietet es, eine betroffene Person, d. h. eine Bewerberin oder einen Bewerber, ausschließlich einer auf automatisierte Verarbeitung beruhenden Entscheidung zu unterwerfen. Wobei der Anwendungsbereich dieser Vorschrift noch nicht eröffnet ist, wenn das System Bewerbungen aus rein formalen Gründen aussortiert, z. B. wenn Pflichtangaben oder erforderliche Zeugnisse fehlen. Das bedeutet, dass eine automatisierte Vorselektion zwar stattfinden darf, die abschließende Entscheidung über die Einstellung eines Bewerbers hat aber durch eine natürliche Person stattzufinden und darf nicht durch ein elektronisches System erfolgen.

… geht weiter mit dem Anlegen der elektronischen Personalakte …

Bereits der erste Schritt – das Einscannen der Dokumente – erfordert Vorsicht. Bei neuen Mitarbeitern ist dies relativ einfach, sofern die für das Beschäftigungsverhältnis erforderlichen Daten nicht schon über das E-Recruiting-System erfasst wurden. Allerdings ist auch dann zu prüfen, ob die personenbezogenen Daten weiterhin gespeichert werden dürfen. Bei „alten“ Mitarbeitern darf nicht alles eingescannt werden. In (fast) jeder Personalakte befinden sich alte und veraltete Unterlagen, die aus Datenschutzsicht nicht mehr verarbeitet werden dürfen. Eine Speicherung, Nutzung und Verarbeitung von personenbezogenen Daten (Umgang mit personenbezogenen Daten) ist stets in Abhängigkeit zu einem bestimmten Zweck zu setzen. An diese Zweckbindung müssen sich die Verantwortlichen halten. D. h. es dürfen nur die personenbezogenen Daten des Beschäftigten gespeichert werden, die für die Durchführung des Beschäftigungsverhältnisses erforderlich sind, alles andere ist zu löschen (bei Papierunterlagen zu vernichten). Das sind zwei der sechs Grundsätze für die Verarbeitung personenbezogener Daten.

Kurzum: Eine (elektronische) Personalakte darf nur die Informationen enthalten, die der Arbeitgeber a) rechtmäßig erworben hat und b) für die ein sachliches Interesse besteht. Das Schlüsselwort ist hier „erforderlich“, d. h. die Informationen dürfen nicht nur nützlich sein.

Entscheidet sich das Unternehmen dafür, das Einscannen der Personalakten und Dokumente an einen Dienstleister outzusourcen, ist mit diesem eine Auftragsverarbeitung nach Art. 28 DS-GVO (Auftragsverarbeiter) abzuschließen.

Exkurs: Einwilligung durch den Mitarbeiter

Das Datenschutzrecht ist ein Verbotsgesetz mit Erlaubnisvorbehalt (Art. 6 DS-GVO), das bedeutet, die Verarbeitung von personenbezogenen Daten ist u. a. nur rechtmäßig,

  • wenn die betroffene Person einwilligt,
  • wenn die personenbezogenen Daten auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden,
  • auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der das Unternehmen unterliegt, oder
  • zur Erfüllung eines Vertrages oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist (ErwG 40 DS-GVO).

Die Einführung einer elektronischen Personalakte ist mitbestimmungspflichtig. In Abstimmung mit dem Betriebsrat ist die Einführung der elektronischen Personalakte für alle Mitarbeiter möglich. Ein Mitbestimmungsrecht hat der Betriebsrat, wenn allgemeine Beurteilungsgrundsätze eingeführt werden und dies im Zusammenhang mit einer technischen Einrichtung, sprich elektronischem System, geschieht. Hier greift § 87 Abs. 1 Satz 6 Betriebsverfassungsgesetz: „Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen: […] Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; […].

… und dann sind da noch die Aufbewahrungsfristen …

Arbeitgeber müssen Unterlagen von Bewerbern und Mitarbeitern (Beschäftigten) im verschließbaren Aktenschrank und/oder mit Hilfe eines Personalinformationssystem elektronisch aufbewahren. Vielfach gibt es keinerlei Regelungen über Aufbewahrungs- und Löschfristen, sodass Bewerbungs- und Mitarbeiterunterlagen oft länger aufbewahrt werden als erlaubt.

Die Erhebung und Speicherung von Bewerberdaten erfüllen ihren Zweck, bis die passende Kandidatin oder der passende Kandidat gefunden ist. Wenn der Kandidat ungeeignet ist und/oder für die Position abgelehnt wird, entfällt der Zweck und die Daten sind zu löschen.

Einer Löschung von Bewerbungsunterlagen stehen ggf. bestehende Aufbewahrungsfristen entgegen. § 21 Abs. 5 AGG (Verstoß gegen das Benachteiligungsverbot), welcher eine Frist von zwei Monaten für entsprechende Klageerhebung einräumt bzw. das Gericht gewährt noch eine Fristverlängerung. Es kann also durchaus von einer gerechtfertigten Aufbewahrungsfrist von drei Monaten ausgegangen werden. Die Gefahr einer AGG-Klage besteht aber nicht unendlich. Ein Bewerber muss eine Benachteiligung wegen eines vom AGG verbotenen Merkmals innerhalb der Zweimonatsfrist des § 15 Abs. 4 AGG anzeigen. Ist die Frist abgelaufen, sind sämtliche personenbezogenen Daten unwiderruflich zu löschen. Dies gilt auch für handschriftliche Notizen, die z. B. während des Bewerbungsgespräches gemacht wurden. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) hält eine Speicherung über drei Monate hinaus für nicht erforderlich.

Möchte das Unternehmen die personenbezogenen Daten, also die Bewerbungsunterlagen, nach Besetzung der Position für die sich der Bewerber beworben hat, weiter speichern, weil z. B. das Profil für einen späteren Zeitpunkt von Interesse ist, muss der Bewerber dieser weitergehenden Speicherung schriftlich zustimmen (§ 26 Abs. 2 Satz 3 BDSG).

… bis zur Beendigung des Beschäftigungsverhältnisses

Häufig werden Personalakten ausgeschiedener Mitarbeiter jahrzehntelang aufbewahrt. Vielfach wird die Auffassung vertreten, dass der Arbeitgeber dazu verpflichtet ist. Hier ist aber zu differenzieren: Die gemeinten Vorschriften sind steuer- und sozialversicherungsrechtlicher Natur, welche den Arbeitgeber verpflichten, zum einen Abrechnungsunterlagen (z. B. Gehalts- und Lohnabrechnung) zu führen und zum anderen diese auch eine gewisse Zeit aufzubewahren. Der Erlaubnisvorbehalt zur weiteren Speicherung resultiert aus einem einschlägigen Gesetz (z.B. AO, EStG, SGB) sowie bilanzrechtlichen Vorschriften.

Verschiedene arbeitsschutzrechtliche Vorschriften, u. a. das ArbZG, MuSchG, BEM, verpflichten den Arbeitgeber ebenfalls dazu, Personalunterlagen aufzubewahren. Es handelt sich hier um Unterlagen, die vielfach auch außerhalb der Personalakte des einzelnen Mitarbeiters geführt werden (müssen).

Fazit

Die digitale Personalakte hat viele Vorteile, birgt aus Datenschutzsicht aber auch die Möglichkeit zum Missbrauch. Die größte Gefahr besteht darin, dass sie durch Profilerstellung für eine weitere Möglichkeit der Leistungs- und Verhaltenskontrolle der Mitarbeiter ausgenutzt werden kann. Erleichtert wird durch sie außerdem, den Datenschutz durch automatisierte Einzelentscheidungen zu verletzen. Die Einführung und Nutzung der digitalen Personalakte sollte schriftlich geregelt werden, z. B. in einer Unternehmensrichtlinie oder Betriebsvereinbarung.

Andererseits kann man für eine digitale Personalakte systembedingt relativ einfach Zugriffe und Berechtigungen erteilen, automatisch archivieren und löschen. Arbeitsabläufe im Unternehmen und vor allem in der Personalabteilung werden vereinfacht, effizienter und effektiver gestaltet. Mit wenigen Klicks können Mitarbeiterinformationen in einer digitalen Personalakte gespeichert werden und sind jederzeit für den Zugriffsberechtigten verfügbar.

Ach ja, unabhängig davon sind natürlich die Vorgaben gemäß Art. 32 DS-GVO Sicherheit der Verarbeitung, hinsichtlich für die Speicherung und Nutzung der elektronischen Personalakte genutzten Systems, umzusetzen, zu dokumentieren und regelmäßig durch den Datenschutzbeauftragten zu prüfen und deren Einhaltung zu überwachen. Außerdem ist Art. 25 DS-GVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) zu gewährleisten. Nicht nur bei einem Personalmanagementsystem, sondern auch beim Einsatz eines Online-Bewerberportals.

Sollen Personalakten in einem Unternehmen digital geführt werden, gilt es in jedem Fall, schnellstmöglich ein Zugriffs- und Berechtigungskonzept zu erstellen sowie ein Lösch- und Aufbewahrungskonzept zu entwickeln. Die letztgenannten Punkte gelten übrigens auch und schon immer für Bewerbungsunterlagen und Personalakten in Papierform. Aber letztendlich gilt dies für alle Unternehmenssysteme, nicht nur für die Personalakte.

Regina Muehlich

Regina Mühlich ist Geschäftsführerin der Unternehmensberatung AdOrga Solutions GmbH. Ihre Schwerpunkte liegen auf Datenschutz, Compliance und Managementberatung. Als Datenschutzbeauftragte, anerkannte und geprüfte Sachverständige für Datenschutz und Informationsverarbeitung, Qualitätsmanagementbeauftragte, Compliance Officer sowie Auditorin für Datenschutz und Qualitätsmanagement (ISO 9001) berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Sie ist gefragte Referentin für Seminare und Vorträge sowie Vorstandsmitglied des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e. V.

Schreibe einen Kommentar

KOSTENLOSER NEWSLETTER

Erhalten Sie regelmäßig die neuesten Updates der internationalen Startup-Szene!

Hier finden Sie unsere Datenschutzerklärung

X