top Themen

Übersicht

DSGVO-konform: Personaldaten digital verwalten

Am 25. Mai 2018 wurde die neue Datenschutz-Grundverordnung der EU (DSGVO) in Kraft gesetzt. Damit sind nun erstmals europaweit einheitliche Datenschutzrichtlinien verbindlich, die von Unternehmen und Organisationen berücksichtigt werden müssen. In den 99 Paragrafen der DSGVO ist vor allem geregelt, wie personenbezogene Daten verarbeitet werden dürfen beziehungsweise wie sie nicht verarbeitet werden dürfen. Für Unternehmen wirkt sich das zum einen auf den Umgang mit den Daten ihrer Geschäftspartner aus – seien es Lieferanten, Kooperationspartner oder Kunden. Zum anderen betrifft die Verordnung auch die Daten der Mitarbeiter eines Unternehmens.

Durch die Novellierung der DSGVO ergeben sich neue Pflichten für die Arbeitgeber und zusätzliche Rechte für die Arbeitnehmer. Grundsätzlich wurden die Möglichkeiten zur Verarbeitung personenbezogener Daten von Mitarbeitern und Bewerbern eingeschränkt. Wichtigster Aspekt dabei: Personenbezogene Daten dürfen nur nach Einwilligung der betroffenen Person verarbeitet werden und auch nur dann, wenn die Verarbeitung für die Vertragserfüllung notwendig ist. Für die Einhaltung dieser Verpflichtungen ist der Arbeitgeber verantwortlich.

Pflichten für Arbeitgeber, Rechte für Arbeitnehmer

Im Einzelnen lassen sich folgende Pflichten für Arbeitgeber und Rechte für die Arbeitnehmer nennen:

  1. Ein Arbeitnehmer muss zum Zeitpunkt der Erhebung und Speicherung von personenbezogenen Daten über den Namen des dafür Verantwortlichen informiert werden und dessen Kontaktdaten erhalten. Dabei kann der Verantwortliche eine natürliche oder juristische Person sein, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zu informieren ist der Arbeitnehmer auch über Zweck und Dauer der Erhebung und Speicherung, über sein Auskunfts-, Widerspruchs- und Beschwerderecht und über die Rechtsgrundlage für die Verarbeitung der Daten. Mitzuteilen ist ihm, wer die Empfänger der Daten sind und wer der Datenschutzbeauftragte ist – inklusive der jeweiligen Kontaktdaten.
  2. Ein Arbeitnehmer hat das Recht, seine Personalakte einzusehen und falsche Daten berichtigen zu lassen.
  3. Zudem ist es einem Arbeitnehmer gestattet, schriftliche Erklärungen zum Inhalt der Personalakte abzugeben. Auf dessen Verlangen hin sind diese Erklärungen der Akte hinzuzufügen. Darüber hinaus kann der Arbeitnehmer seine personenbezogenen Daten vervollständigen. Auch bei Beurteilungen und Abmahnungen sind persönliche Erklärungen des Arbeitnehmers statthaft. Sie müssen allerdings einen Bezug zu den Ursprungsdokumenten herstellen.
  4. Sobald personenbezogene Daten nicht mehr für den Zweck erforderlich sind, für den sie erhoben wurden, müssen diese unverzüglich gelöscht werden. Gelöscht werden müssen die Daten auch, wenn sie unrechtmäßig durch den Arbeitgeber verarbeitet wurden oder wenn der Arbeitnehmer seine Erlaubnis zur Verarbeitung widerruft oder Widerspruch gegen die Verarbeitung erhebt.
  5. Sobald personenbezogene Daten nicht mehr für den Zweck erforderlich sind, für den sie erhoben wurden, müssen diese unverzüglich gelöscht werden. Gelöscht werden müssen die Daten auch, wenn sie unrechtmäßig durch den Arbeitgeber verarbeitet wurden oder wenn der Arbeitnehmer seine Erlaubnis zur Verarbeitung widerruft oder Widerspruch gegen die Verarbeitung erhebt.
  6. Durch Betriebsvereinbarungen können spezifischere Vorschriften definiert werden, wobei die Vorgaben der DSGVO die Mindestanforderung darstellen.

Elektronische Personalakte sorgt für DSGVO-Konformität

Natürlich gelten diese Vorgaben zum Datenschutz immer – also unabhängig davon, ob personenbezogene Daten auf Papier oder digital vorliegen. Wichtig dabei: Bestimmte Dokumente – zum Beispiel Kündigungen oder Aufhebungsverträge – müssen gemäß Paragraf 623 des Bürgerlichen Gesetzbuches zum Nachweis der Gültigkeit weiterhin auch physikalisch vorliegen. Bei den meisten Dokumenten genügt es aber, wenn sie digital in einer elektronischen Personalakte vorliegen.

Und angesichts der neuen DSGVO spricht viel für diese Variante. Denn damit lassen sich die Regeln leichter einhalten.

  • Der Zugriff auf die personenbezogenen Daten lässt sich über ein mehrstufiges Berechtigungskonzept steuern, wodurch der Zugriffsschutz nach Paragraf 24 der DSGVO erfüllt ist. Mit einem solchen digitalen Berechtigungskonzept lässt sich beispielsweise sicherstellen, dass Vorgesetzte nur die Informationen erhalten, die sie für die Führung benötigen – aber zum Beispiel keine Daten über Erkrankungen einsehen können. Die Vorgaben zum Zugriffsschutz bei einer papierbasierten Personalakte einzuhalten, ist deutlich schwerer und mit einem höheren Aufwand verbunden.
  • Gegeben ist eine hohe Revisionssicherheit und Nachvollziehbarkeit, da sämtliche Zugriffe und Änderungen auf die elektronische Personalakte protokolliert werden.
  • Automatisierte Wiedervorlagen erinnern an anstehende Aufgaben.
  • Benachrichtigungen machen auf den Ablauf von Aufbewahrungsfristen für bestimmte Dokumente aufmerksam. Die entsprechend gekennzeichneten Dokumente können nach Ablauf der Aufbewahrungsfrist automatisch oder nach dem Vier-Augen-Prinzip gelöscht werden.

Es spricht also einiges für eine elektronische Personalakte. Voraussetzung ist dabei allerdings, dass die eingesetzte IT-Lösung tatsächlich die erforderlichen Funktionen mitbringt – dass sich also wirklich ein hinreichendes Berechtigungskonzept umsetzen lässt und Dokumente verlässlich nach Ablauf der definierten Frist gelöscht werden. Wichtig ist zudem, dass für die IT-Infrastruktur in der Personalabteilung eine umfassende Zugriffskontrolle besteht.


Artikel teilen:

Übersicht