Digitalisierung und Datenschutz
Im Rahmen eines Arbeitsverhältnisses fällt naturgemäß eine beträchtliche Menge an Beschäftigtendaten an. Viele dieser Daten werden vom Arbeitgeber in Personalakten aufbewahrt. Durch die Digitalisierung stehen diese nun in besonderer Weise im Spannungsfeld verschiedener Vorgaben.
1 Definition und Inhalt der Personalakte
Eine Legaldefinition der Personalakte halten die Vorschriften des deutschen Arbeitsrechts zwar nicht bereit, dennoch wird deren Existenz in einigen Normen vorausgesetzt, so z. B. in § 3 Abs. 5 TVöD oder in § 83 BetrVG, die das Einsichtsrecht der Beschäftigten in die „Personalakte“ regeln. § 106 BBG definiert die Personalakte zwar für das Beamtenverhältnis, allerdings findet diese Regelung keine Anwendung auf Nicht-Beamtenverhältnisse.
Zu unterscheiden ist die „formelle Personalakte“ (was der Arbeitgeber als Personalakte bezeichnet) von der „materiellen Personalakte“, die alle Urkunden, Schrift[1]stücke und sonstigen Vorgänge, welche die persönlichen und dienstlichen Verhältnisse des Arbeitnehmers betreffen und in einem unmittelbaren inneren Zusammenhang mit dem Arbeitsverhältnis stehen. Das Einsichtsrecht der Beschäftigten bezieht sich insoweit auch auf etwaige Sonder- und Nebenakten. Alle Akten bilden zusammen die Personalakte.
2 Aktendigitalisierung – Fluch oder Segen
Die praktischen Vorteile der Umstellung von physischer auf digitale Personalaktenführung liegen auf der Hand. Aber auch datenschutzrechtliche Erfordernisse lassen sich so erfüllen, z. B. die schnelle Beantwortung von Auskunftsersuchen sowie die anlass- und funktionsbezogene Beschränkung des Zugangs zu Daten für Geschäftsführung, Führungskräfte und Personaler entsprechend ihrer Aufgaben mittels Berechtigungsprofilen. Andererseits gehen mit der Digitalisierung auch Rechtspflichten einher, die bei physischen Personalakte nicht zu beachten sind, wie die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG.
Zwar ist auch auf die physische Personalakte das Datenschutzrecht anwendbar (§32 Abs.2 BDSG-alt, §26 Abs.7 BDSG-neu), jedoch sind die Anforderungen an die digitale Akte – jedenfalls in Bezug auf IT-Sicherheit aufgrund der DSGVO – ungleich höher. Auch die gewünschte Übertragbarkeit von Daten an andere Konzerngesellschaften oder an Dienstleister bei der Nutzung von Cloud-Diensten stellt Unternehmen vor datenschutzrechtliche Herausforderungen, denn dieser Vorgang bedarf der Rechtfertigung. Vor allem, wenn sich der Dritte ggf. im Nicht-EU-Ausland befindet.
3 Datenschutzrechtliche Rechtfertigung bei Beschäftigtendaten
Die in der Personalakte verarbeiteten Daten sind i. d. R. zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich. Daher richtet sich die Zulässigkeit ihrer Verarbeitung in der digitalen Personalakte bis zum Inkrafttreten der BDSG-Novelle am 25.5.2018 nach § 32 Abs. 1 BDSG-alt. Weitere Rechtfertigungsgründe konnten bisher auch Gesetze, die die Verarbeitung von Daten erfordern bzw. erlauben, sowie die Einwilligung und Betriebsvereinbarungen sein.
All das hat sich auch mit dem neuen Datenschutzrecht nicht wesentlich geändert. Auf Basis der Öffnungsklausel in Art. 88 DSGVO hat der Gesetzgeber den Beschäftigtendatenschutz in § 26 BDSG-neu geregelt, der größtenteils inhaltsgleich zur alten Vorschrift ist und zusätzlich geltendes Recht festschreibt. Absatz 2 behandelt insoweit explizit die Anforderung an die Einwilligung der Arbeitnehmer. Absatz 4 normiert ferner ausdrücklich, dass die Verarbeitung personenbezogener Daten von Beschäftigten auf der Basis von Kollektivvereinbarungen weiterhin zulässig ist, wobei umstritten ist, wie weit von den Schutzstandards der DSGVO abgewichen werden kann (ggf. einschränkend wirkt hier Art.88 Abs.2 DSGVO).
Art.6 Abs.1 DSGVO liefert weitere Erlaubnistatbestände, bei deren Vorliegen die Verarbeitung von Beschäftigtendaten zulässig ist; insoweit sind auch die gesetzlichen Vorgaben zur Erhebung von Daten z. B. im BEM-Verfahren (§ 167 SGB IX) oder zur Aufbewahrung zu sehen, vgl. Checkliste auf S. 218. Diese Vorgaben stellen die Grundlage für die Rechtfertigung der Verarbeitung und Speicherung dar.
4 Besonderheiten bei der Digitalisierung von Personalakten
Zwar gilt für den privatrechtlichen Arbeitgeber, dass er grundsätzlich nicht zur Führung von Personalakten verpflichtet ist. Wenn er sie aber führt, gelten für ihn auch im Rahmen der digitalen Personalakte die klassischen Grundsätze der Personalaktenführung:
- Vollständigkeit,
- Transparenz,
- Richtigkeit und
- Vertraulichkeit.
Vielfach sind dies Prinzipien, die sich nunmehr auch im Datenschutzrecht (vgl. Art 5 DSGVO) wiederfinden; insoweit kann argumentiert werden, dass das Datenschutzrecht als spezielleres und aktuelleres Recht die bisherigen Prinzipien und Rechtsgrundlagen (z. B. aus dem BetrVG) ersetzt bzw. erweitert.
5 Vollständigkeit
Schon aus Beweisgründen bietet es sich an, relevante Personalvorgänge vollständig zu erfassen. Das Personalaktenrecht sieht dies im Rahmen des Grundsatzes der Vollständigkeit vor. Auch das Datenschutzrecht erkennt dieses Prinzip an vielen Stellen an und erlaubt daher auch die Ergänzung unvollständiger Daten (Art. 16 DSGVO). Damit einher geht die Verpflichtung des Arbeitgebers, für eine ordnungsgemäße Archivierung, die dies gewährleistet, Sorge zu tragen. Außerdem sind vom Arbeitgeber die gesetzlichen Aufbewahrungsfristen zu beachten und einzuhalten.
Eine Frage, die sich in diesem Zusammenhang in der Praxis regelmäßig stellt, ist, ob Vollständigkeit auch bedeutet, dass ein Zugriff auf Originale bestehen muss. Teilweise entschließen sich Unternehmen nämlich im Hinblick auf die Kosten der Archivierung, die physischen Dokumente zu scannen und zu vernichten oder zu scannen und mit Barcodes versehen, chaotisch geordnet und dezentral aufzubewahren.
Beispiel
Einem vor den Zivilgerichten auf Vergütung klagenden Geschäftsführer steht es – anders als Arbeitnehmern vor den Arbeitsgerichten – frei, diese Forderung zunächst im Wege des Urkundsverfahrens geltend zu machen. Dort käme der beklagte Arbeitgeber in Beweisschwierigkeiten, könnte er lediglich auf Scans der Originaldokumente zurückgreifen. Der im Urkundsprozess einzig zulässige Strengbeweis (Urkundsbeweis), der durch die Vorlage von Originalurkunden geführt werden muss, lässt sich mit bloßen Kopien schlechterdings nicht erbringen. Bei konsequenter Umsetzung der digitalen Personalaktenführung liefe das Unternehmen Gefahr, den Urkundsprozess nur aufgrund seiner eigens geschaffenen Beweisnot zu verlieren. Auch aus diesem Grund ist die Lösung über eine externe Archivierung der wichtigsten Originaldokumente anzuraten, da der gänzliche Verzicht darauf mit schwer abzuschätzenden prozessualen Risiken verbunden ist.
Zwar kommt Dokumenten, die nach den „GoBD-Vorgaben“ archiviert werden, ein hoher Beweiswert zu, doch sollten – gerade für einen potenziellen Rechtsstreit – solche, für deren Wirksamkeit die Schriftform (§ 126 BGB) gesetzlich vorgeschrieben ist (z. B.: Befristungsabreden, Aufhebungsverträge, Kündigungen oder nachvertragliche Wettbewerbsverbote) weiterhin auch im Original existieren. Durch das Scannen und die anschließende Vernichtung des Originaldokuments entfällt zwar nicht die Schriftform als solche, denn diese muss lediglich im Zeitpunkt der Vereinbarung bestehen, dennoch kann man ihr Vorliegen im Zeitpunkt des Abschlusses der Vereinbarung durch einen Scan nicht beweisen. Die Originaldokumente müssen allerdings nicht im Unternehmen verbleiben, sondern können von diesem in externe Archive ausgelagert werden, da sie lediglich im Bestreitensfall dem Gericht zu Beweiszwecken vorgelegt werden müssen. Dies ist zwar wiederum mit Archivierungskosten verbunden, dennoch kann auf diese Weise die Umstellung von Papierakten auf Dateien gelingen, sodass die o. g. Vorteile der Digitalisierung voll greifen können.
6 Transparenz
Aus § 83 BetrVG ergibt sich das originäre Einsichtsrecht des Mitarbeiters in die Personalakte, sowohl für die physische als auch für die digitale. Neben diese Vorschrift trat bisher § 33 BDSG-alt, wonach der Arbeitnehmer über die digitale Personalaktenführung zu unterrichten ist, flankiert durch das Auskunftsrecht nach § 34 Abs. 1 Satz 1 BDSG-alt.
Die Betroffenenrechte bekommen nach der DSGVO eine neue Qualität. Nach Art. 13 und 14 DSGVO ist ausführlich bei der Erhebung zu informieren. Hier lohnt ein Blick in die gesetzlichen Auflistungen der notwendigen Informationen. Darüber hinaus besteht ein gleichermaßen ausführliches Auskunftsrecht in Art. 15 DSGVO. Einschränkungen ergeben sich aus dem BDSG-neu, bspw. wenn in einer Compliance-Investigation wegen berechtigter Interessen des Arbeitgebers Informationen nicht offengelegt werden sollen. Insoweit sind vor allem auch Vorgaben zur Ausübung der Betroffenenrechte zu beachten (Art. 12 DSGVO), wonach das Unternehmen deren Ausübung gewährleisten muss, was die Einrichtung entsprechender Prozesse beim Arbeitgeber notwendig macht. Besonders praxisrelevant ist die verlängerbare Ein-Monats-Frist zur Beantwortung von Auskunftsersuchen.
Wurden Betroffenenrechte bisher als „Papiertiger“ abgetan, muss man nun beachten, dass insoweit sogar der gegenüber „reinen Formalverstößen“ hohe Sanktionsrahmen des Art. 83 Abs. 5 DSGVO – d. h. Strafen bis zu 20 Mio. EUR oder 4% des Jahresumsatzes – Anwendung findet. Es ist davon auszugehen, dass Einzelverstöße keine solch hohen Sanktionen auslösen werden, aber eine systematische Nichtbeachtung kann teuer werden. Daher müssen Unternehmen gerade im Zusammenhang mit der Personalakte ihre Prozesse überarbeiten. Hier zeigen sich die Vorteile der Digitalisierung der Akte, die aber gleichzeitig auch wieder die Anforderungen an IT[1]Sicherheit etc. erhöhen.
7 Richtigkeit
Der Personalaktenführungsgrundsatz der „Richtigkeit“ besagt zunächst einmal eine Selbstverständlichkeit, nämlich, dass der Inhalt einer Personalakte – egal ob physisch oder digital – ein zutreffendes Bild über den Beschäftigten geben soll. Dies gilt sowohl für objektive Tatsachenbehauptungen als auch für subjektive Werturteile im Rahmen von Mitarbeiterbeurteilungen, wobei diese naturgemäß lediglich auf das Einhalten und Beachten von allgemeinen Beurteilungsgrundsätzen überprüft werden können. Dementsprechend ergibt sich aus den §§ 242, 1004 BGB analog der Anspruch des Arbeitnehmers auf Korrektur bzw. Entfernung unzutreffender bzw. unzulässiger Angaben aus der Personalakte.
Die datenschutzrechtlichen Vorgaben für die Personalaktenführung richtet sich derzeit noch nach § 35 BDSG[1]alt. Im Rahmen der DSGVO ist dieses Prinzip in Art. 5 Abs.1 lit. d) DSGVO verankert und wird in Art. 16 DSGVO (Berichtigung) und Art. 17 DSGVO (Löschung) sowie der Einschränkung der Verarbeitung (Art. 18 DSGVO) und Widerspruchsrechten (Art.20 DSGVO) konkretisiert. Insoweit sind wieder Besonderheiten zu beachten, die sich teilweise auch aus dem BSGD-neu ergeben. Es kann sein, dass über Löschungen unterrichtet wird oder diese unterbleiben können (wenn der Aufwand unverhältnismäßig wäre) oder auch müssen (wenn berechtigte Interessen des Betroffenen berührt sind). All dies gilt es, bei den Prozessen zur Personalaktenführung zu beachten.
8 Vertraulichkeit
Die datenschutzrechtlichen Vorgaben für die Personalaktenführung richtet sich derzeit noch nach § 35 BDSG[1]alt. Im Rahmen der DSGVO ist dieses Prinzip in Art. 5 Abs.1 lit. d) DSGVO verankert und wird in Art. 16 DSGVO (Berichtigung) und Art. 17 DSGVO
Der Grundsatz der Vertraulichkeit kann bei digitaler Personalaktenführung in besonderem Maße Beachtung finden. Auch hierfür ist das oben bereits angedeutete differenzierte Berechtigungskonzept von entscheidender Bedeutung. Datenschutzrechtlich ist dieses Prinzip mittlerweile explizit normiert in Art. 5 Abs. 1 lit. f) DSGVO („Integrität und Vertraulichkeit“). Insoweit wird auch ein technischer Aspekt – nämlich die IT-Sicherheit – zum datenschutzrechtlichen Grundprinzip gemacht.
Die sog. TOMs, d. h. technische und organisatorische Maßnahmen (früher in §9 BDSG-alt geregelt), gewinnen deswegen an Bedeutung – gerade bei digitalen Personalakten. Insoweit sieht Art. 25 DSGVO vor, wie mit den im Rahmen der digitalen Personalaktenführung zu verarbeitenden Daten umzugehen ist und wie man auf diese Weise dem Grundsatz der Vertraulichkeit gerecht werden kann. Eine Konkretisierung findet sich noch im Erwägungsgrund zur DSGVO Nr. 78.
Beispiel
Durch Aktenführungsprogramme als TOM kann – den Anforderungen des Datenschutzes folgend – ein Berechtigungskonzept etabliert werden. So lässt sich technisch gewährleisten, dass nur bestimmte Personen zugriffsbefugt sind, wobei man hinsichtlich dieser Zugriffsbefugnisse wiederum differenzieren kann, sodass jedem einzelnen Nutzer bedarfsentsprechend eine spezifische Zugriffsart (z. B.: [i] lesen, [ii] lesen und speichern, [iii] verändern) zugeteilt werden kann. Für Personalakten gehören auch Verschlüsselungsprogramme bei der Übertragung von Daten sowie Techniken zur unwiederbringlichen Löschung von Daten zum denkbaren „Stand der Technik“.
Neben der Nutzung von TOMs sieht das neue Datenschutzrecht in §53 BDSG-neu weiterhin die Verpflichtung auf das Datengeheimnis vor (bisher § 5 BDSG-alt). Insoweit besteht die Pflicht, dass die Mitarbeiter, die mit Beschäftigtendaten in Berührung kommen, diese nicht unbefugt verarbeiten dürfen (Datengeheimnis). Die Arbeitnehmer sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Es besteht auch nach der Beendigung ihrer Tätigkeit fort.
Einen repressiv wirkenden Sicherheitsmechanismus, der wiederum das Etablieren eines unternehmensinternen Prozesses erfordert, sieht Art. 33 DSGVO vor, der den Verantwortlichen dazu verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten – z. B. durch Datenverlust in Form einer illegalen Ausspähung von Daten – unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der jeweils zuständigen Datenschutzbehörde zu melden.
9 Fazit
Die Verwendung von Beschäftigtendaten im Rahmen der Personalaktenführung bleibt natürlich auch mit der BDSG-Novellierung und der unmittelbaren Wirksamkeit der DSGVO ab dem 25.5.2018 möglich. Das überrascht nicht, da Personalaktenrecht schon immer im Kern Datenschutzrecht war.
Durch die Neuerungen wird das Schutzniveau von Beschäftigtendaten insgesamt angehoben. Ein besonderes Augenmerk ist auf die Betroffenenrechte zur Information und Auskunft und Löschung zu legen. Denn diese haben sich nicht nur verschärft; ein Verstoß kann jetzt auch mit Sanktionen belegt werden. Diese Prozesse gilt es zu gestalten.
Dabei hilft die Digitalisierung der Personalakte. Dies wiederum führt zu technischen Herausforderungen und zu ganz praktischen Fragen, bspw. ob bei der Archivierung die Originale vernichtet oder – wie hier empfohlen – besser aufbewahrt werden.
Ein guter Weg den Umgang mit den Daten der Personalakte und die diesbezüglichen unternehmensinternen Prozesse datenschutzrechtlich zu rechtfertigen, ist nun ausdrücklich gesetzlich verankert: Nach §26 Abs.4 BDSG-neu kann dies mittels Betriebsvereinbarungen geschehen.