Digitale Personalakte: Was muss ich als Arbeitgeber beachten?

8. Februar 2017

Digitale Personalakte: Was muss ich als Arbeitgeber beachten?

Sie sind Arbeitgeber und möchten in Ihrem Unternehmen digitale Personalakten einführen? Ihr Unternehmen digitalisieren und deshalb die analogen Personalakten abschaffen? Dann stellen sich in der Praxis eine Reihe arbeits- und datenschutzrechtlicher Fragen, auf die Sie hier antworten finden.

Einführung digitaler Personalakten

Grundsätzlich hat der Arbeitgeber die freie Wahl zwischen analogen und digitalen Personalakten, solange dies im Rahmen des geltenden Rechts erfolgt. Es ist jedoch in jedem Fall empfehlenswert, sich für ein Format zu entscheiden. Das parallele Führen von analogen und digitalen Personalakten ist aufwändig und fehleranfällig.

Auch Dokumente, die schriftlich zu erstellen sind, wie beispielsweise die Kündigung nach § 623 BGB, sind inzwischen kein Hindernis mehr für die Einführung digitaler Personalakten. Mit den vom BSI herausgegebenen technischen Richtlinien TR RESISCAN (rechtssicheres ersetzendes Scannen) und TR ESOR (rechtssichere Langzeitarchivierung) stehen zwei Hilfsmittel zur Erstellung und Aufbewahrung von digitalisierten Dokumenten (sog. Digitalisaten) bereit. Nach den Reformen der Zivilprozessordnung (ZPO) und des Arbeitsgerichtsgesetzes (ArbGG) ist die Beweisführung nun auch mit diesen sog. Digitalisaten möglich.

Achtung: Aufbewahrungspflichten

Auch für die digitale Personalakte sind steuer- und handelsrechtliche Aufbewahrungspflichten zu beachten. Diese betragen sechs bzw. zehn Jahre. Die seit dem 1.1.2015 geltenden Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GDPdU) gelten deshalb auch für die digitale Personalakte. Vor der Einführung ist demnach zu prüfen, für welche Dokumente welche Aufbewahrungspflichten gelten. Außerdem sind Standardprozesse zu implementieren, die die Einhaltung der Aufbewahrungspflichten sicherstellen, damit Dokumente weder zu früh gelöscht noch zu lange aufbewahrt werden. Darüber hinaus gilt es auch einen Standardprozess betreffend die datenschutzrechtskonforme Vernichtung der Originaldokumente nach deren Digitalisierung sowie der Digitalisate nach Ablauf der jeweiligen Aufbewahrungspflichten zu implementieren.

Verschlüsselung von Personalakten

Eine vollständige Verschlüsselung der digitalen Personalakte ist grundsätzlich weder aus Gründen der IT-Sicherheit noch aus Gründen des Datenschutzes erforderlich. Der Arbeitgeber muss gem. § 9 BDSG lediglich die erforderlichen und angemessenen Maßnahmen zum Schutz der Inhalte in der digitalen Personalakte treffen, d.h. es ist konkret zu bewerten welche Maßnahmen erforderlich und angemessen für welche konkret digital gespeicherten personenbezogenen Daten sind. Eine Verschlüsselung ist dementsprechend lediglich für die in der digitalen Personalakte gespeicherten besonderen personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG notwendig, das heißt beispielsweise für die zu den Arbeitnehmern gespeicherten Gesundheitsdaten.

Will der Arbeitgeber nicht die gesamte digitale Personalakte verschlüsseln, so muss eine Aufteilung in verschiedene Bereiche erfolgen, für die dann ein unterschiedliches Schutzniveau und damit verbunden unterschiedliche Zugriffs-, Sicherheits- und Löschkonzepte definiert werden.

Outsourcing an einen externen Dienstleister

Die Verarbeitung personenbezogener Daten der Beschäftigten im Rahmen der digitalen Personalakte ist an § 32 Abs. 1 S. 1 BDSG zu messen. Die Verarbeitung muss also für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sein. Die Führung der digitalen Personalakten durch einen externen Dienstleister, an den die Daten im Wege einer datenschutzrechtlich erlaubnispflichtigen Übermittlung weitergegeben werden, ist meist nicht erforderlich in diesem Sinne.

Ist seitens des Arbeitgebers aber ein Outsourcing gewünscht, kann er über den Abschluss eines Vertrages zur Auftragsdatenverarbeitung i.S.v. § 11 BDSG mit dem Dienstleister einen datenschutzrechtskonformen Zustand herstellen. Schwieriger wird dies allerdings dann, wenn der Dienstleister außerhalb von EU/EWR sitzt, bzw. zumindest die Server, auf denen die Daten gespeichert werden, sich außerhalb von EU/EWR befinden. Dann ist eine Übermittlung der Daten an den Dienstleister trotz des Abschlusses eines Vertrages zur Auftragsdatenverarbeitung nur dann rechtmäßig, wenn in dem Drittland ein angemssenes Datenschutzniveau sichergestellt ist. Dies kann z.B. durch EU-Standardverträge, Binding-Corporate-Rules oder die Zertifizierung des Dienstleisters unter dem EU-US-Privacy Shield geschehen.

Mitbestimmungsrecht des Betriebsrat

In Unternehmen, in denen es einen Betriebsrat gibt, hat der Betriebsrat ein Mitbestimmungsrechte. Besonders wichtig sind die Mitbestimmungsrechte nach § 87 Abs. 1 BetrVG. Nach Nr.1 darf der Betriebsrat bei Regelungen, die die Ordnung des Betriebs oder das Verhalten der Arbeitnehmer im Betrieb betreffen, mitbestimmen. Darüber hinaus besteht ein Mitbestimmungsrechts des Betriebsrats nach Nr. 6 im Falle der Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Die Frage ist also, ob neben der Ablage von Dokumenten auch arbeitnehmerbezogene Auswertungen über die digitale Personalakte vorgenommen werden können und sollen.

Ein Mitbestimmungsrecht des Betriebsrats besteht außerdem für die Fälle, dass über die digitalen Personalakten regelmäßig neu auszufüllende Personalfragebögen verschickt werden, vgl. § 94 Abs. 1 BetrVG. Die Mitbestimmungsrechte des Betriebsrats bestehen allerdings jeweils nur für die konkreten Sachverhalte, die unter die Regelung fallen. Der Betriebsrat kann demnach nicht der gesamten Einführung der digitalen Personalakte widersprechen, sondern jeweils nur den Prozessen, die in den Bereich des Mitbestimmungsrechts fallen.

Checkliste

Die folgende Checkliste, gibt Ihnen eine Übersicht über die wichtigsten vor Einführung der digitalen Personalakte zu klärenden Fragen und damit zusammenhängenden To-dos. Sie ersetzt allerdings keine rechtliche Beratung, da sie nicht auf Ihr konkretes Unternehmen und die individuellen Besonderheiten in Ihrem Fall eingeht.

Sollten Sie Ihr Unternehmen auf digitale Personalakten umstellen wollen und Fragen dazu haben, dann melden Sie sich gerne bei uns. Wir beraten Sie gerne auf dem Weg der Digitalisierung und helfen Ihnen bei der Umstellung von analogen auf digitale Personalakten.

Zur Vertiefung dieses Themas lesen Sie gerne „Die digitale Personalakte: ein Klassiker mit Tücken“ in der HRPerformance von LOGIN Partners-Gründer Sascha Kremer (Rechtsanwalt).

Checkliste und To-dos zur digitalen Personalakte:

Was ist zu prüfen, bevor die konkrete Einführung der digitalen Personalakten in Angriff genommen werden kann? Welche Entscheidungen müssen getroffen und welche Differenzierungen vorgenommen werden? Welche konkreten To-dos ergeben sich daraus?

  • Entscheidung: Ausschließlich digitale Personalakte oder parallele Führung?
    • To-do: Prozess implementieren zur Vernichtung der Originale nach deren Digitalisierung
    • To-do: Prozess implementieren zur Sicherstellung, dass alle Dokumente, die digitalisiert werden sollen, digitalisiert und anschließend datenschutzkonform vernichtet werden
    • To-do: Prozess implementieren zur Sicherstellung, dass jedes Dokument, das im Original weiter in einer analogen Personalakte abgeheftet werden sollen, dort auch tatsächlich abgeheftet wird
  • Prüfung: Welche Dokumente sollen digitalisiert in der Personalakte „abgeheftet“ werden, auch Dokumente, die schriftlich zu erstellen sind?
    • To-do: vollständige Bestandsaufnahme aller in der Personalakte abzuheftenden Dokumente und Einteilung in unterschiedliche Schutzniveaus
    • To-do: Prozess implementieren zur datenschutzkonformen Vernichtung der jeweiligen Dokumente nach Ablauf der Aufbewahrungspflicht, da die Aufbewahrung nach Ablauf nicht mehr datenschutzrechtmäßig wäre
  • Fallen einzelne Dokumentarten in den Anwendungsbereich der Richtlinien TR RESISCAN und TR ESOR?
    • To-do: Prozess zur Digitalisierung dieser Dokumente nach den Richtlinien TR RESISCAN und TR ESOR implementieren
  • Welche steuer- und handelsrechtlichen Aufbewahrungspflichten sind konkret zu beachten?
    • To-do: Prozess implementieren zur Sicherstellung der Einhaltung der jeweils korrespondierenden Aufbewahrungspflichten
  • Prüfung: Bestehen Mitbestimmungsrechte des Betriebsrats, z.B. aus §§ 87 Abs. 1 oder 94 Abs. 1 BetrVG?
    • To-do: Soweit Mitbestimmungsrechte bestehen, den Betriebsrat einbeziehen
    • To-do: Soweit keine Mitbestimmungsrechte bestehen empfiehlt sich die offene Kommunikation, um vor Einführung der Personalakte mit dem Betriebsrat derlei Fragen zu klären
  • Prüfung: Ist eine Verschlüsselung der digitalen Personalakte oder einzelner Bereiche notwendig?
    • To-do: Prozess implementieren zur Verschlüsselung einzelner Bereiche oder aller Bereiche der digitalen Personalakte, insb. Definition verschiedener Schutzniveaus
    • To-do: Schulung der HR-Mitarbeiter bezüglich Schutzniveaus und Verschlüsselung
  • Prüfung: Ist ein Outsourcing geplant und befindet sich der Dienstleister innerhalb oder außerhalb von EU/EWR?
    • To-do: Abschluss von Verträgen zur Auftragsdatenverarbeitung mit externen Dienstleistern
    • To-do: Sicherstellung eines angemessenen Datenschutzniveaus über EU-Standardvertragsklauseln, Binding-Corporate-Rules oder Zertifizierung
Arbeitsrecht, Datenschutz und Datensicherheit, HR , , , , , , ,

Kommentar verfassen