12.10.2020 | HR-Management | ID: 1075543

Datenschutz für die digitale Personalakte

WEKA (asc)

Verfahren rund um die Personalakte unterliegen den allgemeinen Vorgaben der DSGVO und des DSG. Datenschutzbeauftragte sollten hier die Personalabteilung besonders sensibilisieren und Tipps für den Schutz von digitalen Personalakten geben.

Warum ist Datenschutz bei Personalakten so wichtig?

Wenn es einen Unternehmensbereich gibt, bei dem Datenverarbeitung fast immer Verarbeitung personenbezogener Daten bedeutet, dann ist es die Personalabteilung.

In der Personaldaten-Verarbeitung geht es unter anderem um

Gehaltsabrechnung,
Bewerber-Management,
Talent-Management,
Zeit- und Anwesenheits-Management,
Urlaubsplanung,
Personalplanung und
Personalbedarfs-Analysen.

Viele personenbezogene Daten zu Beschäftigten werden in der Personalakte erfasst. Das gilt zum Beispiel für die Daten aus dem Bewerbungsverfahren, für den Arbeitsvertrag, Urlaubsanträge, mögliche Abmahnungen, Angaben zur Sozialversicherung, Steuerinformationen und Zeugnisse.

Zweifellos sind dies Dokumente und Daten, die eine besondere Vertraulichkeit erwarten lassen.

Was fordern DSGVO und nationale Vorgaben für die Personalakte?

Dem Artikel 88 DSGVO (Datenverarbeitung im Beschäftigungskontext) sind folgende Verarbeitungszwecke zu entnehmen:

Einstellung und Beendigung des Arbeitsverhältnisses
Erfüllung des Arbeitsvertrags
Management, Planung und Organisation der Arbeit
Wahrung der Gleichheit, Diversität, Gesundheit und Sicherheit am Arbeitsplatz
Schutz des Arbeitgebereigentums und seiner Kunden
Wahrung von Individual- und Kollektivrechten.

Art 88 DSGVO ist eine „Öffnungsklausel“, welche die Datenverarbeitung nicht abschließend regelt. Vielmehr sind in Art 88 DSGVO nur Zielvorgaben für eine legislative Umsetzung. Spezifischere Vorgaben zum Beschäftigtendatenschutz sind durch Gesetz oder Kollektivvereinbarungen von den Mitgliedsstaaten zu regeln.

Die nationalen Vorgaben sollen vor allem regeln:

angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung,
die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und
die Überwachungs-Systeme am Arbeitsplatz.

In Österreich finden sich Bestimmungen für den Beschäftigtendatenschutz im Arbeitsverfassungsgesetz (ArbVG). Bei einem Normenkonflikt hat die DSGVO jedoch Vorrang (Anwendungsvorrang des Unionsrechts). Der österreichische Gesetzgeber hat unter anderem § 96 Abs 1 Z3 ArbVG geschaffen, welcher besagt, dass die „Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren“ die Zustimmung des Betriebsrates benötigen. Weiters regelt § 96a Abs 1 Z1 ArbVG, dass für die Einführung von automationsunterstützten Personaldatensystemen die fehlende Zustimmung des Betriebsrats durch eine Schlichtungsstelle ersetzt werden kann.

Zusammenfassend ist festzuhalten, dass Art 88 DSGVO Ziele setzt, die nationale Regelungen der Mitgliedsstaaten verlangen. Österreichische Regelungen dafür fehlen allerdings größtenteils.

Welche Risiken sind mit Verfahren zur Personalakte verbunden?

Viele Unternehmen nutzen eine spezielle Software im Personalmanagement, auch HR-Software genannt, um die Personalakte zu führen.

Leider sind solche Software-Lösungen meist nicht nur reich an Funktionen, sondern auch komplex in der Kontrolle des Datenschutzes.

Diese Kontrolle durch betriebliche bzw behördliche Datenschutzbeauftragte ist aber enorm wichtig. Denn die Berichte der Datenschutz-Aufsichtsbehörden zeigen regelmäßig Mängel auf im Bereich der Verarbeitung von Personaldaten.

Bevor Sie sich nun in der Prüfung von HR-Software-Modulen verlieren, sehen Sie sich in erster Linie die Knackpunkte an, die in der Praxis auffallen:

Digitale Personalakten müssen mindestens den gleichen Schutz wie klassische, papiergebundene Personalakten erhalten.
Dabei ist zu bedenken, dass die Vorteile der Digitalisierung wie die einfachere Durchsuchbarkeit und die Möglichkeit zur automatischen Datenanalyse gleichzeitig Datenschutz-Risiken darstellen.
Achten Sie deshalb darauf, dass die Berechtigungen zum Beispiel für Suchen und Analysen in HR-Modulen sehr restriktiv vergeben werden.
Zudem müssen Verantwortliche verhindern, dass Beschäftigte digitale Personalakten unter Umständen durch einen einfachen falschen Mausklick ungewollt „weitergeben“.
Verschlüsselung und Mehr-Faktor-Authentifizierung sind deshalb im Bereich der Personaldatenverarbeitung Pflicht. Kontrollieren Sie, ob die HR-Software entsprechende Funktionen vorsieht oder unterstützt.
Die Datenschutz-Prinzipien wie die Datenminimierung gelten auch in der Personaldatenverarbeitung. Möglichst viele Daten über Bewerber und Mitarbeiter anzuhäufen, ist zwar für Datenanalysen scheinbar von Vorteil, für den Datenschutz und die Compliance aber nicht.

Welchen Schutz braucht die Personalakte?

Die Maßnahmen für die Sicherheit der Verarbeitung müssen unter anderem der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen Rechnung tragen, wie Artikel 32 DSGVO darlegt.

Personaldaten oder Beschäftigtendaten haben einen hohen Schutzbedarf, geht es doch auch um Gesundheitsdaten oder Angaben zur Religionszugehörigkeit (besondere Kategorien personenbezogener Daten).

Für die Datensicherheit im Bereich der Personaldatenverarbeitung müssen somit Lösungen her, die ein hohes Schutzniveau bieten, also den Zugang zu der HR-Software und den Zugriff auf die elektronischen Personalakten wirksam schützen.

Die Konzepte für Aufbewahrung und Entsorgung der Personalakten müssen auch auf die Personaldatenverarbeitung und die digitalen Personalakten übertragen werden.

Die Mitarbeiter- und Bewerberdaten müssen also entsprechend rechtlicher bzw vertraglicher Vorgaben aufbewahrt und fristgerecht gelöscht werden.

Es gelten die Grundsätze nach Artikel 5 DSGVO, darunter die Speicherbegrenzung und die Datenminimierung.

Somit gibt es einige Knackpunkte in der Personaldatenverarbeitung, die häufig zu wenig Beachtung finden. Das sollte sich schnell ändern!

Datenschutzrecht oder Einsichtsrechte des Betriebsrats – Was wiegt stärker?
Zum Beitrag
Aufbewahrungsdauer und Löschung von Personalakten
Zum Beitrag
Personalfragebögen: Welche Fragen dürfen Arbeitgeber stellen?
Zum Beitrag

Unterweisungs-Vorlagen Datenschutz

Neue Cybersicherheits-Anforderungen durch NIS-2-Richtlinie!

Info & Bestellung
Datenschutz-Praxis

Vermeiden Sie Datenschutz-Probleme schon im Vorfeld!

Info & Bestellung
Mustersammlung Datenschutz

80 Vorlagen für den rechtssicheren Umgang mit Daten!

Info & Bestellung

Unterweisungs-Vorlagen Datenschutz

Neue Cybersicherheits-Anforderungen durch NIS-2-Richtlinie!

Info & Bestellung
Datenschutz-Praxis

Vermeiden Sie Datenschutz-Probleme schon im Vorfeld!

Info & Bestellung
Mustersammlung Datenschutz

80 Vorlagen für den rechtssicheren Umgang mit Daten!

Info & Bestellung

Datenschutz für die digitale Personalakte

Verfahren rund um die Personalakte unterliegen den allgemeinen Vorgaben der DSGVO und des DSG. Datenschutzbeauftragte sollten hier die Personalabteilung besonders sensibilisieren und Tipps für den Schutz von digitalen Personalakten geben.

Warum ist Datenschutz bei Personalakten so wichtig?

Was fordern DSGVO und nationale Vorgaben für die Personalakte?

Welche Risiken sind mit Verfahren zur Personalakte verbunden?

Welchen Schutz braucht die Personalakte?

Ähnliche Beiträge

Datenschutzrecht oder Einsichtsrechte des Betriebsrats – Was wiegt stärker?

Aufbewahrungsdauer und Löschung von Personalakten

Personalfragebögen: Welche Fragen dürfen Arbeitgeber stellen?

Produkt-Empfehlungen

Unterweisungs-Vorlagen Datenschutz

Datenschutz-Praxis

Mustersammlung Datenschutz

Produkt-Empfehlungen

Unterweisungs-Vorlagen Datenschutz

Datenschutz-Praxis

Mustersammlung Datenschutz