Elektronische Personalakte DSGVO-konform einsetzen
Personalakten beinhalten sensible personenbezogene Daten. Daher regelt unter anderem die DSGVO, unter welchen Voraussetzungen Informationen in Personalakten gespeichert werden dürfen. Elektronische Personalakten, die mit einer Software verwaltet werden, helfen Ihnen dabei, den Anforderungen an den Datenschutz leicht und rechtssicher nachzukommen.
Laut einer Studie von techconsult verwaltet bereits mindestens jedes dritte Unternehmen seine Personalakten elektronisch. So wird nicht nur Platz im Archiv geschaffen, gegenüber Papierakten haben digitale Personalakten dank der Automatisierung von Prozessen auch weitere Vorteile.
Beim Einsatz von digitalen Personalakten gibt es jedoch im Hinblick auf den Datenschutz einige Besonderheiten zu beachten. Was sind die Vorgaben der DSGVO für elektronische Personalakten? Welche technischen und organisatorischen Maßnahmen müssen Unternehmen in diesem Zusammenhang umsetzen? Antworten darauf gibt es in diesem Blogbeitrag.
Elektronische Personalakte vs. Papierakte
Einführung elektronischer Personalakten
Cloud-Software oder On-premise?
Elektronische Personalakte DSGVO-konform einsetzen
Aufbewahrungspflicht bei elektronischen Personalakten
Fazit
Elektronische Personalakte vs. Papierakte
Vorteile
- Reduzierung von Personalaufwand durch automatisierte Abläufe
- Zentrale, übersichtliche Datenverwaltung
- Mehr Transparenz für Mitarbeitende bei der Einsicht der eigenen Personalakte
- Erhöhung der Datensicherheit
- Einfache Verwaltung von Zugriffsrechten
- Einsparung von Papier, Ordnern etc.
Nachteile
- Einrichtungsaufwand für die Systemumstellung (einmaliger Aufwand)
- Erhöhte Anforderungen an die IT-Sicherheit
Einführung elektronischer Personalakten: DSGVO Voraussetzungen
Verbot mit Erlaubnisvorbehalt zur Verarbeitung von Mitarbeiterdaten
Die Datenverarbeitung im Rahmen von digitalen Personalakten unterliegt gemäß DSGVO einem Verbot mit Erlaubnisvorbehalt. Das bedeutet: Die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten ist nur dann rechtmäßig, wenn ein Gesetz oder die Erlaubnis der betroffenen Person diese rechtfertigen.
Sobald eine digitale Personalakte in ein Personalinformationssystem integriert wird, findet ein Übergang zur automatisierten Datenverarbeitung statt. Dieser Vorgang ist mit besonderen Anforderungen verknüpft. Bei elektronischen Personalakten ist eine Einwilligung der Mitarbeitenden in die Verarbeitung ihrer Daten notwendig. Diese muss schriftlich erfolgen und kann gegebenenfalls im Rahmen des Arbeitsvertrags eingeholt werden, sofern die entsprechende Passage deutlich hervorgehoben wird. Darüber hinaus gelten die allgemeinen Anforderungen der DSGVO an die Einholung von Einwilligungen.
Eine andere Möglichkeit, digitale Personalakten DSGVO-konform einzusetzen, ist die Regelung über eine Betriebsvereinbarung.
Mitbestimmungsrecht des Betriebsrats bei elektronischen Personalakten
Je nach Umfang einer digitalen Personalakte und den daraus resultierenden Nutzungsmöglichkeiten, kann die Einführung der elektronischen Personalakte mitbestimmungspflichtig sein.
Zweck von elektronischen Personalakten ist es nicht, die Leistungsfähigkeit von Mitarbeitenden zu überwachen oder zu bewerten. Dennoch protokollieren elektronische Systeme jeden Zugriff und ermöglichen Auswertungen. Der Betriebsrat stellt dabei sicher, dass die Beschäftigtendaten nur in notwendigem Umfang und für zulässige Zwecke verarbeitet werden.
Wenngleich es nicht zwingend notwendig ist, empfiehlt es sich daher immer, den Betriebsrat in den Entscheidungsprozess zur Einführung digitaler Personalakten einzubeziehen.
Cloud-Software oder
On-Premises?
Sofern Ihnen keine Inhouse-Softwarelösung zur Verwaltung der Mitarbeiterdaten zur Verfügung steht, ist der Einsatz von Drittsoftware für elektronische Personalakten unumgänglich. Die zentrale Frage dabei ist: Setze ich eine Cloud-Software oder eine On-Premises-Software ein? Denn je nach Wahl der Technologie müssen unterschiedliche datenschutzrechtliche Anforderungen beachtet werden.
Cloud-Software:
Die Cloud-Software wird von einem Hersteller entwickelt und über diesen zur Verfügung gestellt. In der Regel profitieren Sie hierbei nicht nur von einem reduzierten Einrichtungsaufwand, sondern auch von regelmäßigen Aktualisierungen der Software. Da die personenbezogenen Daten in diesem Fall auf dem Server des Herstellers verarbeitet werden und Ihr Unternehmen verlassen, sind beim Einsatz von cloudbasierter Software nach DSGVO besondere Auflagen zu beachten, die in einem Vertrag zur Auftragsverarbeitung fixiert werden müssen.
On-Premises-Software:
Bei dieser Variante wird die Software in Ihrem internen Rechenzentrum bzw. auf Ihren eigenen Servern installiert und betrieben. Um die Wartung und Aktualisierung der Software muss sich entsprechend selbst gekümmert werden. Ein Vorteil: Die personenbezogenen Daten ihrer Mitarbeitenden verlassen das Unternehmen nicht.
Elektronische Personalakte DSGVO-konform einsetzen
Privacy by Design, Privacy by Default & Datenverschlüsselung:
Beim Einsatz einer Softwarelösung, egal ob inhouse oder durch einen Drittanbieter, werden digitale personenbezogene Daten über das Intra- oder Internet übermittelt. Betroffene IT-Systeme sind dabei so einzurichten, dass bei der Konzeption umfassende datenschutzrechtliche Maßnahmen berücksichtigt werden (Privacy by Design). Alle Voreinstellungen müssen das Höchstmaß an den Datenschutz gewährleisten (Privacy by Default). Um die Daten vor unbefugtem Zugriff zu schützen, ist dabei der digitale Datenverkehr zu verschlüsseln.
Risikobewertung und Datenschutzfolgenabschätzung:
Zu den personenbezogenen Mitarbeiterdaten, die in der Personalakte verarbeitet werden, gehören beispielsweise Gesundheitsdaten wie unter anderem Krankmeldungen. Nach DSGVO müssen für jede Datenverarbeitung, je nach Umfang und unter Berücksichtigung des verarbeitenden Systems (z. B. externer Softwareanbieter in der Cloud), eine Beurteilung des Risikos für Datenschutzvorfälle und eine Datenschutzfolgenabschätzung durchgeführt werden.
Verfahrensdokumentation:
Wie auch bei Personalakten in Papierform müssen alle getroffenen Maßnahmen zum Schutz der Datensicherheit für elektronische Personalakten in einem Verfahrensverzeichnis dokumentiert werden. Dabei sollte transparent beschrieben werden, welche technischen und organisatorischen Maßnahmen für die sichere digitale Verarbeitung getroffen werden.
Lagerung und Zugang:
Personalakten müssen so gelagert werden, dass sie gegen Zerstörung oder Verlust geschützt sind. Für digitale Personalakten gelten daher besondere Anforderungen: Es muss für eine unterbrechungsfreie Stromversorgung (USV), regelmäßige Back-up-Routinen und ein Schutzkonzept vor Computer-Viren gesorgt werden. Nur Befugte dürfen Zutritt zu den Räumlichkeiten haben, in denen die Personalakten gelagert werden. Das gilt im Fall von elektronischen Personalakten entsprechend auch für Serverräume. Der Zugang zu einer digitalen Personalakte darf nur über einen persönlichen Log-in erfolgen. Dabei sollten entsprechende Richtlinien für die Passwortvergabe und IT-Sicherheit aufgestellt werden.
Berechtigungskonzept:
Wichtig ist, dass der Zugriff auf Daten aus der Personalakte so eingeschränkt wird, dass nur Personen, die auch tatsächlich für ihre Verarbeitung autorisiert sind, auf sie zugreifen können. Diese von der DSGVO bestimmte Pflicht zur Zugriffskontrolle kann im Rahmen einer eingesetzten Softwarelösung durch das Einrichten eines Berechtigungskonzepts sichergestellt werden.
Notizen und Dokumentation:
Arbeitnehmer*innen haben das Recht, zu Unterlagen aus ihrer Personalakte Notizen anzufertigen. Dabei muss die Software sicherstellen, dass Notizen fest an das entsprechende Dokument gebunden werden. Elektronische Personalakten bieten dabei den Vorteil, dass Notizen digital hinterlegt werden können. Dadurch werden eventuelle Unklarheiten durch undeutliche Handschriften vermieden und eine bessere Lesbarkeit gegeben.
Auftragsverarbeitung:
Entscheidet sich ein Unternehmen dazu, Software von einem Drittanbieter zu beziehen, ist es zwingend erforderlich, einen Vertrag zur Auftragsverarbeitung aufzusetzen. In der Auftragsverarbeitung müssen Umfang, Dauer, Art und der Zweck der Verarbeitung vertraglich geregelt werden. Darüber hinaus werden die Rechte und Pflichten der Verantwortlichen festgelegt. Dazu gehört auch die Verpflichtung der berechtigen Mitarbeitenden des Dienstleisters zur Vertraulichkeit. Im Fall des Einsatzes einer On-Premises-Lösung ist eine Auftragsverarbeitung nicht zwingend notwendig, sofern die personenbezogenen Daten nur innerhalb des eigenen Unternehmens verarbeitet werden und Dienstleister unter keinen Umständen Einsicht in die Daten nehmen können.
- Grundprinzipien zur Führung von Personalakten
- Recht auf Einsicht
- Aufbewahrungs- und Löschfristen
Aufbewahrungspflicht bei elektronischen Personalakten
Die digitale Personalakte kann die Akte in Papierform jedoch nicht immer ersetzen. Denn digitale Dokumente zählen unter Umständen nicht als urkundlicher Beweis. Daher ist besondere Vorsicht geboten, wenn Sie analoge Dokumente unwiderruflich vernichten. Dass einige Dokumente zwingend einer Schriftform bedürfen, regelt § 126 BGB (Bürgerliches Gesetzbuch). Hierzu zählen zum Beispiel:
- Arbeitsverträge
- Aufhebungsverträge
- Kündigungsverträge
Dokumente, die sozialversicherungsrechtlich relevant sind, sollten Sie unbedingt aufbewahren. Es empfiehlt sich, vor der Einführung von elektronischen Personalakten zu überprüfen, welche Dokumente weiterhin in Schriftform aufgehoben werden müssen. Sollten dabei Fragen offenbleiben, ziehen Sie Ihren/Ihre Datenschutzbeauftragte oder eine fachanwaltliche Beratung zurate.
Fazit
Aus datenschutzrechtlicher Sicht bieten elektronische Personalakten eine große Unterstützung dabei, die Vorgaben der DSGVO einfach und konsequent zu erfüllen. Durch die Möglichkeiten zur Automatisierung werden Aufbewahrungsfristen und Zugriffsberechtigungen kontrolliert und eingehalten. So können Sie mit der Einführung von elektronischen Personalakten langfristig Aufwand sparen und gleichzeitig eine starke Rechtssicherheit gewährleisten.
Denken Sie daran, Ihre Mitarbeitenden über die automatisierte Datenverarbeitung zu informieren und sich eine DGSVO-konforme schriftliche Einwilligung einzuholen. Binden Sie Dienstleistungsunternehmen in Ihre Prozesse ein, vergessen Sie nicht, einen Vertrag zur Auftragsdatenverarbeitung schließen.
Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben.
E-Learning im Krankenhaus: So nutzen Sie Potenziale digitaler Lösungen
Digitale Lösungen erhalten in immer umfassenderen Bereichen des Gesundheitswesens Einzug. Auch im Rahmen des betrieblichen Lernens bietet der Einsatz von E-Learning großes Potenzial, Unternehmensprozesse effizienter und nachhaltiger zu gestalten…
E-Mail-Marketing trotz DSGVO? Ein Leitfaden für die Praxis
95% der Online-Shops setzen E-Mail-Marketing in der Vermarktung ein. Entsprechend viele E-Mails trudeln täglich in die Postfächer ein. So werden rund 50% aller empfangenen E-Mails…
Ratgeber: Welche Unterweisungen sind Pflicht?
Sie hören Begriffe wie Mitarbeiterunterweisung, gesetzliche Grundlage, Bußgelder und Datenschutzschulung immer wieder und stellen sich die Frage…