Elektronische Personalakte DSGVO-konform einsetzen

Verwaltungsaufwände einfach reduzieren

Personalakten beinhalten sensible personenbezogene Daten. Daher regelt unter anderem die DSGVO, unter welchen Voraussetzungen Informationen in Personalakten gespeichert werden dürfen. Elektronische Personalakten, die mit einer Software verwaltet werden, helfen Ihnen dabei, den Anforderungen an den Datenschutz leicht und rechtssicher nachzukommen.

Laut einer Studie von techconsult verwaltet bereits mindestens jedes dritte Unternehmen seine Personalakten elektronisch. So wird nicht nur Platz im Archiv geschaffen, gegenüber Papierakten haben digitale Personalakten dank der Automatisierung von Prozessen auch weitere Vorteile.

Beim Einsatz von digitalen Personalakten gibt es jedoch im Hinblick auf den Datenschutz einige Besonderheiten zu beachten. Was sind die Vorgaben der DSGVO für elektronische Personalakten? Welche technischen und organisatorischen Maßnahmen müssen Unternehmen in diesem Zusammenhang umsetzen? Antworten darauf gibt es in diesem Blogbeitrag.

Inhalt
Arten von Personalakten - elektronisch und Papier

Elektronische Personalakte vs. Papierakte

Einführungsprozess elektronischer Personalakten im Unternehmen

Einführung elektronischer Personalakten

Vergleich Personalakten in der Cloud und On-Premise

Cloud-Software oder On-premise?

Datenschutz für elektronische Personalakten nach DSGVO

Elektronische Personalakte DSGVO-konform einsetzen

Regelungen zur Aufbewahrung der elektronischen Personalakte

Aufbewahrungspflicht bei elektronischen Personalakten

Abschnitt 1

Elektronische Personalakte vs. Papierakte

Arten von Personalakten - elektronisch und Papier
Digitale Personalakten differenzieren sich inhaltlich nicht von der klassischen Papier-Variante. In puncto Verwaltung gibt es jedoch einige Unterschiede. Das sind die Vor- und Nachteile von elektronischen Personalakten:

Vorteile

Nachteile

Abschnitt 2

Einführung elektronischer Personalakten: DSGVO Voraussetzungen

Einführungsprozess elektronischer Personalakten im Unternehmen

Verbot mit Erlaubnisvorbehalt zur Verarbeitung von Mitarbeiterdaten

Die Datenverarbeitung im Rahmen von digitalen Personalakten unterliegt gemäß DSGVO einem Verbot mit Erlaubnisvorbehalt. Das bedeutet: Die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten ist nur dann rechtmäßig, wenn ein Gesetz oder die Erlaubnis der betroffenen Person diese rechtfertigen.

Sobald eine digitale Personalakte in ein Personalinformationssystem integriert wird, findet ein Übergang zur automatisierten Datenverarbeitung statt. Dieser Vorgang ist mit besonderen Anforderungen verknüpft. Bei elektronischen Personalakten ist eine Einwilligung der Mitarbeitenden in die Verarbeitung ihrer Daten notwendig. Diese muss schriftlich erfolgen und kann gegebenenfalls im Rahmen des Arbeitsvertrags eingeholt werden, sofern die entsprechende Passage deutlich hervorgehoben wird. Darüber hinaus gelten die allgemeinen Anforderungen der DSGVO an die Einholung von Einwilligungen.

Eine andere Möglichkeit, digitale Personalakten DSGVO-konform einzusetzen, ist die Regelung über eine Betriebsvereinbarung.

Mitbestimmungsrecht des Betriebsrats bei elektronischen Personalakten

Je nach Umfang einer digitalen Personalakte und den daraus resultierenden Nutzungsmöglichkeiten, kann die Einführung der elektronischen Personalakte mitbestimmungspflichtig sein.

Zweck von elektronischen Personalakten ist es nicht, die Leistungsfähigkeit von Mitarbeitenden zu überwachen oder zu bewerten. Dennoch protokollieren elektronische Systeme jeden Zugriff und ermöglichen Auswertungen. Der Betriebsrat stellt dabei sicher, dass die Beschäftigtendaten nur in notwendigem Umfang und für zulässige Zwecke verarbeitet werden.

Wenngleich es nicht zwingend notwendig ist, empfiehlt es sich daher immer, den Betriebsrat in den Entscheidungsprozess zur Einführung digitaler Personalakten einzubeziehen.

Prozesse in der Personalabteilung DSGVO-konform gestlaten
Personalakten, Bewerbung, Zeiterfassung und Co: Schulen Sie Ihr Team rechtssicher und leicht verständlich mit VINYAs Online-Kurs zum Datenschutz im Personalwesen.
E-Learning-Kurs Datenschutz Marketing Vertrieb
Abschnitt 3

Cloud-Software oder
On-Premises?

Vergleich Personalakten in der Cloud und On-Premise

Sofern Ihnen keine Inhouse-Softwarelösung zur Verwaltung der Mitarbeiterdaten zur Verfügung steht, ist der Einsatz von Drittsoftware für elektronische Personalakten unumgänglich. Die zentrale Frage dabei ist: Setze ich eine Cloud-Software oder eine On-Premises-Software ein? Denn je nach Wahl der Technologie müssen unterschiedliche datenschutzrechtliche Anforderungen beachtet werden.

Cloud-Software:
Die Cloud-Software wird von einem Hersteller entwickelt und über diesen zur Verfügung gestellt. In der Regel profitieren Sie hierbei nicht nur von einem reduzierten Einrichtungsaufwand, sondern auch von regelmäßigen Aktualisierungen der Software. Da die personenbezogenen Daten in diesem Fall auf dem Server des Herstellers verarbeitet werden und Ihr Unternehmen verlassen, sind beim Einsatz von cloudbasierter Software nach DSGVO besondere Auflagen zu beachten, die in einem Vertrag zur Auftragsverarbeitung fixiert werden müssen.

On-Premises-Software:
Bei dieser Variante wird die Software in Ihrem internen Rechenzentrum bzw. auf Ihren eigenen Servern installiert und betrieben. Um die Wartung und Aktualisierung der Software muss sich entsprechend selbst gekümmert werden. Ein Vorteil: Die personenbezogenen Daten ihrer Mitarbeitenden verlassen das Unternehmen nicht.

Abschnitt 4

Elektronische Personalakte DSGVO-konform einsetzen

Datenschutz für elektronische Personalakten nach DSGVO
Die Absicherung der Rechtmäßigkeit ist der erste Schritt zum DSGVO-konformen Einsatz von elektronischen Personalakten. Generell gelten beim Datenschutz von elektronischen Personalakten alle Anforderungen, die von der DSGVO an die Verarbeitung personenbezogener Daten gestellt werden. Gerade beim Einsatz von digitalen Akten gilt es, den Datenschutz- und die Datensicherheitsbestimmungen durch entsprechende technische und organisatorische Maßnahmen (TOMs) sicherzustellen. Damit gelten beim Umgang mit elektronischen Personalakten zusätzlich zu den allgemeinen datenschutzrechtlichen Anforderungen an Personalakten einige Besonderheiten:
cog-hand-give

Privacy by Design, Privacy by Default & Datenverschlüsselung:

Beim Einsatz einer Softwarelösung, egal ob inhouse oder durch einen Drittanbieter, werden digitale personenbezogene Daten über das Intra- oder Internet übermittelt. Betroffene IT-Systeme sind dabei so einzurichten, dass bei der Konzeption umfassende datenschutzrechtliche Maßnahmen berücksichtigt werden (Privacy by Design). Alle Voreinstellungen müssen das Höchstmaß an den Datenschutz gewährleisten (Privacy by Default). Um die Daten vor unbefugtem Zugriff zu schützen, ist dabei der digitale Datenverkehr zu verschlüsseln.

task-checklist-write

Risikobewertung und Datenschutzfolgenabschätzung:

Zu den personenbezogenen Mitarbeiterdaten, die in der Personalakte verarbeitet werden, gehören beispielsweise Gesundheitsdaten wie unter anderem Krankmeldungen. Nach DSGVO müssen für jede Datenverarbeitung, je nach Umfang und unter Berücksichtigung des verarbeitenden Systems (z. B. externer Softwareanbieter in der Cloud), eine Beurteilung des Risikos für Datenschutzvorfälle und eine Datenschutzfolgenabschätzung durchgeführt werden.

hierarchy-2

Verfahrensdokumentation:

Wie auch bei Personalakten in Papierform müssen alle getroffenen Maßnahmen zum Schutz der Datensicherheit für elektronische Personalakten in einem Verfahrensverzeichnis dokumentiert werden. Dabei sollte transparent beschrieben werden, welche technischen und organisatorischen Maßnahmen für die sichere digitale Verarbeitung getroffen werden.

archive-drawer

Lagerung und Zugang:

Personalakten müssen so gelagert werden, dass sie gegen Zerstörung oder Verlust geschützt sind. Für digitale Personalakten gelten daher besondere Anforderungen: Es muss für eine unterbrechungsfreie Stromversorgung (USV), regelmäßige Back-up-Routinen und ein Schutzkonzept vor Computer-Viren gesorgt werden. Nur Befugte dürfen Zutritt zu den Räumlichkeiten haben, in denen die Personalakten gelagert werden. Das gilt im Fall von elektronischen Personalakten entsprechend auch für Serverräume. Der Zugang zu einer digitalen Personalakte darf nur über einen persönlichen Log-in erfolgen. Dabei sollten entsprechende Richtlinien für die Passwortvergabe und IT-Sicherheit aufgestellt werden.

single-neutral-actions-process

Berechtigungskonzept:

Wichtig ist, dass der Zugriff auf Daten aus der Personalakte so eingeschränkt wird, dass nur Personen, die auch tatsächlich für ihre Verarbeitung autorisiert sind, auf sie zugreifen können. Diese von der DSGVO bestimmte Pflicht zur Zugriffskontrolle kann im Rahmen einer eingesetzten Softwarelösung durch das Einrichten eines Berechtigungskonzepts sichergestellt werden.

pencil-write-1

Notizen und Dokumentation:

Arbeitnehmer*innen haben das Recht, zu Unterlagen aus ihrer Personalakte Notizen anzufertigen. Dabei muss die Software sicherstellen, dass Notizen fest an das entsprechende Dokument gebunden werden. Elektronische Personalakten bieten dabei den Vorteil, dass Notizen digital hinterlegt werden können. Dadurch werden eventuelle Unklarheiten durch undeutliche Handschriften vermieden und eine bessere Lesbarkeit gegeben.

business-contract-approve

Auftragsverarbeitung:

Entscheidet sich ein Unternehmen dazu, Software von einem Drittanbieter zu beziehen, ist es zwingend erforderlich, einen Vertrag zur Auftragsverarbeitung aufzusetzen. In der Auftragsverarbeitung müssen Umfang, Dauer, Art und der Zweck der Verarbeitung vertraglich geregelt werden. Darüber hinaus werden die Rechte und Pflichten der Verantwortlichen festgelegt. Dazu gehört auch die Verpflichtung der berechtigen Mitarbeitenden des Dienstleisters zur Vertraulichkeit. Im Fall des Einsatzes einer On-Premises-Lösung ist eine Auftragsverarbeitung nicht zwingend notwendig, sofern die personenbezogenen Daten nur innerhalb des eigenen Unternehmens verarbeitet werden und Dienstleister unter keinen Umständen Einsicht in die Daten nehmen können.

Neben den beschriebenen Anforderungen, die nur für den Datenschutz digitaler Personalakten gelten, sind natürlich weiterhin die allgemeinen gesetzlichen Vorgaben an Personalakten jedweder Art zu erfüllen. Dazu gehören unter anderem:
  • Grundprinzipien zur Führung von Personalakten
  • Recht auf Einsicht
  • Aufbewahrungs- und Löschfristen
Pflichtunterweisungen mit VINYA automatisieren
Aufwände im Personalwesen einfach reduzieren: mit digitalen Unterweisungen und automatisiertem Schulungsmanagement.
Jährliche Unterweisung einrichten mit Software
Abschnitt 5

Aufbewahrungspflicht bei elektronischen Personalakten

Regelungen zur Aufbewahrung der elektronischen Personalakte

Die digitale Personalakte kann die Akte in Papierform jedoch nicht immer ersetzen. Denn digitale Dokumente zählen unter Umständen nicht als urkundlicher Beweis. Daher ist besondere Vorsicht geboten, wenn Sie analoge Dokumente unwiderruflich vernichten. Dass einige Dokumente zwingend einer Schriftform bedürfen, regelt § 126 BGB (Bürgerliches Gesetzbuch). Hierzu zählen zum Beispiel:

  • Arbeitsverträge
  • Aufhebungsverträge
  • Kündigungsverträge

Dokumente, die sozialversicherungsrechtlich relevant sind, sollten Sie unbedingt aufbewahren. Es empfiehlt sich, vor der Einführung von elektronischen Personalakten zu überprüfen, welche Dokumente weiterhin in Schriftform aufgehoben werden müssen. Sollten dabei Fragen offenbleiben, ziehen Sie Ihren/Ihre Datenschutzbeauftragte oder eine fachanwaltliche Beratung zurate.

Abschnitt 6

Fazit

Elektronische Personalakte nutzen - ein Fazit

Aus datenschutzrechtlicher Sicht bieten elektronische Personalakten eine große Unterstützung dabei, die Vorgaben der DSGVO einfach und konsequent zu erfüllen. Durch die Möglichkeiten zur Automatisierung werden Aufbewahrungsfristen und Zugriffsberechtigungen kontrolliert und eingehalten. So können Sie mit der Einführung von elektronischen Personalakten langfristig Aufwand sparen und gleichzeitig eine starke Rechtssicherheit gewährleisten.

Denken Sie daran, Ihre Mitarbeitenden über die automatisierte Datenverarbeitung zu informieren und sich eine DGSVO-konforme schriftliche Einwilligung einzuholen. Binden Sie Dienstleistungsunternehmen in Ihre Prozesse ein, vergessen Sie nicht, einen Vertrag zur Auftragsdatenverarbeitung schließen.

Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben. 

  • Weitere spannende Beiträge
    Über den Autor
    Manuel Schrenk VINYA
    Manuel Schrenk
    Manuel ist Gründer und Geschäftsführer von VINYA. Mit mehrjähriger Erfahrung im Management und strategischem Produktmanagement in der Softwareentwicklung beschäftigt Manuel sich mit den Chancen und Herausforderungen digitaler Arbeit. Ganz vorne stehen für ihn dabei die Themen Datenschutz und IT-Sicherheit. Manuel finden Sie auch hier:
    Jetzt zum Newsletter anmelden!
    Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
    Vielen Dank! Wir senden Ihnen eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.