Datenschutz für die digitale Personalakte
Verfahren rund um die Personalakte unterliegen den allgemeinen Vorgaben der DSGVO und des DSG. Datenschutzbeauftragte sollten hier die Personalabteilung besonders sensibilisieren und Tipps für den Schutz von digitalen Personalakten geben.
Warum ist Datenschutz bei Personalakten so wichtig?
Wenn es einen Unternehmensbereich gibt, bei dem Datenverarbeitung fast immer Verarbeitung personenbezogener Daten bedeutet, dann ist es die Personalabteilung.
In der Personaldaten-Verarbeitung geht es unter anderem um
- Gehaltsabrechnung,
- Bewerber-Management,
- Talent-Management,
- Zeit- und Anwesenheits-Management,
- Urlaubsplanung,
- Personalplanung und
- Personalbedarfs-Analysen.
Viele personenbezogene Daten zu Beschäftigten werden in der Personalakte erfasst. Das gilt zum Beispiel für die Daten aus dem Bewerbungsverfahren, für den Arbeitsvertrag, Urlaubsanträge, mögliche Abmahnungen, Angaben zur Sozialversicherung, Steuerinformationen und Zeugnisse.
Zweifellos sind dies Dokumente und Daten, die eine besondere Vertraulichkeit erwarten lassen.
Was fordern DSGVO und nationale Vorgaben für die Personalakte?
Dem Artikel 88 DSGVO (Datenverarbeitung im Beschäftigungskontext) sind folgende Verarbeitungszwecke zu entnehmen:
- Einstellung und Beendigung des Arbeitsverhältnisses
- Erfüllung des Arbeitsvertrags
- Management, Planung und Organisation der Arbeit
- Wahrung der Gleichheit, Diversität, Gesundheit und Sicherheit am Arbeitsplatz
- Schutz des Arbeitgebereigentums und seiner Kunden
- Wahrung von Individual- und Kollektivrechten.
Art 88 DSGVO ist eine „Öffnungsklausel“, welche die Datenverarbeitung nicht abschließend regelt. Vielmehr sind in Art 88 DSGVO nur Zielvorgaben für eine legislative Umsetzung. Spezifischere Vorgaben zum Beschäftigtendatenschutz sind durch Gesetz oder Kollektivvereinbarungen von den Mitgliedsstaaten zu regeln.
Die nationalen Vorgaben sollen vor allem regeln:
- angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung,
- die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und
- die Überwachungs-Systeme am Arbeitsplatz.
In Österreich finden sich Bestimmungen für den Beschäftigtendatenschutz im Arbeitsverfassungsgesetz (ArbVG). Bei einem Normenkonflikt hat die DSGVO jedoch Vorrang (Anwendungsvorrang des Unionsrechts). Der österreichische Gesetzgeber hat unter anderem § 96 Abs 1 Z3 ArbVG geschaffen, welcher besagt, dass die „Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren“ die Zustimmung des Betriebsrates benötigen. Weiters regelt § 96a Abs 1 Z1 ArbVG, dass für die Einführung von automationsunterstützten Personaldatensystemen die fehlende Zustimmung des Betriebsrats durch eine Schlichtungsstelle ersetzt werden kann.
Zusammenfassend ist festzuhalten, dass Art 88 DSGVO Ziele setzt, die nationale Regelungen der Mitgliedsstaaten verlangen. Österreichische Regelungen dafür fehlen allerdings größtenteils.
Welche Risiken sind mit Verfahren zur Personalakte verbunden?
Viele Unternehmen nutzen eine spezielle Software im Personalmanagement, auch HR-Software genannt, um die Personalakte zu führen.
Leider sind solche Software-Lösungen meist nicht nur reich an Funktionen, sondern auch komplex in der Kontrolle des Datenschutzes.
Diese Kontrolle durch betriebliche bzw behördliche Datenschutzbeauftragte ist aber enorm wichtig. Denn die Berichte der Datenschutz-Aufsichtsbehörden zeigen regelmäßig Mängel auf im Bereich der Verarbeitung von Personaldaten.
Bevor Sie sich nun in der Prüfung von HR-Software-Modulen verlieren, sehen Sie sich in erster Linie die Knackpunkte an, die in der Praxis auffallen:
- Digitale Personalakten müssen mindestens den gleichen Schutz wie klassische, papiergebundene Personalakten erhalten.
- Dabei ist zu bedenken, dass die Vorteile der Digitalisierung wie die einfachere Durchsuchbarkeit und die Möglichkeit zur automatischen Datenanalyse gleichzeitig Datenschutz-Risiken darstellen.
- Achten Sie deshalb darauf, dass die Berechtigungen zum Beispiel für Suchen und Analysen in HR-Modulen sehr restriktiv vergeben werden.
- Zudem müssen Verantwortliche verhindern, dass Beschäftigte digitale Personalakten unter Umständen durch einen einfachen falschen Mausklick ungewollt „weitergeben“.
- Verschlüsselung und Mehr-Faktor-Authentifizierung sind deshalb im Bereich der Personaldatenverarbeitung Pflicht. Kontrollieren Sie, ob die HR-Software entsprechende Funktionen vorsieht oder unterstützt.
- Die Datenschutz-Prinzipien wie die Datenminimierung gelten auch in der Personaldatenverarbeitung. Möglichst viele Daten über Bewerber und Mitarbeiter anzuhäufen, ist zwar für Datenanalysen scheinbar von Vorteil, für den Datenschutz und die Compliance aber nicht.
Welchen Schutz braucht die Personalakte?
Die Maßnahmen für die Sicherheit der Verarbeitung müssen unter anderem der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen Rechnung tragen, wie Artikel 32 DSGVO darlegt.
Personaldaten oder Beschäftigtendaten haben einen hohen Schutzbedarf, geht es doch auch um Gesundheitsdaten oder Angaben zur Religionszugehörigkeit (besondere Kategorien personenbezogener Daten).
Für die Datensicherheit im Bereich der Personaldatenverarbeitung müssen somit Lösungen her, die ein hohes Schutzniveau bieten, also den Zugang zu der HR-Software und den Zugriff auf die elektronischen Personalakten wirksam schützen.
Die Konzepte für Aufbewahrung und Entsorgung der Personalakten müssen auch auf die Personaldatenverarbeitung und die digitalen Personalakten übertragen werden.
Die Mitarbeiter- und Bewerberdaten müssen also entsprechend rechtlicher bzw vertraglicher Vorgaben aufbewahrt und fristgerecht gelöscht werden.
Es gelten die Grundsätze nach Artikel 5 DSGVO, darunter die Speicherbegrenzung und die Datenminimierung.
Somit gibt es einige Knackpunkte in der Personaldatenverarbeitung, die häufig zu wenig Beachtung finden. Das sollte sich schnell ändern!