Datenschutz im Personalwesen / 3.1 Rechtliche Grundlagen

Bevor auf die Herausforderungen der digitalen Personalakte eingegangen wird, sollen zuerst grundsätzliche rechtliche Aspekte aufgezeigt werden. Neben datenschutzrechtlichen Anforderungen umfassen diese auch Rechte von Arbeitnehmern und das Mitbestimmungsrecht des Betriebsrats.

§ 26 BDSG

§ 26 BDSG bildet die Grundlage, auf der die Erhebung von personenbezogenen Daten eines Mitarbeiters stattfindet. Solche personenbezogene Daten sind u. a. das Stammdatenblatt, Urlaubsanträge, interne Leistungsbeurteilungen, Lohnabrechnungen, Unterlagen über die betriebliche Altersvorsorge, Arbeitszeugnisse, Bewerbungsunterlagen und Abmahnungen.

Art. 13 DSGVO

Art. 13 DSGVO normiert die Informationspflichten des Verantwortlichen gegenüber dem Betroffenen. Eine Benachrichtigungspflicht entsteht, wenn personenbezogene Daten erstmals bei einem Verantwortlichen gespeichert werden. Die Pflicht zur Information entfällt jedoch dann, wenn der Betroffene von der Speicherung oder Übermittlung der personenbezogenen Daten auf anderem Wege bereits Kenntnis erlangt hat. Dies dürfte im Rahmen des Bewerbungs- und Einstellungsprozesses regelmäßig der Fall sein. Über die Datenverarbeitungen während des Beschäftigungsverhältnisses kann der Beschäftigte direkt im Arbeitsvertrag oder in einem gesonderten Merkblatt informiert werden.

 

Praxis-Beispiel

Datenspeicherung bei Bewerbungen

Mitarbeiter M bewirbt sich beim Unternehmen U. Er erhält eine Zusage und weiß aus dem Bewerbungsgespräch, dass und welche personenbezogenen Daten von ihm durch die Personalverwaltung gespeichert werden.

Nach 2 Jahren führt U zur betrieblichen Gesundheitsvorsorge elektronische Fitnessarmbänder, sog. Wearables, im Unternehmen ein, die u. a. Schrittzahl und Puls der Mitarbeiter verarbeiten. Da nun erstmalig Gesundheitsdaten erhoben werden, ist M in der notwendigen Einwilligungserklärung darüber zu informieren, welche Daten (ggf. durch welche Abteilung) verarbeitet werden. Sofern im Verarbeitungsprozess ein Subunternehmer (z. B. Cloud-Anbieter) ebenfalls Zugriff auf diese Daten hat, muss der Mitarbeiter auch hierüber informiert werden.

Art. 15 DSGVO: Auskunftsrecht

Art. 15 DSGVO normiert ganz allgemein das Auskunftsrecht eines Betroffenen. Der Verantwortliche muss dem Betroffen auf Verlangen folgende Informationen geben:

  • Zweck der Verarbeitung
  • Kategorien der verarbeiteten Daten
  • Empfänger der Daten
  • Dauer der Speicherung
  • Bestehen des Rechts auf Berichtigung, Löschung oder Einschränkung
  • Bestehen des Beschwerderechts bei einer Aufsichtsbehörde

Für die Personalverwaltung gilt hier ergänzend § 83 Abs. 1 BetrVG. Dort ist das Recht auf Einsicht in die eigene Personalakte geregelt.

Nach Art. 15 Abs. 3 DSGVO muss der Verantwortliche dem Betroffenen eine "Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind", zur Verfügung stellen. Diese Kopie muss bei erstmaliger Anfrage kostenlos übersendet werden. Erst für zusätzliche, weitere Kopien kann der Verantwortliche ein angemessenes Entgelt verlangen.

Der Auskunftsanspruch kann formlos geltend gemacht werden. In der Praxis wird der Anspruch oftmals per E-Mail an das Unternehmen herangetragen.

Identität der Person prüfen

Bevor eine Auskunftsanfrage beantwortet wird, sollte zwingend geprüft werden, ob die Identität der anfragenden Person feststeht. Über die sozialen Medien bzw. eine Namensliste oder Datei der Beschäftigten lässt sich schnell herausfinden, wer für welchen Arbeitgeber tätig ist. Wird ein Auskunftsersuchen über eine private, dem Unternehmen bislang nicht bekannte E-Mail-Adresse übermittelt, kann das Unternehmen nicht wissen, welche Person die Antwort erhalten würde. Das Unternehmen weiß also nicht, ob der "echte" Arbeitnehmer angefragt hat oder eine unberechtigte Person. Das Unternehmen ist daher gezwungen, einen Identitätsnachweis der betreffenden Person zu fordern. In der Praxis wird durch die Unternehmen hier meist eine Kopie des Ausweises oder des Führerscheins erfragt. Nur wenn die Identität durch Abgleich geklärt ist, sollte die Auskunft auch beantwortet werden. Die Identifikationsdokumente sollten nach Erteilung der Auskunft selbstverständlich vernichtet bzw. gelöscht werden. Ist eine Aufklärung der Identität nicht möglich, so kann das Unternehmen die Auskunft verweigern (Art. 12 Abs. 2 Satz 2 DSGVO).

Konkretisierung der Anfrage

Gerade bei längerfristig Beschäftigten kann der Auskunftsanspruch eine unüberblickbare Sammlung von personenbezogenen Daten betreffen. Das Unternehmen wäre dann gezwungen, alle Systeme und Archive nach personenbezogenen Daten zu durchsuchen, was sehr viel Zeit in Anspruch nehmen kann. Diesem Umstand hat der Verordnungsgeber in Erwägungsgrund Nr. 63 Satz 7 Rechnung getragen. Wenn eine "große Menge von Informationen über die betroffene Person" verarbeitet wird, so kann der Arbeitgeber verlangen, dass die anfragende Person eine allgemeine Anfrage präzisiert. Im Falle von allgemeinen Anfragen erscheint es daher immer sinnvoll, mit der anfragenden Person Rücksprache zu halten, auf welche Verarbeitu...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge