Die digitale Personalakte / 3.1.7 Software as a Service-Lösung (SaaS-Lösung)

In der Praxis werden Unternehmen die Umsetzung der digitalen Personalakte häufig nicht selbst vornehmen, sondern vielmehr auf Softwareprodukte von Drittanbietern zurückgreifen. Bei der Auswahl eines passenden Anbieters gilt es eine Reihe von Punkten zu berücksichtigen:

So sollte zunächst sichergestellt werden, dass der Anbieter adäquate Mechanismen zum Umgang mit Anfragen von Mitarbeitern im Rahmen ihrer Betroffenenrechte bereithält. Die Erteilung von Auskünften und die Übermittlung einer digitalen Kopie der entsprechenden personenbezogenen Daten sollte problemlos möglich sein.

Sofern die Daten in einer Cloud gespeichert werden sollen, ist zu ermitteln, wo die Daten geographisch gespeichert werden. Im Idealfall sollten sich die Server des Anbieters innerhalb der Europäischen Union (EU) beziehungsweise dem Europäischen Wirtschaftsraums (EWR) befinden. Sofern dies nicht der Fall ist, ist eine Übermittlung von personenbezogenen Daten der Beschäftigten nur zulässig, wenn eine entsprechende Rechtsgrundlage vorliegt. Gemäß der DSGVO dürfen personenbezogene Daten von Mitarbeitern grundsätzlich nur dann an Drittländer übermittelt werden, wenn das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird. So sind Datenübermittlungen^[1] nur dann zulässig, wenn

• ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt, der ein angemessenes Schutzniveau im Drittland bestätigt;
• geeignete Garantien gemäß Art. 46 DSGVO ergriffen werden, wie z. B. die Verwendung von Standarddatenschutzklauseln; oder
• eine der in Art. 49 DSGVO genannten Ausnahmen einschlägig ist, wie z. B. die Notwendigkeit der Übermittlung zur Vertragserfüllung oder eine Einwilligung der betroffenen Person.

Für die Übermittlung von personenbezogenen Daten an den Drittanbieter ist regelmäßig der Abschluss eines Vertrages über eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit erforderlich. Hier sollten z. B. technische und organisatorische Maßnahmen des Anbieters zum Schutz der übermittelten personenbezogenen Daten definiert werden.

[1] Vgl. Mitarbeiterdatenschutz bei Drittstaatentransfers.