Nils Müller

Das Führen einer elektronischen Personalakte ist unter Berücksichtigung der datenschutzrechtlichen Grundsätze zulässig.

3.1.1 Verlust des Beweiswerts

Grundsätzlich ist das Digitalisieren von Dokumenten mit rechtlichen Risiken verbunden, da sich der Beweiswert im Rechtsstreit verringert oder zumindest ungeklärt ist. Vor Gericht gilt eine Urkunde dann als vollständig und richtig, wenn sie im Original unterzeichnet ist.[1] Das Gericht kann allerdings durch Inaugenscheinnahme eines ausgedruckten Dokuments dessen Inhalt im Rahmen einer freien Beweiswürdigung werten.[2] Dies ist dem Gericht aber nicht in allen Verfahren(-steilen) möglich und hat nicht denselben Beweiswert wie eine Originalurkunde. Wenn das Dokument mit einer qualifizierten elektronischen Signatur[3] versehen ist, ist nach dem Gesetzeswortlaut des § 371a Abs. 1 ZPO im Grunde eine Gleichstellung zur Originalurkunde gewollt. Dennoch ist dies umstritten, da teilweise die Gerichte trotz des eindeutigen Wortlauts gegen den Beweiswert einer solchen Signatur entscheiden.[4]

Dokumente, bei denen der Verdacht einer Fälschung aufkommen könnte, die dem Beschäftigten nach Beendigung des Arbeitsverhältnisses auszuhändigen oder die grundsätzlich wichtig für ein Beschäftigtenverhältnis sind, sollten deshalb auch künftig sicherheitshalber in Papierform vorgehalten werden.

[3] § 2 Nr. 3 SigG,

Signaturgesetz v. 16.5.2001, BGBl. I S. 876.

[4] So z. B. in BGH, Beschluss v. 25.10.2007, I ZB 19/07, in dem eine Titelausfertigung mit qualifizierter elektronischer Signatur trotz des eindeutigen Wortlauts des § 317 Abs. 5 ZPO als für die Vollstreckung ungeeignet beurteilt wird; zur Thematik: Roßnagel/Wilke, NJW 2006, 2145.

3.1.2 Beweisverwertungsverbot im gerichtlichen Prozess

Sollen Informationen aus digitalen Personalakten im gerichtlichen Prozess verwendet werden, so z. B. in einem Kündigungsprozess, ist darauf zu achten, dass die vorgelegten Informationen nicht unter Verstoß des Datenschutzrechts erlangt worden sind. Dies hat das Bundesarbeitsgericht (BAG) ausdrücklich in seinem sog. Spind-Urteil festgestellt, welches allerdings vor Inkrafttreten der DSGVO ergangen ist.[1] Informationen, die unter Verstoß des heutigen § 26 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses) gewonnen werden, können demnach grundsätzlich einem sog. Beweisverwertungsverbot bzw. Zeugenvernehmungsverbot unterliegen. Diese Verbote ergeben sich, so das BAG, unmittelbar aus dem Verstoß gegen die datenschutzrechtliche Norm. Für die Personalabteilung bedeutet dies, dass das Datenschutzrecht und das allgemeine Persönlichkeitsrecht von Betroffenen unbedingt beachtet werden müssen. Dies gilt insbesondere für die Erhebung von Informationen, die gegen den Betroffenen verwendet werden sollen.

 
Praxis-Tipp

Bei Ermittlungen im Unternehmen ggf. Behörden oder Berater einschalten

Beim Erheben und Speichern von Beschäftigtendaten ist unbedingt darauf zu achten, dass datenschutzrechtliche Bestimmungen eingehalten werden. Im Zweifel sollte bei einer unternehmensinternen Ermittlung lieber früher als später eine staatliche Behörde oder ein rechtlicher Berater hinzugezogen werden.

[1] BAG, Urteil v. 20.6.2013, 2 AZR 546/12; im entschiedenen Fall ging es um die Rechtmäßigkeit einer Kündigung aufgrund des Verdachts von Diebstahlsdelikten.

3.1.3 Notwendigkeit einer Datenschutzfolgenabschätzung (Art. 35 DSGVO)

Vor der Inbetriebnahme eines digitalisierten Personalaktensystems sollte eine Risikoanalyse durchgeführt werden, um Risiken für die Rechte und Freiheiten der Beschäftigten zu identifizieren. Im Rahmen dieser Risikoanalyse muss zunächst der geplante Verarbeitungsvorgang zusammengefasst und beschrieben werden. Anschließend wird evaluiert, welche spezifischen Risiken mit der entsprechenden Verarbeitung einhergehen. Hier spielt es unter anderem eine Rolle, ob automatisierte Entscheidungsfindung verwendet wird, die erheblichen Einfluss auf den Betroffenen haben kann, ob Betroffene systematisch überwacht werden sollen, ob besondere Kategorien personenbezogener Daten verarbeitet werden oder ob Daten von vulnerablen Gruppen verarbeitet werden sollen (z. B. Minderjährige).

Ergibt diese Risiko-Analyse ein hohes Risiko, so muss eine Datenschutzfolgenabschätzung gemäß den Kriterien des Art. 35 DSGVO durchgeführt werden. Hier müssen zunächst die wichtigsten Informationen zum Verarbeitungsvorgang gesammelt und geprüft werden. So z. B., welche Rechtsgrundlage für die Verarbeitung herangezogen werden soll oder wie die Betroffenenrechte gewährleistet werden. Wird die Verarbeitung auf berechtigte Interessen gestützt, so sind die gegenläufigen Interessen zu nennen und konkret miteinander abzuwägen. Schließlich müssen zahlreiche Aspekte aus Sicht des Betroffenen betrachtet und Gegenmaßnahmen zur Verhinderung des Eintretens des Risikos definiert und ergriffen werden. So ist z. B. darauf einzugehen, wie ein unberechtigter Zugriff auf die Daten des Betroffenen verhindert werden soll, wie eine ungewollte Modifikation ausgeschlossen werden kann oder wie der Verlust personenbezogener Daten unterbunden werden soll.

3.1.4 Ordnungsgemäße Archivierung

Da au...

Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge