Einige Unternehmen in Deutschland führen ihre Personalakten noch stets in analoger papierbasierter Form. Dabei liegen allerdings die Mehrwerte einer digitalen Personalakte auf der Hand, wenn Maßnahmen zum Datenschutz, zur Informationssicherheit und zum „ersetzenden Scannen“ umgesetzt werden.

Datenschutz und IT-Sicherheit

Der Beschäftigtendatenschutz wird in Deutschland im Bundesdatenschutzgesetz (BDSG) geregelt. Der § 26 Abs. 8 beschreibt wer im Sinne des BDSG als Beschäftigte/r gilt – darunter zählen namentlich u. A. neben Arbeitnehmer/innen, Auszubildende, Heimarbeit-Beschäftigte auch Bewerber/innen und sogar Personen deren Beschäftigungsverhältnis beendet ist. So kann gesagt werden, dass alle Personengruppen über die in der Regel in Unternehmen Personalakten geführt werden vom § 26 BDSG umfasst sind.
Die personenbezogenen Daten der obengenannten Beschäftigten dürfen laut § 26 Abs. 1 BDSG verarbeitet werden, wenn dies für die Entscheidung (also der Bewerbungsprozess), Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Dabei orientiert sich der Maßstab der Erforderlichkeit in erster Linie an der unternehmerischen Entscheidungsfreiheit die Zwecke des Beschäftigungsverhältnisses zu bestimmen. Dabei muss alles was zur Ausübung von Weisungsrechten eines Arbeitgebers notwendig ist und nach den Grundsätzen des Arbeitsrechts erlaubt ist, aus datenschutzrechtlicher Sicht als erforderlich eingestuft werden. (Link: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/Ratgeber-ANDS-2.-Auflage.pdf)
Es spricht also per se nichts gegen die Einführung einer digitalen Personalakte, wenn sich der/die Unternehmer/in innerhalb der Bestimmungen des Arbeitsrechts, der Datenschutzgesetze (Datenschutzgrundverordnung (DSGVO), Bundesdatenschutz (BDSG)) aufhält.
Bereits vor der Entscheidungsfindung und bei der Umsetzung einer Anwendung zur Digitalisierung von Personalakten, sind aus unserer Sicht, unter Anderem folgenden Grundsätze und Artikel der DSGVO zu beachten:

  • Speicherbegrenzung gemäß Artikel 5 Abs. 1 lit. e DSGVO
  • Integrität und Vertraulichkeit gemäß Artikel 5 Abs. 1 lit. f DSGVO
  • Datenschutz durch Technikgestaltung gemäß Artikel 25 DSGVO
  • Datenschutz durch datenschutzfreundliche Voreinstellungen gemäß Artikel 25 DSGVO

Das heißt, dass ein/e Unternehmer/in bereits vor der Auswahl eines Produktes prüfen sollte, ob diese Grundsätze und Rechtsnormen mit der Software gewahrt werden können. Z. B. ob die Software gewährleisten kann, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist; können z. B. Teile der Personalakte wie eine Abmahnung nach 36 Monaten gelöscht werden? Kann die/der Unternehmer/in mit der Software die Integrität und Vertraulichkeit gewährleisten, in dem er z. B. die personenbezogenen Daten vor unbefugter Verarbeitung oder Verlust schützt? Kann z. B. bei Installation der Software der Datenschutz durch Voreinstellung gewahrt werden, sodass nicht die personenbezogenen Daten einer unbestimmten Zahl von Personen zugänglich gemacht werden. Vor Einführung einer neuen Anwendung sollte die/der Verantwortliche ebenfalls die IT-Sicherheit mitdenken. Hierbei gilt u. A., dass mindestens eine Verschlüsselung (z. B. Transportverschlüsselung) und auch eine Mehr-Faktor-Authentifizierung vorhanden sein sollten.
Vor der Einführung muss auf jeden Fall der/die Datenschutzbeauftragte und, sofern vorhanden, der Betriebsrat einbezogen werden.

Betroffenenrechte

Die im Kapitel III der Datenschutzgrundverordnung normierten Betroffenenrechte, zum Beispiel das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Vergessenwerden, müssen im Zuge der Produktauswahl ebenfalls vom Verantwortlichen berücksichtigt und sodann bei einem Einsatz des Produktes umgesetzt werden. So hat der Betroffene der Datenverarbeitung das Recht auf Berichtigung von unrichtigen Daten, hier muss daher unseres Erachtens ein Produkt gewählt werden, dass die Änderung von Datensätzen möglich macht. Für das Recht auf Löschung sieht es ähnlich aus: hier kann der Betroffene eine unverzügliche Löschung verlangen, wenn ihre/seine personenbezogenen Daten z. B. nicht mehr für die Zwecke, für die sie erhoben oder verarbeitet wurden, notwendig sind. Hier sollte also eine digitale Personalakte etabliert werden, die auch eine Löschung möglich macht. Das Recht auf Vergessenwerden geht noch ein Stück weiter: der Verantwortliche muss von sich aus personenbezogene Daten löschen, wenn sie zum Beispiel nicht mehr für die Zwecke, für die sie erhoben oder verarbeitet wurden, notwendig sind und kann sich somit nicht darauf berufen, dass ein Betroffener kein Löschbegehren gestellt hat. Die Berichtigungen und Löschung von personenbezogenen Daten bzw. Datensätzen in digitalen Personalakten darf selbstredend aber immer nur unter bestimmten Voraussetzungen, mit Blick auf den Grundsatz der Integrität und Vertraulichkeit gemäß Artikel 5 Abs. 1 lit. f DSGVO, möglich sein, so dass kein unbeabsichtigter Verlust oder unbeabsichtigte Schädigung entsteht.

Buchhalterische Aufbewahrungspflichten

Aufbewahrungspflichten typischer Dokumente einer Personalakte sind unter anderem folgende.

DokumentAufbewahrungspflichtRechtsgrundlage f. d. Aufb.Ersetzendes Scannen denkbar
Abmahnung36 Monate nach Erhebungst. Rspr.siehe unten
Bewerbung (außer bei Einstellung und ohne Einwilligun)6 Monate nach Erhebung§ 15 Abs. 4 AGGja
Gehaltsabrechnung6 Jahre nach Ende Kalenderjahr d. Beschäftigungsendes§ 257 Abs. 1 Nr. 1 und 4 HGB (Lohnsteuer)ja
Arbeitsvertrag3 Jahre nach Ende Kalenderjahr d. Beschäftigungsendes§ 195 BGBsiehe unten
Lohnjournal6 Jahre nach Ende Kalenderjahr d. Beschäftigungsendes§ 257 Abs. 1 Nr. 1 und 4 HGB (Lohnsteuer)ja
Arbeitsunfähigkeitsbescheinigung4 Jahre n. Ablauf der AU§ 6 AAGja

Die GoBD fordern, wie schon die alten BMF-Schreiben GPDdU und GoBS, die Erstellung einer Verfahrensdokumentation.

Ersetzend Scannen

In vielen Fällen ist ein datenschutzkonformes Vernichten nach dem Scannen möglich. Es sollte bedacht werden, dass gemäß §§ 415 ff Zivilprozessordnung der sogenannte Urkundsbeweis bei einer gerichtlichen Auseinandersetzung eventuell nur durch Vorlage des Originals in Papierform geführt werden kann. Gescannte Dokumente ermöglichen lediglich den Augenscheinsbeweis.
Falls ein/e Unternehmer/in ein Verfahren vor einem Gericht mit einem Vorsitzenden befürchtet, der im Rahmen der freien Beweiswürdigung die Beweise für nicht wahr erachtet, wäre ein Verbleib der Papierdokumente die sichere Wahl.
Allerdings stellt der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) klar, dass „kein Fall bekannt ist, bei dem sich die Vorlage eines archivierten Dokumentes statt eines Papieroriginals nachteilig für den Prozessbeteiligten ausgewirkt hätte.“ (Link: https://www.bitkom.org/sites/default/files/file/import/Stellungnahme-Beweiswert-Erhaltendes-Scannen.pdf, Seite 4, Abs. 2) Abgesehen von der Tatsache dürfen auf gar keinen Fall Dokumente vernichtet werden, die zwingend der Schriftform unterliegen. Diese Originaldokumente mit Unterschrift sind in der Regel:

  • Arbeitsverträge (laut  § 2 NachweisG)
  • Nachvertragliche Wettbewerbsverbote
  • Aufhebungsverträge
  • Kündigungsschreiben (laut § 623 BGB)

Eine weitere Empfehlung kann sein, dass die „Technische Richtlinie 03138 Ersetzendes Scannen“ (TR RESISCAN) einzuhalten ist. Hier werden technische Anforderungen an einen rechtssicheren Scanprozess beschrieben, die dem § 371b ZPO entsprechen sollen, im Zuge einer verbesserten Argumentation eines/r Unternehmers/in vor einem Gericht über die Beweiskraft der Dokumente, kann es auch für Unternehmer/innen zu mindestens förderlich sein die TR RESISCAN einzuhalten.

Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit. Für eine Umsetzung ist stets im Einzelfall eine Bewertung notwendig.