Die voranschreitende Digitalisierung der Geschäftsprozesse betrifft ebenfalls die Datenverarbeitungen in der Personalabteilung. Neben Systemen zur Zeiterfassung erfolgt in Unternehmen und Behörden zunehmend die Einführung der digitalen Personalakte. In diesem Zusammenhang stellen sich oftmals die Fragen der datenschutzrechtlichen Anforderungen sowie die Grenzen einer möglichen Digitalisierung. Der nachfolgende Beitrag gibt einen kurzen Einblick und soll bestehende Unsicherheiten auflösen.

Allgemeines zur (digitalen) Personalakte

Für privatwirtschaftliche Unternehmen besteht in der Regel keine gesetzliche Pflicht zur Führung einer Personalakte. Für öffentliche Stellen kann sich eine solche aus dem jeweiligen Landesrecht ergeben. In Sachsen regelt beispielsweise die Verwaltungsvorschrift (VwV) Personalakten „das Verfahren der Führung und Verwaltung von Personalakten der Angestellten, Arbeiter und der zu ihrer Ausbildung Beschäftigten im öffentlichen Dienst des Freistaates Sachsen“ und verweist größtenteils auf die Regelungen des Sächsischen Beamtengesetzes.

Soweit eine Verpflichtung zur Führung von Personalakten besteht oder solche freiwillig geführt werden, ist die Aufnahme von Vorgängen und Dokumentationen an den seitens der Rechtsprechung entwickelten Regeln des Personalaktenrechts auszurichten. Dabei gelten insbesondere die Grundsätze der Transparenz, der Richtigkeit, der Zulässigkeit und der Vertraulichkeit der darin befindlichen Informationen. Vertraulichkeit bedeutet in diesem Zusammenhang auch, dass die jeweiligen Informationen auch intern ausschließlich für zulässige Zwecke verwendet werden dürfen und entsprechend der hohen Schutzbedürftigkeit mit angemessenen technischen und organisatorischen Maßnahmen vor unbefugter Kenntnisnahme zu schützen sind.

Inhaltlich beschränkt sich die Personalakte in der Regel auf die für die Durchführung des Beschäftigten- bzw. Dienstverhältnisses erforderlichen Informationen, wobei sich die Rechtsgrundlage für die Verarbeitung personenbezogener Daten aus § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) bzw. für öffentliche Stellen aus länderspezifischen Regelungen wie § 11 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) ergibt. Arbeitsunfähigkeitsbescheinigungen sollten aufgrund Ihrer Sensibilität als Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DS-GVO sowie wegen der abweichenden Aufbewahrungsfrist von maximal vier Jahren (§ 6 Abs. 1 Aufwendungsausgleichgesetz), nicht in der Personalakte aufbewahrt werden.

Die parallele Führung von Personalakten, beispielsweise durch den Betriebs- bzw. Personalrat oder durch die Personalabteilung in analoger und digitaler Form zugleich, verbietet sich bereits aufgrund des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO. Eine Führung von Teilakten durch verschiedene zuständige Personen ist möglich.

Einbindung von Dienstleistern

Im Rahmen der Einführung von digitalen Personalakten ist grundsätzlich eine Einbindung von externen Dienstleistern möglich. Beispielswiese kommen hierbei Unternehmen in Betracht, welche eine Digitalisierung der analogen Bestandsakten vornehmen oder welche im Rahmen von Support-Anfragen auf die Systeme Zugriff erhalten. Dabei ist jedoch zu berücksichtigen, dass diese Tätigkeiten in der Regel eine Auftragsverarbeitung im Sinne des Art. 28 DS-GVO darstellen und es hierfür eines entsprechenden Vertrages zur Auftragsverarbeitung bedarf.

Zu beachten ist dabei insbesondere die Regelung des Art. 28 Abs. 1 DS-GVO, wonach die verantwortliche Stelle ausschließlich mit Auftragsverarbeitern arbeitet, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Aufgrund der regelmäßig hohen Schutzbedürftigkeit von personenbezogenen Daten innerhalb einer Personalakte, sollte hierbei bereits vorab eine besonders strenge Prüfung erfolgen.

Aufbewahrung von Unterlagen im Original

Wie bereits dargestellt, verbietet sich eine grundsätzliche Aufbewahrung von digitalisierten Unterlagen zusätzlich im Original bereits aufgrund des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO. Darin heißt es: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“

Eine Erforderlichkeit zur Aufbewahrung im Original ergibt sich regelmäßig für Dokumente, welche zwingend dem Schriftformerfordernis gemäß § 126 BGB unterliegen. Hierzu gehören beispielsweise der Arbeitsvertrag, Aufhebungsverträge sowie Kündigungsschreiben. Durch das Scannen der entsprechenden Unterlagen bleibt zwar zunächst die Schriftform gewahrt, jedoch kann im Zweifelsfall nicht der Urkundsbeweis nach den §§ 415 ff. ZPO erbracht werden. Hierfür ist zwingend die Vorlage des Originals in Papierform erforderlich.

Selbiges gilt auch bei der Einführung der digitalen Personalakte durch öffentliche Stellen. Hierbei kann stellvertretend auf eine Entscheidung des Verwaltungsgerichts Köln (Urt. v. 15. Dezember 2016, Az.: 15 K 5144/16) verwiesen werden, welches zu digitalen Personalakten von Beamten auf Bundesebene wie folgt ausführte: „Die Entscheidung, in welcher Form der Dienstherr Personalakten führt, liegt in seinem Organisationsermessen. […] Denn bei der vom Gesetz zugelassenen vollständigen elektronischen Aktenführung entfällt die Notwendigkeit, eine papierne Akte nebenher vorzuhalten. Aus der Begründung des Gesetzes, […]  lässt sich entnehmen, dass eine parallele Führung gleicher Aktenteile in Papierform und in elektronischer Form grundsätzlich zu vermeiden ist und eine ausschließliche elektronische Führung in Betracht zu ziehen ist, wenn die erforderlichen technischen Voraussetzungen (etwa eine qualifizierte elektronische Signatur) vorliegen.“

Umsetzung von Löschfristen

Ein Vorteil der digitalen Personalakte liegt – je nach Funktionsumfang des gewählten Systems – in einer automatisierten Umsetzung von Löschfristen. Gemäß Art. 17 Abs. 1 lit. a) DS-GVO sind personenbezogene Daten regelmäßig zu löschen, soweit diese für die Verarbeitungszwecke nicht mehr erforderlich sind und gemäß Art. 17 Abs. 3 lit. b) DS-GVO keiner gesetzlichen Aufbewahrungspflichten unterliegen. Im Falle von Beschäftigtendaten können die gesetzlichen Aufbewahrungsfristen variieren. Während Dokumente und Unterlagen arbeitsrechtlicher Natur einer regelmäßigen Aufbewahrungsfrist von drei Jahren unterliegen, sind lohnsteuerrelevante Unterlagen für einen Zeitraum von bis zu sechs Jahren aufzubewahren.

Weitere Informationen zum Thema gesetzliche Aufbewahrungsfristen und Löschung personenbezogener Daten erhalten Sie in unserem Blog-Beitrag „Löschpflicht vs. Aufbewahrungsfrist“ sowie in unseren Informationsmaterialien „Aufbewahrung – Datenschutzrechtliche Grundlagen und Informationen hinsichtlich der Verpflichtung zur Löschung von personenbezogenen Daten unter Berücksichtigung gesetzlicher Aufbewahrungsfristen“.

Gewährleistung des Einsichtsrechts

Arbeitnehmern steht gemäß § 83 Abs. 1 Satz 1 Betriebsverfassungsgesetz (BetrVG) ein Einsichtsrecht in die ihnen betreffende Personalakte zu. Der Anspruch besteht grundsätzlich parallel zum datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DS-GVO. Die Einführung einer digitalen Personalakte steht den gesetzlichen Ansprüchen nicht im Wege, kann bei entsprechender Etablierung der hierfür notwendigen Prozesse und Bereitstellung von Ressourcen sogar einfacher realisiert werden: Durch eine (gesicherte) Abrufmöglichkeit der digitalen Personalakte steht den Arbeitnehmern eine jederzeitige ortsunabhängige Möglichkeit zur Einsichtnahme in die Personalakte zur Verfügung. Demnach wird die Einsicht im Büro der Personalabteilung und unter Anwesenheit einer Person der Personalabteilung obsolet.

Fazit

Mit der Einführung der digitalen Personalakte können datenschutzrechtliche Besonderheiten verknüpft sein, welche jedoch gemeinsam mit dem Datenschutzbeauftragten leicht zu bewältigen sind. Insbesondere bei der Einbindung externer Dienstleister und der Umsetzung technischer und organisatorischer Maßnahmen sollte der Sensibilität und Schutzbedürftigkeit der personenbezogenen Daten der Personalakte angemessen Rechnung getragen werden. Darüber hinaus gelten für die digitale Personalakte die auch im Rahmen der analogen Personalakte anzuwendenden Regelungen des Personalaktenrechts.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WELCHES ZIEL VERFOLGT DAS GESETZ?

Das Gesetz verfolgt vorrangig die Stärkung der Arbeit der Betriebsräte und soll eine Vereinfachung von Betriebsratswahlen herbeiführen. Ausweislich der Entwurfsbegründung sollen u.a. für die Teilnahme an Betriebsratssitzungen mittels Video- oder Telefonkonferenz für die Betriebsratsarbeit sachgerechte und dauerhafte Regelung geschaffen werden, die zugleich einen wesentlichen Beitrag zur Digitalisierung der Betriebsratsarbeit leisten. Auf Grund der Vergleichbarkeit der Regelungsmaterie soll die dauerhafte Möglichkeit der Nutzung virtueller Sitzungsformate auch für die Personalvertretungen auf Bundesebene geschaffen werden.

Daneben soll auch die datenschutzrechtliche Verantwortlichkeit nach der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) bei der Verarbeitung personenbezogener Daten durch den Betriebsrat gesetzlich klargestellt werden. Hierauf soll im Folgenden näher eingegangen werden:

WELCHE DATENSCHUTZRECHTLICHE REGELUNG WIRD GETROFFEN?

Der Gesetzgeber beabsichtigt zur Klarstellung der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers bei der Verarbeitung personenbezogener Daten durch den Betriebsrat eine gesetzliche Regelung zu schaffen. Konkret wird der folgende § 79a Betriebsverfassungsgesetz (BetrVG) eingeführt:

§ 79a
(Datenschutz)

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

WIRD FÜR RECHTSKLARHEIT GESORGT?

Zunächst erfolgt mit § 79a Satz 1 BetrVG eine eher klarstellende Regelung. So nimmt der Gesetzgeber den Betriebsrat dergestalt in die Pflicht, dass dieser bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Aus der Entwurfsbegründung lässt sich entnehmen, dass die Verarbeitung personenbezogener, mitunter sensibler Beschäftigtendaten zum Kernbereich der Aufgabenerfüllung der Betriebsräte zählt. Ihnen kommt daher eine besondere Verantwortung für die Einhaltung der datenschutzrechtlichen Vorschriften zu. Aufgrund der sich aus der DS-GVO ergebenden Verpflichtung zur Einhaltung der Grundsätze zur Datenverarbeitung, insbesondere aus Art. 5 DS-GVO, dient der Satz 1 zur Klarstellung der Verpflichtungen seitens des Betriebsrates.

Ferner macht der Gesetzgeber mit der Regelung des § 79a Satz 2 BetrVG von der Öffnungsklausel des Art. 4 Nr. 7 Halbsatz 2 DS-GVO Gebrauch. Diesbezüglich führt die Entwurfsbegründung an, dass die datenschutzrechtliche Verantwortlichkeit des Arbeitgebers für die Verarbeitung personenbezogener Daten durch den Betriebsrat sachgerecht ist, weil der Betriebsrat lediglich organisationsintern, jedoch keine nach außen rechtlich verselbständigter Institution ist. Bei der Verarbeitung personenbezogener Daten agieren die Betriebsräte als institutionell unselbständiger Teil des für die Einhaltung des Datenschutzes verantwortlichen Arbeitgebers. Ferner soll die Regelung die bislang bestehende, seit dem Inkrafttreten der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) jedoch umstrittene Rechtslage fortführen und der Schaffung von Rechtsklarheit dienen. Durch die Regelung wird also der Versuch unternommen, die Verantwortlichkeit für Datenverarbeitungen, welche im Rahmen der Betriebsratsarbeit durchgeführt werden, dem Arbeitgeber zu unterstellen. Die Schaffung von Rechtsklarheit zielt hier im Wesentlichen auf den anhalten Streit um die Frage, ob Mitarbeitervertretungen wie beispielsweise der Betriebsrat als eigenständige Verantwortliche anzusehen oder eben als Teil des verantwortlichen Arbeitgebers einzustufen sind.

Kritisch über den Gesetzesentwurf äußerte sich bereits die Gesellschaft für Datenschutz und Datensicherheit e.V. in ihrer Stellungnahme vom 11. Februar 2021.

Ausweislich der Begründung des Gesetzesentwurfs zu § 79a BetrVG besteht keine Pflicht seitens des Betriebsrates ein eigenes Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO zu führen. Gleichzeitig ergeht der Hinweis, dass das Verarbeitungsverzeichnis des Arbeitgebers gleichermaßen die Verarbeitungstätigkeiten des Betriebsrates enthalten muss. Dies wirft mit Sicherheit in der Praxis Fragen dergestalt auf, wie der Verantwortliche in Fällen des mangelnden Informationsflusses zwischen Betriebsrat und Arbeitgeber beispielsweise aufgrund angespannter Verhältnisse, die gemäß Art. 30 DS-GVO erforderlichen Informationen beibringen kann.

Ähnliches dürfte bei der Erfüllung der Betroffenenrechte aus dem Kapitel III der DS-GVO – hier hebt die Entwurfsbegründung explizit das Auskunftsrecht (Art. 15 DS-GVO) hervor – sowie, ohne dass in der Entwurfsbegründung näher darauf eingegangen wird, die Behandlung von Datenschutzverletzungen und damit einhergehenden Melde- und Informationspflichten der Art. 33 und Art. 34 DS-GVO gelten. In diesen Fällen ist der Arbeitgeber unbestreitbar auf Mit- bzw. Zuarbeit des Betriebsrates angewiesen, wenn sich die geltend gemachten Rechte bzw. die eingetretenen Datenschutzverletzungen auf durch den Betriebsrat verarbeitete personenbezogene Daten beziehen. Dies gilt nicht zuletzt vor den gesetzlich normierten Fristen zur Bearbeitung.  

Im Gegensatz zu den oben genannten Konstellationen führt die Entwurfsbegründung anschließend jedoch aus, dass der Betriebsrat innerhalb seines Zuständigkeitsbereichs eigenverantwortlich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24 und 32 DS-GVO sicherzustellen hat. Im Gegensatz stehen diese Ausführungen deshalb, da Art. 24 und Art. 32 DS-GVO – ebenso wie Art. 30 und Art. 15 DS-GVO – den Verantwortlichen, also gemäß den eingangs geschilderten Regelungen den Arbeitgeber und gerade nicht den Betriebsrat, verpflichten. Diese unterschiedliche Begründungshaltung verwundert doch zunächst.

Fraglich bleibt bei diesem nicht stringenten Begründungsverhalten weiterhin, wie beispielsweise im Rahmen von Schadenersatzansprüchen durch Betroffene gemäß Art. 82 DS-GVO oder Bußgeldsanktionierungen durch die Aufsichtsbehörde gemäß Art. 83 DS-GVO zu verfahren ist.

In der Vergangenheit wurde bereits in Thüringen für die Personalvertretung in § 80 Thüringer Personalvertretungsgesetz (ThürPersVG) eine „vergleichbare“ Regelung erlassen. Diese sieht vor, dass der Personalrat einen Datenschutzbeauftragten zu bestellen habe. Insofern man die entsprechenden europäischen Grundlagen der Art. 37 Abs. 1 DS-GVO bzw. Art. 37 Abs. 4 DS-GVO in Verbindung mit § 38 BDSG heranzieht, wird deutlich, dass grundsätzlich der Verantwortliche bzw. der Auftragsverarbeiter zur Benennung verpflichtet sind.

FAZIT

Der neueinzuführende § 79a BetrVG kann definitiv als Möglichkeit zur Regelung der datenschutzrechtlichen Verantwortlichkeit zwischen Arbeitgeber und Betriebsrat einzustufen sein. Offenbleiben muss jedoch, ob hiermit auch die vom Gesetzgeber angestrebte Rechtssicherheit bzw. -klarheit herbeigeführt werden kann.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.