Die Verwaltung der Personalakten ist in einem Unternehmen ein bedeutsamer Verarbeitungsprozess, da Personalakten naturgemäß eine Vielzahl von personenbezogenen Daten enthalten. Zum einen sind in einer Personalakte bereits Daten aus dem Bewerbungsverfahren des neuen Angestellten vorhanden. Zum anderen werden hier auch alle weiteren Beschäftigtendaten archiviert, die im laufenden Angestelltenverhältnis vom Arbeitgeber erhoben werden.
Da es sich dabei um sensible personenbezogene Daten handelt, hat der Arbeitgeber diverse Verpflichtungen im Umgang mit den Personalakten seiner Mitarbeiter zu beachten. Im Folgendem Newsletter führen wir dabei für Sie wichtige Aspekte bezüglich Datenschutz und Datensicherheit auf.
Was gehört in die Personalakte und was nicht?
Das Unternehmen legt jedoch selbst fest, welche Dokumente und Einträge in die Personalakte aufgenommen werden. Beispielsweise können dies sein:
Bewerbungsunterlagen, inkl. Passbild, Zeugnisse und Weiterbildungsnachweise
Arbeitsvertrag, Lohn- und Gehaltsbescheinigungen, Erklärung zu Nebenbeschäftigungen, Abmahnungen
Personalbogen / Stammdatenblatt und den individuellen Werdegang
Krankenkassenmitgliedsbescheinigung, Sozialversicherungsausweis, Nachweis zur Anlage vermögenswirksamer Leistungen, ggf. Führerschein
Schwerbehindertenausweis, Heiratsurkunde, Antrag auf Kindergeld
Beurteilungen und Bewertungen, Unterlagen zum Leistungsvergleich oder zur Personalplanung
weiterer Schriftverkehr mit dem Mitarbeiter
Bescheinigung über ärztliche Untersuchung im Rahmen der Arbeitssicherheit
Inhalte, die nicht in eine Personalakte gehören, sind unter anderem:
Listen über Krankheitstage
Psychologische Gutachten, generell ärztliche Unterlagen, die nicht im Sinne der Arbeitssicherheit sind
Profile Sozialer Netzwerke Bei Gesundheitsdaten, welche von einem Betriebsarzt erhoben wurden, sollte der mögliche Zugriffskreis auf das Mindeste minimiert werden und diese Daten sollten daher separat von der regulären Personalakte aufbewahrt werden.
Wie lange sollten Abmahnungen aufbewahrt werden?
Eine festgelegte Aufbewahrungsfrist von Abmahnungen innerhalb einer Personalakte gibt es im Rahmen der DSGVO nicht. Hier sollte nach Schwere der Abmahnung unterschieden werden. Bei „normalen“ Verfehlungen, wie z. B. Verspätungen, Nichtbefolgung von Arbeitsanweisungen oder verspätete Krankmeldungen, werden schon zwei oder drei Jahre des Wohlverhaltens als lange Zeitspanne angesehen. Nach spätestens fünf Jahren ist eine solche "normale Abmahnung" daher, falls es keinen Wiederholungsfall gab, unwirksam geworden.
Bei Abmahnungen, die erhebliche Verfehlungen im Vertrauensbereich betreffen (kriminelles Verhalten, massive Schädigung der Arbeitgeberinteressen), gilt aber auch keine "Fünf-Jahres-Grenze" als Aufbewahrungsfrist.
Die Personalakte und ihre Berührungspunkte mit dem Datenschutz
Prinzipiell ist ein Arbeitgeber gesetzlich nicht dazu verpflichtet, eine formelle Personalakte seiner Mitarbeiter zu führen. Deshalb ist es ebenfalls freigestellt, ob Personalakten in elektronischer oder in analoger Papierform geführt und gespeichert werden. Dabei gelten jedoch grundsätzlich die Anforderungen der DSGVO.
Eine Aufbewahrung der Personalakten sollte daher in einem geschützten Rahmen stattfinden. Dabei ist darauf zu achten, dass eine Einsichtnahme in Personalakten von Unbefugten verhindert werden. Dies gelingt etwa durch einen verschließbaren Aktenschrank oder Tresor, einen abgeschlossenen Raum oder einen besonders geschützten Computer. Hierbei ist ebenfalls wichtig, dass nur autorisierte Personen Zugriffsrechte erhalten. Dies kann beispielsweise durch ein Passwort, einen Schlüssel oder einen Zahlencode erreicht werden. Prinzipiell sollte nur einem kleinen Personenkreis Einsicht in die Personalakten der Mitarbeiter gewährt werden. Meist sind dies Mitarbeiter der Personalabteilung, direkte Vorgesetzte oder die Geschäftsführung. Der betroffene Mitarbeiter selbst, hat jedoch jederzeit das Recht, seine/ihre eigene Personalakten einzusehen.
Zudem muss er Maßnahmen ergreifen, dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu gehört auch, dass es Möglichkeiten gibt im Nachhinein festzustellen, ob und von wem personenbezogene Daten in Personalakten eingegeben, verändert oder entfernt worden sind.
Eine Personalakte ist datenschutzrechtlich also vertraulich zu behandeln. Bei berechtigten Personen darf eine Einsicht auch nur dann gestattet werden, wenn dies im Zwecke der Personalverwaltung erfolgt. Das bedeutet genauer gesagt, dass auch befugte Mitarbeiter oder Vorgesetzte nicht nach Belieben Einblick in die Personalakten nehmen dürfen. Hier sind unterschiedliche Methoden denkbar, um die personenbezogenen Daten der Mitarbeiter zu schützen. So können etwa besonders sensible Daten in analogen Personalakten in einem separaten, geschlossenen Briefumschlag aufbewahrt werden. Dieser kann dementsprechend nicht ständig geöffnet werden. Für die elektronische Personalakte gelingt dies durch spezielle zusätzliche Passwörter.
Rechtsgrundlage für die Speicherung
Den rechtliche Rahmen für eine Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ergibt sich aus § 26 Abs. 1 S. 1 BDSG. Dieser regelt auch den Inhalt einer Personalakte und welche weiteren Beschäftigtendaten enthalten sein dürfen. Sämtliche Informationen, müssen also für die Durchführung des Beschäftigungsverhältnisses oder zu dessen Beendigung erforderlich sein.
Wenn eine Datenverarbeitung sich jedoch nicht auf § 26 BDSG gestützt werden kann, muss für diese Verarbeitungstätigkeit eine separate Einwilligung eingeholt werden.
Auch muss für die Datenerhebung innerhalb der Personalakte dem Grundsatz der Verhältnismäßigkeit entsprechen und damit angemessen sein. Außerdem sollte jeweils eine Interessenabwägung unter Berücksichtigung grundrechtlicher Wertentscheidungen vorgenommen werden.
Betroffenenrechte
Selbstverständlich sind auch Arbeitnehmer betroffene Personen und können ihre Betroffenenrechte aus der DSGVO wahrnehmen. Gem. Art. 16 DSGVO hat die betroffene Person etwa das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Gleiches gilt hinsichtlich unvollständiger Daten. Der Arbeitgeber muss daher tätig werden, sollte ein Arbeitnehmer dieses Recht wahrnehmen. Auch das Auskunftsrecht gem. Art. 15 DSGVO kann der Arbeitnehmer wahrnehmen. Er kann demnach über die zu seiner Person gespeicherten Daten Auskunft verlangen. Dies umfasst auch die Mitteilungen über die Herkunft und Empfänger der Daten. Dem Arbeitnehmer dürfen hierfür keine Kosten entstehen.
Gesetzliche Vorgaben zu Schriftform und Originaldokumenten
Bei aller Digitalisierung darf nicht vergessen werden, dass bei bestimmten Unterlagen gesetzliche Verpflichtungen bestehen, diese im Original aufzubewahren bzw. ein Schriftformerfordernis besteht. Dies gilt u. A. für sozialversicherungsrechtliche Nachweise. Nach § 28a Abs. 2 S. 1 SGB IV hat der Arbeitgeber für jeden Beschäftigten, nach Kalenderjahren getrennt, Lohnunterlagen in deutscher Sprache zu führen und bis zum Ablauf des auf die letzte Prüfung folgenden Kalenderjahres im Original geordnet aufzubewahren.
Im Übrigen sollten auf jeden Fall wichtige arbeitsrechtliche Dokumente wegen vorgeschriebener Schriftform (insbesondere Kündigungen, Aufhebungsverträge oder nachvertragliche Wettbewerbsverbote) in Papierform aufbewahrt werden. Damit kann im Streitfall der Beweis über die formelle Wirksamkeit geführt werden.
Weitergabe der Personalakte bei Betriebsübergang
Bei einem Betriebsübergang werden in aller Regel die Personalakten der Mitarbeiter vom Betriebserwerber übernommen. Mit Betriebsübergang tritt der Erwerber an die Stelle des bisherigen Arbeitgebers. Eine Übergabe der Personalakten an ihn dürfte damit als gem. § 26 Abs. 1 S. 1 BDSG erforderlich anzusehen sein. Der neue Arbeitgeber benötigt Zugang zu Informationen, wie etwa Zeugnissen, Lebensläufen und Weiterbildungen, damit er in der Lage ist, die Arbeitnehmer richtig einzusetzen und Gehalt zu zahlen. Zu beachten ist, dass der alte Arbeitgeber auch nach Übermittlung der Daten an den neuen Arbeitgeber die gesetzlichen Aufbewahrungsfristen beachten muss.
Demgegenüber ist eine Übermittlung der Personalakte oder einzelner personenbezogener Daten vor Betriebsübergang regelmäßig unzulässig. Der Datenschutz steht hier dem Interesse des Erwerbers entgegen, schon vor Betriebsübergang Einsicht in die Personalakten zu erhalten. Dies wäre lediglich mit Einwilligung der Betroffenen möglich. Andernfalls wäre höchstens eine Übermittlung anonymisierter Daten denkbar.
Mögliche Aufbewahrungsfristen und Löschfristen bei Personalakten
Bei der Führung von Personalakten stellt sich die Frage, wie lange diese nach Beendigung des Arbeitsverhältnisses aufbewahrt werden dürfen. Grundsätzlich gilt im Datenschutz, dass personenbezogene Daten, deren Speicherung nicht mehr erforderlich ist, gelöscht werden müssen.
Eine einheitliche Aufbewahrungsfrist für die gesamte Personalakte gibt es dementsprechend nicht. Es kommt immer auf die in ihr enthaltenen Dokumente an. Jedem Arbeitgeber ist es jedoch zunächst zu empfehlen, eine Personalakte für mindestens drei Jahre aufzubewahren (regelmäßige Verjährungsfrist gem. § 195 BGB). Denn in diesem Zeitraum kann ein ehemaliger Arbeitnehmer noch Ansprüche geltend machen. Er kann zum Beispiel Schadenersatzansprüche stellen oder ein Arbeitszeugnis einfordern. Beachten Sie in diesem Zusammenhang auch unseren Newsletter vom Januar 2022 zum Thema Aufbewahrungsfristen.
Wie werden Personalakten datenschutzkonform vernichtet?
Nach Ablauf der Aufbewahrungsfristen sind die Personalakten ordnungsgemäß zu vernichten. Sie dürfen also nicht einfach in einem gewöhnlichen Mülleimer entsorgt werden. Für die Vernichtung sensibler personenbezogener Daten dieser Art gelten drei nach DIN 66399 definierte Schutzklassen, die jeweils die Schutzbedürftigkeit von Dokumenten angeben:
Schutzklasse 1: Normaler Schutzbedarf, etwa interne Dokumente
Schutzklasse 2: Hoher Schutzbedarf, etwa vertrauliche Dokumente
Schutzklasse 3: Sehr hoher Schutzbedarf, etwa besonders geheime Dokumente
Üblicherweise zählen Personalakten unter die zweite Schutzklasse. Um diese Dokumente und Daten also entsprechend zu vernichten und zu entsorgen, besteht einerseits die Möglichkeit, einen Dienstleister für professionelle Aktenvernichtung zu engagieren. Andererseits gibt es auch spezielle Schredder, die sowohl Papier als auch CD’s datenschutzkonform zerkleinern. Diese können im Unternehmen für die ordnungsgemäße Vernichtung von schutzbedürftigen Daten angeschafft werden.
Folgen bei einem Verstoß – ein Negativbeispiel
Ein Negativbeispiel zur unverhältnismäßigen Speicherung von Beschäftigtendaten ist der Fall des Modekonzerns „H&M“. Dort hatten Führungskräfte am Nürnberger Standort jahrelang Informationen über das Privatleben ihrer Angestellten gesammelt und auf einem Netzwerkordner gespeichert (u. A. Informationen zu Beziehungen, Fitnesszustand, Religionsbekenntnis). Auf diesen Ordner hatten bis zu 50 Personen Zugriff. Die betroffenen Mitarbeiter wussten von diesen Vorgängen nichts und nur durch Zufall wurden sie bekannt. Diese Daten waren offensichtlich nicht für die Durchführung des Arbeitsverhältnisses erforderlich. Die zuständige Datenschutzbehörde verhängte daraufhin ein beträchtliches Bußgeld in Höhe von 35,3 Millionen €.
Der Fall „H&M“ macht hier noch einmal deutlich, dass die Aufsichtsbehörden beim Thema Arbeitnehmerdatenschutz mitunter keinen Spaß verstehen.
Kurz und knapp zusammengefasst
Personalakten anzulegen und zu verwalten ist gesetzlich keine Pflicht. Viele Unternehmen tun dies dennoch, um auf diese Weise wichtige Daten zu speichern. Entscheidet man sich also für Personalakten, gibt es einiges zu beachten, um den Datenschutz der Mitarbeiter zu wahren. So ist es zwar egal, ob die Akten analog oder elektronisch geführt werden, nicht egal ist aber ihre Sicherheit. Sie dürfen nicht für Unbefugte zugänglich sein und werden daher am besten in beispielsweise einem verschließbaren Aktenschrank, Tresor oder passwortgeschützten Computer aufbewahrt.
Mitarbeiter selbst haben jederzeit das Recht, ihre eigenen Personalakten einzusehen. In diesen befinden sich etwa die Bewerbungsunterlagen, Abmahnungen oder auch Beurteilungen und Bewertungen. Auch in Bezug auf die Aufbewahrungsfristen ist von Seiten des Arbeitgebers einiges zu beachten. So müssen je nach Dokument bestimmte Fristen eingehalten werden, wie lange dieses aufbewahrt werden muss. Letztlich gilt auch bei der Vernichtung der Akten: Safety first! Personalakten dürfen nur mit datenschutzkonformen Schreddern vernichtet werden.
Bei Fragen stehen wir Ihnen jederzeit zur Verfügung. Ihr Team der RKM Data