Personalakten beinhalten eine Vielzahl personenbezogener Daten. Da stellt sich schnell die Frage: Wie kann der rechtssichere Umgang mit den sensiblen Daten in digitalen Personalakten gewährleistet werden? Welche rechtliche Anforderung an eine digitale Personalakte gibt es? Wir haben deshalb in das Bundesdatenschutzgesetz geschaut und weitere Aspekte zum sicheren Umgang von Daten in digitalen Personalakten gesammelt.

Personenbezogene Daten werden in besonderer Weise durch das Bundesdatenschutzgesetz (BDSG) geschützt. Es erlaubt die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten jedoch nur in einem begrenzten Umfang (§ 28 und § 32). Das heißt, der elektronische Umgang mit den personenbezogenen Daten ist an unterschiedliche Bedingungen geknüpft. Die zugehörige Anlage des § 9 beschreibt, welche technischen und organisatorischen Schutzmaßnahmen (TOM), die Arbeitgeber im Umgang mit elektronischen Akten zu treffen haben.

Schutzmaßnahmen (TOM) für elektronische Akten:

1. Zutrittskontrolle: Unbefugte dürfen keinen Zutritt zu den Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet oder genutzt werden.
2. Zugangskontrolle: Unbefugte dürfen Datenverarbeitungssysteme nicht nutzen können.
3. Zugriffskontrolle: Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
4. Weitergabekontrolle: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen. kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
5. Eingabekontrolle: Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
6. Auftragskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
7. Verfügbarkeitskontrolle: Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
8. Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Weitere rechtliche Anforderung an eine digitale Personalakte

Rechtssicherheit und Datenschutz betreffen aber noch weitere Aspekte im Umgang mit elektronischen Personalakten:

•  Ein Kriterium ist beispielsweise Datensparsamkeit bzw. Datenvermeidung (§ 3a BDSG). Das heißt, Arbeitgeber dürfen zum einen nur die zwingend notwendigen Daten erheben und verarbeiten.
•  Die automatische Übernahme von Daten ist auch hinsichtlich eines weiteren Kriteriums wichtig: Sie schützt das Prinzip der Richtigkeit oder, im Kontext von Datenhaltung und Verarbeitung etwas konkretisiert, die Integrität der Daten! Arbeitgeber müssen sicherstellen, dass die personenbezogenen Daten korrekt sind und es auch bleiben. Durch die automatisierte Übernahme vermeidet man Fehler bei der Eingabe und damit Veränderungen der Arbeitnehmerdaten. Dazu muss aber der verlustfreie und korrekte Datentransfer zwischen den Applikationen gesichert sein. Auftraggeber und Implementierungspartner tragen hier eine gewisse Verantwortung. Richtigkeit betrifft zudem Punkte wie das ordnungsgemäße Scannen und lesbar machen von Dokumenten und den Schutz vor Veränderungen durch eine langfristig revisionssichere Archivierung.
• Transparenz bei der Datenerhebung und Datenverarbeitung ist eine weitere gesetzliche Verpflichtung. Hieraus ergeben sich etwa das Einsichtsrecht des betroffenen Mitarbeiters in seine Akte (§ 34 BDSG) und die Möglichkeit zur Kontrolle des Systems durch den Datenschutzbeauftragten eines Unternehmens. Systemseitig muss es also möglich sein, Dritten jederzeit einen Zugriff auf Personalakten zu gewähren, beispielsweise dem Betriebsrat (nach § 83 BetrVG).

Im Blogbeitrag Elektronische Personalakten – das Plus an Sicherheit können Sie weitere rechtliche Anforderung an eine digitale Personalakte nachlesen, etwa zur Benutzerverwaltung oder verschlüsselten Datenübertragung.