Die HR-Arbeit befindet sich im Umbruch. Die Digitalisierung und Automatisierung von Prozessen verändert die tägliche Arbeit und sorgt hier und da für Unsicherheit. Die wesentlichen Prinzipien, die HRMitarbeiter beachten müssen, bleiben jedoch dieselben. Beim Umgang mit personenbezogenen Daten gilt es, diese Grundsätze stets zu berücksichtigen: Richtigkeit, Integrität und Vertraulichkeit, Rechtmässigkeit und Transparenz. Diese lassen sich aus verschiedenen gesetzlichen Regelungen ableiten. Um Mitarbeiterakten compliancegerecht zu führen, müssen die entsprechenden Abläufe im Einklang mit diesen Grundsätzen gestaltet sein. Eine digitale Aktenlösung ist hier in vielerlei Hinsicht hilfreich: Getrennte Zugriffsberechtigungen ermöglichen es beispielsweise, Dokumente zu sehr persönlichen Situationen, wie etwa Lohnpfändungen oder disziplinarischen Massnahmen, klar zu separieren. Wie eine digitale Akte das gesetzeskonforme Agieren noch vereinfacht, zeigen wir Ihnen im Folgenden.
Grundsatz 1: Richtigkeit
Das Bundesarbeitsgericht hat mit einem Urteil (vgl. Infokasten) deutlich gemacht, worin der Zweck einer Personalakte besteht: Sie soll ein korrektes und vollständiges Bild der persönlichen und beruflichen Laufbahn einer Person vermitteln. Wenn Unternehmen sich entscheiden, ihre Personalakten zukünftig digital zu führen, gilt dies natürlich weiterhin.
Nach dem Grundsatz der Richtigkeit (vgl. Art. 5 Abs. 1 lit. d DSGVO) müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Das Unternehmen hat mit angemessenen Massnahmen dafür zu sorgen, dass unrichtige Daten unverzüglich gelöscht oder korrigiert werden. HR-Verantwortliche sollten demnach Folgendes beachten:
- Angaben in der Personalakte müssen sachlich richtig sein.
- Sachverhalte sind lückenlos, begründet und umfassend in der Personalakte darzustellen.
- Sachverhalte sind in chronologischer Reihenfolge zu dokumentieren.
- Unterlagen dürfen nicht willkürlich hinzugefügt oder entfernt werden.
Mit einer digitalen Aktenlösung lassen sich dokumentenbasierte HRProzesse automatisieren. Beispielsweise ist es möglich, einen Fragebogen für das anstehende Mitarbeitergespräch in der digitalen Akte zu erstellen, mit einem Barcode auszudrucken und später den ausgefüllten Bogen zu scannen. Dank Barcode wird das Dokument automatisch in der richtigen Personalakte und unter dem richtigen Register abgelegt. Dies beschleunigt nicht nur den Prozess, sondern macht ihn auch weniger anfällig für Fehler, wie etwa die Ablage in einer falschen Akte. Zudem ist es mit einer digitalen Lösung deutlich einfacher, Mitarbeiter ihre Rechte ausüben zu lassen. Stellt ein Mitarbeiter etwa fest, dass seine Personalakte falsche Angaben beinhaltet, unvollständig ist oder Dokumente enthält, die dort nicht hingehören, hat er gemäss Artikel 16 DSGVO das Recht auf Berichtigung und gemäss Artikel 17 das Recht auf Löschung. Auch darf er gemäss § 83 Betriebsverfassungsgesetz (BetrVG) vom Arbeitgeber verlangen, eigene Erklärungen, wie etwa Gegendarstellungen, in die Personalakte aufzunehmen. Änderungen an einer digitalen Personalakte vorzunehmen, geht schnell und unkompliziert: Stammdaten lassen sich einfach korrigieren und speichern, ohne dass der HR-Verantwortliche ein neues Papierdokument erstellen und das alte datenschutzkonform vernichten muss. Versehentlich falsch abgelegte Dokumente können – entsprechende Berechtigungen vorausgesetzt – aus der Akte gelöscht werden. Dabei ist ein Vier-Augen-Prinzip möglich. Ebenso fällt es HR-Verantwortlichen leichter, die Unterlagen stets vollständig zu halten, da zentrale Prozesse in der Anwendung abgebildet werden. Das heisst: HR-Mitarbeiter können Dokumente direkt in der Personalakte erstellen, ablegen und revisionssicher archivieren. Zudem erlaubt die Software eine automatisierte Vollständigkeitsprüfung. Hierzu definieren Personalverantwortliche, welche Dokumente in jeder Akte verpflichtend vorhanden sein müssen (beispielsweise der Arbeitsvertrag, der Personalfragebogen, die Datenschutzerklärung). Jedem Sachbearbeiter steht für seinen Zuständigkeitsbereich eine Übersicht zur Verfügung, welche Pflichtdokumente in welchen Personalakten fehlen.
Urteil des Bundesarbeitsgerichts (BAG)
„Nach ständiger Rechtsprechung sind die Personalakten eine Sammlung von Urkunden und Vorgängen, die die persönlichen und dienstlichen Verhältnisse des Bediensteten betreffen und in einem inneren Zusammenhang mit dem Dienstverhältnis stehen. Sie sollen ein möglichst vollständiges, wahrheitsgemässes und sorgfältiges Bild über die persönlichen und dienstlichen Verhältnisse des Bediensteten geben.“(BAG, Urteil vom 09. Februar 1977 – 5 AZR 2/76 –, Rn. 18, juris)
Grundsatz 2: Integrität und Vertraulichkeit
Der Arbeitgeber ist verpflichtet, die Sicherheit der Personalakten zu gewährleisten. Dies beinhaltet sowohl den Schutz vor unbeabsichtigter Schädigung, Zerstörung und Verlust (Integrität) als auch den Schutz vor unbefugter und unrechtmässiger Verarbeitung innerhalb des Unternehmens und durch Dritte (Vertraulichkeit; vgl. Art. 5 Abs. 1 lit. f DSGVO). Das Risiko unerlaubter Zugriffe lässt sich mit einer digitalen Lösung minimieren. Während es im hektischen Arbeitsalltag durchaus geschehen kann, dass ein Papierdokument in die Hände einer unbefugten Person gerät, ist dies mit einer digitalen Akte äusserst unwahrscheinlich – sofern das Unternehmen sorgfältige Maßnahmen getroffen hat, um seinen gesetzlichen Kontrollpflichten nachzukommen (vgl. Kasten). So muss etwa der Zugriff auf eine entsprechende Softwarelösung streng geregelt sein: Mithilfe eines Rollen- und Rechtesystems ist sicherzustellen, dass nur die zuständigen Personalverantwortlichen auf die digitalen Akten zugreifen können.
Grundsätzlich gilt es, den Kreis der Personen, welche die Personalakte einsehen dürfen, auf das notwendige Minimum zu beschränken. Darüber hinaus ist auszuschliessen, dass unbefugte Personen, wie etwa Vorgesetzte, durch Zufall Einsicht in die Akte erhalten. In einer digitalen Lösung lassen sich die Mitarbeiterdaten noch besser schützen. Eine zufällige Einsichtnahme ist ausgeschlossen, da ein HR-Mitarbeiter die Akte aktiv für andere Personen freigeben muss, ehe diese darauf zugreifen können. Ausserdem ist es möglich, die Personalakte in verschiedene Bereiche zu untergliedern und diese mit separaten Berechtigungen zu versehen. So lässt sich der Zugriff auf besonders sensible Dokumente, wie etwa Lohnpfändungsbeschlüsse oder Unterlagen zu einem Disziplinarverfahren, zusätzlich einschränken. Um Mitarbeitern und berechtigten Führungskräften Einsicht zu gewähren, können HR-Verantwortliche eine Akte für einen bestimmten Zeitraum für eine Person freigeben. Um unerlaubte Zugriffe während der Verarbeitung auszuschliessen (Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle; vgl. Infokasten), ist zudem eine verschlüsselte Datenübertragung und -speicherung unabdingbar. Darüber hinaus läuft im System ein Protokoll im Hintergrund, das lückenlos aufzeichnet, wer zu welcher Zeit Änderungen vorgenommen, etwas hinzugefügt oder gelöscht hat. Somit ist eine datenschutzkonforme Arbeit mit der digitalen Personalakte jederzeit nachweisbar.
Kontrollpflichten des Arbeitgebers
Als Verantwortliche im Sinne des Datenschutzes sind Unternehmen verpflichtet, angemessene technische und organisatorische Massnahmen zu implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten in der Personalakte sicherzustellen (vgl. Art. 32 DSGVO). Daraus ergeben sich folgende Kontrollpflichten:
- Zutrittskontrolle
Unbefugte dürfen zu den Datenverarbeitungsanlagen, mit denen Personalakten genutzt oder bearbeitet werden, keinen Zutritt haben.- Zugangskontrolle
Unbefugte dürfen die Datenverarbeitungsanlagen nicht nutzen.- Zugriffskontrolle
Unbefugte dürfen Personalakten nicht lesen, kopieren, verändern oder löschen.- Trennungsprinzip
Es muss möglich sein, zu unterschiedlichen Zwecken erhobene Daten getrennt zu verarbeiten.- Weitergabekontrolle
Bei der digitalen Übertragung der Daten und der Speicherung auf Datenträgern dürfen Unbefugte die Inhalte der Personalakte weder lesen oder kopieren noch verändern oder entfernen.- Eingabekontrolle
Es muss jederzeit feststellbar sein, ob und von wem in der digitalen Personalakte Daten hinzugefügt, verändert oder entfernt worden sind.- Verfügbarkeitskontrolle und Belastbarkeit der Systeme
Personenbezogene Daten sind vor zufälliger Zerstörung und vor Verlust zu schützen. Bei einem physischen oder technischen Zwischenfall sollte deren Verfügbarkeit schnell wiederherstellbar sein.- Regelmäßige Prüfung, Bewertung und Evaluierung der umgesetzten Massnahmen
Es sollten ein Datenschutz-Management- sowie ein Vorfall-Management-System etabliert werden. Die Technik und Prozesse sind so zu gestalten, dass sie datenschutzrechtlichen Grundsätzen Rechnung tragen. Sofern ein Dienstleister im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet, hat das verantwortliche Unternehmen einen Auftragsverarbeitungsvertrag mit dem Dienstleister abzuschliessen, damit dieser die Daten nur gemäß den Weisungen des Auftraggebers verarbeiten darf.
Grundsatz 3: Rechtmässigkeit
Welche Inhalte der Arbeitgeber in die Personalakte aufnimmt und wie lange er sie dort vorhält, ergibt sich aus den jeweiligen arbeits-, sozial-, steuer- und handelsrechtlichen Anforderungen und Aufbewahrungspflichten. Die Persönlichkeitsrechte des Arbeitnehmers begrenzen sowohl den Umfang als auch den Umgang mit der Personalakte. Personenbezogene Daten zu verarbeiten, ist nur erlaubt, sofern eine Rechtsgrundlage für die Verarbeitung besteht oder die betroffene Person in die Verarbeitung eingewilligt hat (vgl. Art. 6 DSGVO). Mit anderen Worten: Es gilt das Gebot der Rechtmässigkeit.
Gemäß § 26 Bundesdatenschutzgesetz (BDSG) ist es zulässig, personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses zu verarbeiten, „wenn dies
- für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder
- nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder
- zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Darüber hinaus müssen die Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein (Grundsatz der Datenminimierung). Die Personalakte darf demnach nur solche Informationen enthalten, die für das Arbeitsverhältnis relevant sind. Im Umgang mit den personenbezogenen Informationen und Dokumenten muss der Arbeitgeber die Interessen des Mitarbeiters berücksichtigen.
Grundsatz 4: Transparenz
Wie bereits erwähnt, haben Mitarbeiter nach § 83 BetrVG das Recht, Einsicht in ihre Personalakte zu nehmen (vgl. Infokasten). Gemäß Art. 15 DSGVO sind Mitarbeiter berechtigt, vom Unternehmen eine Auskunft über ihre personenbezogenen Daten zu verlangen. Darüber hinaus dürfen Mitarbeiter eine Kopie ihrer Daten anfordern (vgl. Art. 15 Abs. 3 DSGVO).
Dieser Prozess verläuft auf digitalem Weg erheblich einfacher und schneller. Wollte etwa ein Mitarbeiter einer Niederlassung seine Akte einsehen, musste sie der HR-Sachbearbeiter am Unternehmenshauptsitz bislang aufwendig heraussuchen, verpacken und mit der Post versenden. Möglicherweise waren die Bestandteile der Personalakte sogar über unterschiedliche Standorte oder Abteilungen verstreut aufbewahrt. Heute kann der Mitarbeiter einfach per E-Mail – oder sogar per
Mausklick über ein Self-Service-Modul – Akteneinsicht beantragen. Der HR-Sachbearbeiter benötigt ebenfalls nur wenige Klicks, um die digitale Akte für einen bestimmten Zeitraum für den Mitarbeiter freizugeben. Nach Ablauf der Frist erlischt die Zugangsberechtigung automatisch.
§ 83 Betriebsverfassungsgesetz
(1) Der Arbeitnehmer hat das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Er kann hierzu ein Mitglied des Betriebsrats hinzuziehen. Das Mitglied des Betriebsrats hat über den Inhalt der Personalakte Stillschweigen zu bewahren, soweit ihn der Arbeitnehmer im Einzelfall nicht von dieser Verpflichtung entbindet. (2) Erklärungen des Arbeitnehmers zum Inhalt der Personalakte sind dieser auf sein Verlangen beizufügen.
Fazit
Unternehmen sind verpflichtet, Personalakten im Einklang mit den Prinzipien Richtigkeit, Integrität und Vertraulichkeit, Rechtmässigkeit und Transparenz zu führen. Eine digitale Aktenlösung hilft dabei, HR-Prozesse dementsprechend zu gestalten. So sind die Mitarbeiterdaten vor unerlaubten Zugriffen geschützt und die Vertraulichkeit der Informationen bleibt gewahrt. Auch den übrigen Grundsätzen können Unternehmen besser nachkommen, da standardisierte digitale Abläufe den täglichen Umgang mit den Akten erleichtern. Dies führt nicht nur zu mehr Schnelligkeit und Effizienz im HR-Bereich, sondern auch zu einer höheren Rechtssicherheit. Davon profitieren Personalverantwortliche, Führungskräfte und Mitarbeiter sowie letztlich das gesamte Unternehmen.
Geht es ganz ohne Papier?
Auch mit einer digitalen Aktenlösung ist es ratsam, Originaldokumente wie etwa Arbeitsverträge und Vertragsänderungen weiterhin in Papierform aufzubewahren. Denn: Bei einem Rechtsstreit über die Richtigkeit dieser Unterlagen lässt sich nur mit den Originalen ein Urkundsbeweis führen – Scans privater Urkunden sind laut Rechtsprechung keine Urkunden im Sinne der Paragrafen 415 ff. ZPO.
Funktionen einer digitalen Aktenlösung
Diese Features unterstützen eine compliance-gerechte Personalaktenführung:
✓ Zugriffsberechtigungssystem inkl. temporärer Zugriffsrechte
✓ Dokumentenschnellansicht, Listenstruktur
✓ Flexible, integrierte Vorgangssteuerung
✓ Dokumentbezogene Fristenüberwachung
✓ Dokumenterstellung aus Vorlagen
✓ Überwachung von Aufbewahrungsfristen
✓ Löschung von Personalakten nach dem Vier-Augen-Prinzip
✓ Komfortable Recherchemöglichkeiten
✓ Schnittstellen zur Übernahme von Mitarbeiterdaten aus führenden Systemen z. B. SAP HCM, LOGA, PAISY und DATEV
✓ Employee Self Service (ESS)
✓ Sanktionslistenprüfung
✓ Arbeitgeberakte für die Verwaltung von Beleglisten und allgemeinem Schriftverkehr im HR-Bereich
✓ Vertragserstellung für die standardisierte Genehmigung, Erstellung und Freigabe von Verträgen
✓ Aufgabenverwaltung Checklisten für wiederkehrende Aufgaben
✓ Zusatzfelder kundendefinierte Datenfelder
Timo Stecher
COO +41 79 610 50 82
