Im Rahmen der DSGVO spielte der Schutz der personenbezogenen Daten von Kunden, Pateinten oder Geschäftspartnern für Unternehmen eine immer wichtigere Rolle. Da kann es schon einmal passieren, dass man den Überblick darüber verliert, welche Bereiche und Daten denn der DSGVO unterfallen und auf was alles geachtet werden muss, um den Herausforderungen im alltäglichen Geschäftsalltag gerecht zu werden. Denn während selbstverständlich Kundendaten und solche von Geschäftspartnern geschützt werden müssen, so dürfen auch die Daten der eigenen Mitarbeiter nicht nachlässiger behandelt werden.
Gerade in Personalakten sind umfangreiche Informationen über einen Arbeitnehmer enthalten. Beachtet man bereits den Bewerbungsvorgang, bei welchem umfassende Daten durch den Bewerber preisgegeben werden oder den Weg bis hin zum Arbeitsvertrag, wird deutlich, dass unzählige Daten und sensible Informationen in einer Personalakte gesammelt werden. Lediglich beispielhaft seien hierbei der Lebenslauf, Zeugnisse, Adressdaten, Kontodaten und Gesundheitsdaten genannt.
Ein Missbrauch dieser Daten birgt enorme Risiken für die personenbezogenen Daten und die betroffene Person. Dieser Aspekt darf bei der Umsetzung der DSGVO nicht vernachlässigt werden. Egal ob die Personalakte elektronisch oder in Papierform besteht, sind die Regeln des Datenschutzes umfassend auf jene anwendbar. Dies regelt jedoch nicht nur die DSGVO, sondern auch das BDSG und das Bundesbeamtengesetz stellen Regeln für die Aufbewahrung und die korrekte Führung der Personalakten auf.
Der Arbeitgeber hat dafür zu sorgen, dass nur ein bestimmter Kreis an Personen Zugriff zu jenen Daten hat und sonstige Einsicht durch unbefugte Mitarbeiter vermieden wird. Dies kann sowohl räumlich, also auch mit etwaigen Passwortschutzvorkehrungen erfolgen. Dem vorgelagert bedarf es wie üblich entweder der Zustimmung des betroffenen Arbeitnehmers oder einer gesetzlichen Grundlage für die Datenverarbeitung. Darüber hinaus gilt das Gebot der Datensparsamkeit, also nur solche Daten sollen gespeichert werden, die notwendig sind für die Aufnahme, Durchführung und Beendigung des Beschäftigungsverhältnisses. Für jede Datenverarbeitung muss ebenso ein Zweck bestehen.
Jeder Arbeitnehmer hat zu jeder Zeit das Recht, Auskunft darüber zu verlangen, welche Daten über ihn gespeichert sind, diese zu prüfen und zu korrigieren.
