Free

#digitaltransformation – Zukunftstreiber Payroll : Digitale Personalakte — Professionalisierung der Personalarbeit

Die Zeit drängt, und die Digitalisierung schreitet unaufhaltsam voran. Es gilt, die Personalarbeit insgesamt zu professionalisieren und an die Erfordernisse der digitalen Arbeitswelt heranzuführen. Gleichzeitig müssen Wirtschaftlichkeit (Effizienz) und Wirksamkeit (Effektivität) bei der Durchführung personalwirtschaftlicher Maßnahmen erhöht werden.

Lesezeit 8 Min.
Hervorgehobenes deutsches Wort „personalakte“, das sich auf „Humanressourcen“ bezieht, in einem Dokument.

Was bisher geschah

Die in Papierform vorhandenen Per­sonalakten werden oft von einem Dienstleister eingescannt und im Anschluss zurückgegeben. Die digi­tale Personalakte befindet sich somit genau wie die Stamm- und Abrech­nungsdaten der Mitarbeiter im HR-System bzw. in der Cloud. Nach dem Scanprozess wird eine Qualitäts­kontrolle durch das Personalmanage­ment vorgenommen.

Die Mitarbeiter erhalten sodann Gele­genheit, Einsicht in ihre Papierakte zu nehmen, und im Anschluss sollen die Papierunterlagen vernichtet wer­den, um Medienbrüche zu vermeiden. Es stellt sich nun für eine revisionssi­chere Archivierung die Frage, welche Papierunterlagen trotz Digitalisierung im Unternehmen aufbewahrt werden müssen. Die verschiedenen gesetzli­chen Bestimmungen lassen nicht ein­heitlich erkennen, welche Unterlagen das im Einzelnen sind und welche gesetzlichen Anforderungen jeweils zu erfüllen sind. Weiterhin steht die Frage im Raum, wie lange Papierun­terlagen, die nicht vernichtet werden dürfen, im Unternehmen aufbewahrt werden müssen.

Denn dies dient der Beweisführung durch die schriftliche Verfassung von Vereinbarungen, einseitigen Wis­sens- oder Willenserklärungen, um für die Zukunft die Gewissheit zu haben, einen Sachverhalt im Rechts­streit jederzeit nachweisen zu können. Leider existiert häufig keine einheit­liche Verfahrensbeschreibung für alle Unternehmen.

Auskunftsmanagement

Die neuen Leitlinien des Europäi­schen Datenschutzausschusses zum Auskunftsrecht (EDSA) erfordern eine Überprüfung interner Prozesse und eine Dokumentation zum Daten­schutz im Unternehmen, um Bußgel­der und Schadensersatzforderungen wegen unzureichender Auskünfte zu vermeiden.

Der EDSA hat daher neue Leitlinien zum Auskunftsrecht nach der Daten­schutz-Grundverordnung (DS-GVO) veröffentlicht. Darin formulieren die Aufsichtsbehörden detaillierte Anfor­derungen an die Erteilung von daten­schutzrechtlichen Auskünften. Vor allem

zementieren diese neuen Leitlinien die von den Aufsichtsbehörden schon bislang und mehrheitlich vertretene strenge Linie, wonach bei Auskünften grundsätzlich auch eine Kopie sämt­licher personenbezogener Daten her­auszugeben ist, selbst wenn dies für das betroffene Unternehmen einen enormen Aufwand darstellt.

Vom Auskunftsrecht erfasst sind Namen, Adressen und Kontaktdaten sowie eine Vielzahl weiterer Daten. Kopien von Daten, die nicht selbst­erklärend sind (beispielsweise Codes oder „Rohdaten“), müssten der aus­kunftssuchenden Person in jedem Fall verständlich und nachvollzieh­bar erläutert werden. Um in der Lage zu sein, unverzüglich und im Regel­fall spätestens innerhalb eines Monats ordnungsgemäß Auskunft zu ertei­len, müssen sich nach Auffassung der EDSA die Unternehmen proaktiv auf die zu erwartenden Auskunfts­ersuchen vorbereiten und die not­wendigen internen Prozesse hierfür schaffen.

Gesetzliche Aufbewahrungs­pflichten

Digitale Personalakte 6-min
Digitale Personalakte 6-min

Die historisch gewachsenen Aufbe­wahrungsfristen unterscheiden sich in den für das Personalmanagement relevanten Bereichen doch sehr deut­lich. So gelten im Arbeits-, im Steuer-oder im Sozialversicherungsrecht bzw. im Recht der betrieblichen Altersver­sorgung erhebliche Unterschiede, und dies schafft große Unsicherheiten bei der Digitalisierung. All dies wird deut­lich, wenn durch die gesetzlichen Vorschriften (DS-GVO, Bundesdaten­schutzgesetz (BDSG) etc.) die Vorgaben zur Erstellung eines Verfahrensver­zeichnisses in die betriebliche Praxis umgesetzt werden.

Gleichwohl kann die Verletzung von Aufbewahrungspflichten straf- und berufsrechtliche, aber auch prozes­suale Konsequenzen haben. Beispiele finden sich etwa in der Verletzung der handelsrechtlichen Buchführungs­pflicht, denn dies kann eine Insolvenz­straftat nach §§ 283 ff. Strafgesetzbuch (StGB) darstellen.

Beweisführung und Schriftform

Auch wenn es für die Wirksamkeit eines Arbeitsvertrages nicht auf die Schriftform ankommt, so gilt das nicht in allen Fällen. In diesem Zusam­menhang ist darauf zu achten, dass weiterhin für die Wirksamkeit einer Befristung gem. § 8 Abs. 5 Satz 1 Teil­zeit- und Befristungsgesetz (TzBfG) die Schriftform gesetzlich vorge­schrieben ist. Das gilt gleichermaßen gem. § 626 Bürgerliches Gesetzbuch (BGB) für die Beendigung von Arbeits­verträgen durch Kündigung oder einen Aufhebungsvertrag sowie bei Arbeitszeugnissen.

Eine elektronische Signatur kann dies in den genannten Fällen derzeit noch nicht ersetzen. In Streitfällen vor Gericht ist das nachzuweisen. Hier gilt gem. § 427 Zivilprozessordnung (ZPO) der Inhalt der Abschrift einer Urkunde als bewiesen, wenn der Geg­ner der Anordnung, die in seinen Hän­den befindliche Urkunde vorzulegen, nicht nachgekommen ist. Die (Papier-) Urkunde ist das sicherste Beweismit­tel, da das Gericht, sofern die Echtheit der Unterschrift feststeht, hinsichtlich der Bestimmung des Beweiswerts des Dokuments Beweisregeln unterliegt.

Elektronische Dokumente mit qualifi­zierter Signatur sind Urkunden gleich­gestellt. Nicht signierte elektronische Dokumente können ebenfalls in einen Prozess als Beweismittel eingeführt werden; das Gericht ist allerdings in seiner Beweiswürdigung frei. Sofern die Echtheit des Dokuments strittig ist, muss der Beweispflichtige wei­terführende Nachweise erbringen. Ob dies gelingt, hängt von den konkreten Umständen ab und dürfte bei ungesi­cherten Dokumenten schwierig sein.

Datenschutz-Compliance

In vielen Geschäftsprozessen und IT-Anwendungen werden personen­bezogene Daten verwendet. Diese unterliegen den Bestimmungen des Datenschutzes, welche unter anderem fordern, die Prinzipien der Erforder­lichkeit, Datenvermeidung und Daten­sparsamkeit im Umgang mit Daten zu beachten und auch eine Löschung der­artiger Daten zu gewährleisten.

Zu den einschlägigen datenschutz­rechtlichen Vorschriften zählen etwa Gesetze oder Verordnungen (Betriebs- oder Dienstvereinbarungen), auf deren Grundlage personenbezogene Daten­bestände erhoben, gespeichert, ver­wendet und gelöscht werden müssen.

Daher ist im Löschkonzept festzule­gen, wie die datenschutzrechtlichen Pflichten zur Löschung erfüllt werden. Löschprotokolle dienen als Nachweis der fristgerechten Löschung personen­bezogener Daten.

Haftung bei Datenschutzverstößen

Digitale Personalakte 8-min
Digitale Personalakte 8-min

Die Frequenz neuer Verfahren und Urteile zu immateriellen Schadensersatzansprüchen im Daten­schutzrecht steigt stetig an. Für Unter­nehmen war das Risiko, nach einem Datenschutzverstoß von Betroffenen zivilrechtlich in Anspruch genommen zu werden, noch nie so groß wie heute.

Diese Entwicklung wird verstärkt durch die Berichterstattung der Medien. Dadurch wird eine breite Öffentlichkeit auf mögliche Daten­schutzverstöße aufmerksam gemacht.

Die rechtlichen und tatsächlichen Ent­wicklungen lassen schon jetzt erken­nen, dass sich Unternehmen absehbar mit einer Zunahme von Schadenser­satzforderungen konfrontiert sehen werden, und dies reicht bis hin zu Massenverfahren.

Diese private Rechtsdurchsetzung (sog. „Private Enforcement“) ergänzt zunehmend die behördliche Durch­setzung des Datenschutzrechts und verleiht dem Datenschutzrecht als Compliance-Thema insofern mehr Gewicht. Nach Art. 82 Abs. 1 DS-GVO können Personen, die einen imma­teriellen Schaden durch einen Datenschutzverstoß erleiden, Scha­densersatz verlangen. Wann ein immaterieller Schaden entsteht und in welcher Höhe Ersatz zu leisten ist, ist bisher nicht höchstrichterlich geklärt.

Da die Anspruchsgrundlage aus dem Unionsrecht stammt, ist sie uni­onsrechtskonform auszulegen. Die Rechtsprechung zu anderen im deut­schen Recht vorgesehenen immate­riellen Schadensersatzansprüchen ist daher nicht unmittelbar anzuwen­den. Nach Inkrafttreten der DS-GVO haben zunächst offene Rechtsfragen und die traditionell restriktive Hal­tung deutscher Gerichte zu immate­riellen Schäden dafür gesorgt, dass die Schadensersatzansprüche wegen Datenschutzverletzungen in der Ver­gangenheit eher selten durchgesetzt wurden.

Doch zu Beginn des Jahres 2021 hat das Bundesverfassungsgericht eini­gen Argumenten, mit denen Gerichte Schadensersatzansprüche wegen Datenschutzverletzungen bisher leicht ablehnen konnten, den Riegel vorgeschoben. In der Folge etabliert sich in Deutschland nun zuneh­mend eine klägerfreundliche Recht­sprechung. Urteile, die mitunter Schadensersatzsummen von bis zu 5.000 Euro pro Schadensfall zuspre­chen, ermutigen immer mehr Perso­nen dazu, nach Datenschutzverstößen Schadensersatzansprüche geltend zu machen.

Zur Klärung offener Rechtsfragen zum „immateriellen Schaden“ im Sinne von Art. 82 DS-GVO sind bereits meh­rere Entscheidungsersuchen deutscher Gerichte beim Europäischen Gerichts­hof (EuGH) anhängig. Die zu erwar­tende, klarstellende Rechtsprechung durch den EuGH hat das Potenzial, den Startschuss für eine massen­hafte Geltendmachung von Schaden­ersatzforderungen wegen vermuteter Datenschutzverstöße zu geben.

Schadensersatzmanagement

Bei Verstößen gegen Auskunftspflich­ten drohen einerseits behördliche Maßnahmen und empfindliche Buß­gelder. So hat beispielsweise die Hes­sische Datenschutzbehörde in ihrem Tätigkeitsbericht für das Jahr 2020 Verstöße gegen Auskunftspflichten mit Bußgeldern im mittleren fünfstel­ligen Bereich geahndet.

Digitale Personalakte 7
Digitale Personalakte 7

Die strengen Vorgaben der Aufsichts­behörden dürften allerdings auch den aktuell zu beobachtenden Entwick­lungen im Hinblick auf Schadener­satzforderungen im Datenschutzrecht weiter Vorschub leisten. Dabei ist zu beobachten, dass sich in Deutsch­land zunehmend eine klägerfreundli­che Rechtsprechung zum Datenschutz etabliert. Für Verstöße gegen die Aus­kunftspflicht hat beispielsweise das Landesarbeitsgericht Hamm jüngst in einem Fall immateriellen Scha­densersatz in Höhe von 1.000 Euro zugesprochen.

Das Arbeitsgericht Düsseldorf erkannte für eine verspätete Auskunft sogar immateriellen Schadensersatz in Höhe von 5.000 zu. Diese Entwicklung dürfte immer mehr Personen dazu ermutigen, auch bei Verstößen gegen Auskunftspflichten Schadensersatzan­sprüche geltend zu machen.

Revisionssichere Datenverarbeitungsprozesse

Es ist notwendig, die internen Pro­zesse sowie die Dokumentation zum Datenschutz im Unternehmen auch vor dem Hintergrund der oben erwähnten neuen Leitlinien des EDSA sorgfältig zu prüfen und im Bedarfs­fall anzupassen.

Vor allem Vorgaben (Richtlinien, Leit­fäden, Checklisten) zur Handhabung von Datenschutzanfragen sowie Stan­dardvorlagen für die Auskunftser­teilung sollten einer Überprüfung unterzogen werden, um für Aus­kunftsanfragen gewappnet zu sein. Es ist anzuraten, die vom EDSA for­mulierten Anforderungen bereits jetzt zu berücksichtigen, zumal die veröf­fentlichte Fassung der Leitlinien die gemeinsame Linie der europäischen Aufsichtsbehörden wiedergibt.

Für Unternehmen wird es durch die aktuellen Entwicklungen zudem immer wichtiger, sich frühzeitig und strategisch mit den Herausfor­derungen, Chancen und Risiken der Gerichtsverfahren im Bereich Daten­schutz auseinanderzusetzen. Das Datenschutzrecht bildet dabei den Schwerpunkt und die Verbindung zu anderen Bereichen wie den maßgeb­lichen Verfahrens- und Prozessregel­werken.

Fazit

Prozesse im digitalen Wandel

Der Übergang vom Papier zum elektronischen Dokument schreitet schnell voran. Die elektronische Abwicklung von Geschäftsprozes­sen resultiert vor allem in Zeit- und Kostenvorteilen. Einsatzfelder für Digitalisierungsmöglichkeiten im Personalmanagement sind Perso­nalauswahl, Personalentwicklung, Betriebliches Gesundheitsmanage­ment, Zeitmanagement sowie die Personaleinsatzsteuerung. Nachholbedarf besteht in vielen Unternehmen und insbesondere bei zunehmender Teilzeitarbeit sowie wachsenden Flexibilitätser­fordernissen.

Raschid Bouabba, MCGB GmbH

Diesen Beitrag teilen: