Im Rahmen eines Beschäftigungsverhältnisses finden viele einzelne Vorgänge statt, die in irgendeiner Form – meist in einer Personalakte – dokumentiert werden und den Führungskräften als Grundlage für Entscheidungen dienen. Dabei entfalten diese Entscheidungen vor allem im Bereich des Zivilrechts und hier insbesondere des Arbeitsrechts Rechtsfolgen und dies sowohl für das Unternehmen als auch für die Beschäftigten. In diesem Zusammenhang stellt sich für die Verantwortlichen in einem Unternehmen die Frage, wie weit das Einsichtsrecht der Führungskräfte reicht. Dürfen diese uneingeschränkt Einsicht in die Personalunterlagen nehmen, die regelmäßig Inhalt einer Personalakte sind, oder sind unter dem Aspekt des Datenschutzes betrachtet Einschränkungen zu beachten?
Allgemeines zum Datenschutz im Beschäftigungsverhältnis
Zunächst ist festzuhalten, dass das Führen von Personenakten ein Recht und keine Pflicht ist. Entscheidet sich ein Unternehmen aber dazu, Personalakten zu führen, dann ist es im Rahmen der Verarbeitung personenbezogener Daten der Beschäftigten verpflichtet, die in Art. 5 Abs. 1 DSGVO geregelten Grundsätze einzuhalten. Zu diesen Grundsätzen gehört insbesondere der Grundsatz der Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO. Konkretisiert wird dieser Grundsatz auch durch den Art. 32 Abs. 1 lit. b DSGVO.
Entsprechend diesem Grundsatz hat der Verantwortliche Sorge dafür zu tragen, dass die verarbeiteten personenbezogenen Daten vertraulich behandelt werden. Dies bedeutet im Wesentlichen, dass die Inhalte der Personalakte gegenüber nicht zur Kenntnis befugten Personen nicht offengelegt werden dürfen. Und im Rahmen eines Arbeitsverhältnisses werden in der Personalakte regelmäßig sehr viele personenbezogene Daten verarbeitet. Exemplarisch seien hier folgende genannt:
Stammdaten zu den jeweiligen Beschäftigten wie Name, Vorname, Geburtsdatum, Familienstand, Inhalt des Personalfragebogens allgemein, arbeitsvertragliche Regelungen zu Lohn, Urlaubsanspruch, Angaben zu den Krankheitstagen, Qualifikationen, Gratifikationen, Fortbildungsnachweise, Abmahnungen, Ausbildungszeugnisse, Schriftwechsel im Zusammenhang mit dem Arbeitsverhältnis, Beurteilungen.
Die Gewährleistung der Vertraulichkeit muss ein Verantwortlicher dabei durch geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (s.o.) sicherstellen. Neben den Zutritts- und Zugangskontrollen, beispielsweise durch abgeschlossene Schränke, Versendung der Post (auch Hausintern) in verschlossenen Briefumschlägen bzw. Verschlüsselung der Datenträger bei digital verarbeiteten Daten, kommen auch unternehmensinterne Regelungen und Anweisungen zu den Berechtigungen zur Einsicht in die Beschäftigtendaten in Betracht.
Zugriffsrechte auf Personaldaten
Ein Verantwortlicher muss im Rahmen der Regelung der Einsichtsrechte zunächst identifizieren, wer im Unternehmen Zugriff auf die personenbezogenen Daten der Beschäftigten zu welchem Zweck und in welchem Umfang benötigt, sofern feststeht, dass die Daten zu dem jeweiligen Zweck überhaupt zulässigerweise verarbeitet werden dürfen.
Als zentrale Norm, die die Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses erlaubt, ist der § 26 Abs. 1 S. 1 BDSG zu nennen. Dieser Paragraph erlaubt grundsätzlich die Verarbeitung von Beschäftigtendaten, sofern dies für die Entscheidung über die Begründung oder nach Begründung zur Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. So benötigen beispielsweise die Beschäftigten der Personalabteilung regelmäßig Zugriff auf diejenigen Daten, die erforderlich sind, um die ihnen übertragenen Tätigkeiten ausüben zu können. Dahingegen benötigen beispielsweise die Beschäftigten der Marketingabteilung in der Regel keinen Zugriff auf die Daten der Kolleg*innen.
Ferner sind auch weitere Rechtsgrundlagen vorhanden, die speziell im Bereich des Arbeitsrechts die Verarbeitung von Beschäftigtendaten legitimieren. Zu nennen ist hier insbesondere der § 26 Abs. 1 S. 2 BDSG. Diese Norm erlaubt es, Daten für Zwecke der Straftatenaufklärung zu verarbeiten. Zudem erlaubt der § 26 Abs. 2 BDSG die Datenverarbeitung auf der Grundlage einer Einwilligung und der § 26 Abs. 4 BDSG auf Basis einer Kollektivvereinbarung. Sofern Einsicht in Personalunterlagen zur Erfüllung der vorgenannten Zwecke erforderlich ist, kann diese auch erfolgen.
Darüber hinaus ist den Beschäftigten selbst Einsicht in die gespeicherten Daten gemäß Art. 15 DSGVO sowie gemäß § 83 BetrVG bei Arbeitnehmer*innen und gemäß § 26 Abs. 2 SprAuG bei leitenden Angestellten zu gewähren. Auch der Betriebsrat hat gemäß § 26 Abs. 1 S. 1 BDSG i.V.m. § 80 Abs. 2 BetrVG Einsichtsrechte, die sich jedoch nicht auf die gesamte Personalakte, sondern nur auf Teile davon (Bruttolöhne, Arbeitsvertrag) beziehen.
Zu beachten ist jedoch, dass ein solches Einsichtsrecht, das explizit durch den Gesetzgeber geregelt worden wäre, für Führungskräfte nicht besteht. Die Führungskräfte sind hinsichtlich ihrer Einsichts- und Zugriffsrechte weder besser noch schlechter gestellt als die „normalen“ Beschäftigten. Das bedeutet, dass die Einsicht und der Zugriff auf die Daten stets zweckgebunden erfolgen müssen.
Die Führungskräfte dürfen entsprechend dem Vertraulichkeitsgrundsatz nur auf Daten zugreifen und Einsicht nur in die Unterlagen nehmen, die zur Wahrnehmung ihrer Führungsaufgabe jeweils objektiv erforderlich sind und vom (übertragenen) Direktionsrecht zur Erfüllung der jeweiligen Aufgabe gedeckt sind. Hierbei sind in jedem Fall die organisatorischen Strukturen des Unternehmens zu beachten und die Zugriffsrechte an die entsprechende Position der Führungskraft anzupassen. Es ist also sicherzustellen, dass Abteilungsleiter*innen nur Zugriff auf Daten der Beschäftigten ihrer Abteilungen erhalten und nicht auf Daten aller Beschäftigen des Unternehmens, die in einer Personalverwaltungssoftware ggf. gespeichert werden oder in der Personalakte (ggf. in analoger Form) aufbewahrt werden. Bereichsleiter*innen benötigen dagegen entsprechend deutlich umfangreichere Zugriffsrechte. Der Extremfall wäre die Geschäftsleitung, die letztlich Einblick in sämtliche Unterlagen erhalten darf, da sie in ihrer Funktion für alle Datenverarbeitungen verantwortlich ist, das entsprechende Zugriffsrecht für die Erfüllung ihrer Aufgaben also gegebenenfalls benötigt. Mit den Einschränkungen soll insbesondere (unberechtigten) Datenabrufen aus reiner Neugier oder zu privaten Zwecken (beispielsweise um telefonisch Kontakt mit Kolleg*innen aufzunehmen) vorgebeugt werden.
Dabei ist allerdings auch zu berücksichtigen, dass mit größer werdendem Verantwortungsbereich zwar die Argumente für Zugriffsberechtigungen mehr werden, im Gegenzug aber auch die „Entfernung“ der Führungskräfte von den einzelnen Beschäftigten abnimmt. Damit nimmt wiederum auch die Notwendigkeit des Zugriffs ab. Es ist also möglich und auch wahrscheinlich, dass Führungskräfte hoher Hierarchiestufen zwar aufgrund der umfangreichen Verantwortung innerhalb des Unternehmens das Recht haben können, auf bestimmte Daten der Ihnen direkt oder indirekt unterstehenden Beschäftigten zuzugreifen. Allerdings spricht gegen einen dauerhaften Zugriff auf diese Daten die tatsächliche Aufgabenverteilung. Denn mit Detailfragen bezüglich einzelner Beschäftigter werden sich in vielen Fällen Führungskräfte auf nachgelagerten Hierarchiestufen beschäftigen, womit die Erforderlichkeit für die vorgelagerten Führungskräfte nicht mehr gegeben ist.
Die Frage, inwiefern Führungskräfte Einsicht in die Personalunterlagen erhalten dürfen, kann also nicht pauschal erfolgen, sondern ist stets eine Frage des Einzelfalls und der Erforderlichkeit der Datenverarbeitung. In jedem Einzelfall ist sind Verantwortliche daher angehalten im Rahmen eines Berechtigungskonzepts nach Maßgabe des Need-to-Know-Prinzips die Erforderlichkeit der Datenverarbeitung durch die jeweiligen Mitarbeiter*innen zu beurteilen und zu dokumentieren.
Fazit
Sofern Führungskräfte personenbezogene Daten der Beschäftigten verarbeiten, hat der Verantwortliche durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass das Recht zur Einsichtnahme im Rahmen des Berechtigungskonzepts auf das erforderliche Minimum reduziert wird. Hier ist neben dem Vertraulichkeitsgrundsatz der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO zu beachten. Nur in seltenen Fällen wird der Zugriff auf alle vorhandenen Unterlagen bzw. auf die komplette Personalakte erforderlich sein. Daher muss insbesondere bei Unternehmen mit hierarchischen Führungsstrukturen durch ein abgestuftes Rollenkonzept der Zugriff und die Einsicht entsprechend der Position eingeschränkt werden.
______________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.