Die Aufbewahrung von Personalakten stellt Unternehmen vor besondere Herausforderungen, insbesondere im Hinblick auf die Anforderungen der Datenschutz-Grundverordnung (DSGVO). Die Verpflichtung zur Anonymisierung und der Schutz personenbezogener Daten stehen dabei im Mittelpunkt. Gleichzeitig müssen die Daten zuverlässig genutzt und rechtliche Aufbewahrungsfristen eingehalten werden. Wie Unternehmen diesen Spagat meistern können, welche Fristen gelten und worauf bei der Verwaltung von Personalakten besonders zu achten ist, wird im Folgenden detailliert erläutert.
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten
Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur, wenn eine gesetzliche Grundlage besteht. Dazu gehören:
- Einwilligung der Betroffenen: Mitarbeitende oder Bewerber müssen der Verarbeitung ausdrücklich zustimmen.
- Rechtsgrundlage durch Arbeitsrecht: Daten dürfen verarbeitet werden, wenn sie für die Durchführung eines Arbeitsverhältnisses notwendig sind.
- Berechtigtes Interesse: In Einzelfällen können berechtigte Interessen des Arbeitgebers eine Verarbeitung rechtfertigen.
Aufbewahrungsfristen im Detail
Daten von Bewerbern
- Abgelehnte Bewerbungen: Bewerbungsunterlagen dürfen vier bis sechs Monate nach Ablehnung aufbewahrt werden, um rechtliche Ansprüche (z. B. im Rahmen des Allgemeinen Gleichbehandlungsgesetzes) prüfen zu können.
- Langfristige Speicherung: In Ausnahmefällen, etwa für einen Talentpool, ist eine längere Speicherung nur mit Einwilligung des Bewerbers zulässig.
Daten von Mitarbeitenden
- Allgemeine Aufbewahrungsfrist: Daten, die das Arbeitsverhältnis betreffen, müssen mindestens drei Jahre aufbewahrt werden. Dies umfasst z. B. Arbeitsverträge und Nachweise über die Vergütung.
- Steuerrechtliche Unterlagen: Lohnsteuerkarten und ähnliche Dokumente unterliegen einer Aufbewahrungsfrist von sechs Jahren.
- Handels- und Geschäftsdokumente: Rechnungen, Lieferscheine und andere Geschäftsunterlagen sind sechs Jahre lang aufzubewahren.
- Finanzdokumente: Jahresabschlüsse und Bilanzen unterliegen einer zehnjährigen Aufbewahrungsfrist, um steuerliche und buchhalterische Nachweise zu sichern.
DSGVO-konforme Verwaltung der Personalakte
Grundsätze zur Führung von Personalakten
- Vollständigkeit und Genauigkeit: Die Akte sollte lückenlos geführt werden, um jederzeit einen Nachweis über die Prozessschritte zu gewährleisten.
- Transparenz: Mitarbeitende müssen über die Existenz ihrer Personalakte informiert werden und haben ein Einsichtsrecht.
- Zugriffsrechte: Nur autorisierte Personen (z. B. Vorgesetzte oder die Personalabteilung) dürfen die Akte einsehen.
Anforderungen an die Aufbewahrung
- Physische Akten: Müssen sicher vor unbefugtem Zugriff geschützt und an einem geschlossenen Ort aufbewahrt werden.
- Digitale Akten: Erfordern eine sichere Speicherung mit geeigneten Verschlüsselungsmaßnahmen und Zugriffskontrollen.
Löschung personenbezogener Daten nach der DSGVO
Die DSGVO schreibt nicht nur die Aufbewahrung, sondern auch die ordnungsgemäße Löschung personenbezogener Daten vor. Wichtig ist, dass eine Löschung vollständig und nachweisbar erfolgt. Dabei gelten folgende Grundsätze:
- Rechtzeitige Löschung: Nach Ablauf der Aufbewahrungsfrist sind die Daten zu entfernen, es sei denn, gesetzliche Gründe sprechen dagegen.
- Vernichtung der Datenträger: Physische Dokumente sollten geschreddert, digitale Daten durch spezialisierte Software unwiederbringlich gelöscht werden.
- Protokollierung: Der Löschvorgang muss dokumentiert werden, um Transparenz und Nachvollziehbarkeit zu gewährleisten.
„Recht auf Vergessenwerden“
Das „Recht auf Vergessenwerden“ gibt Betroffenen das Recht, die Löschung aller über sie gespeicherten Daten zu verlangen. Unternehmen sind verpflichtet, diesem Wunsch nachzukommen, sofern keine rechtlichen Verpflichtungen entgegenstehen.
Best Practices zur DSGVO-konformen Personalaktenführung
Um den Anforderungen der DSGVO gerecht zu werden, sollten Unternehmen folgende Maßnahmen umsetzen:
- Regelmäßige Datenüberprüfung: Durch eine systematische Kontrolle kann sichergestellt werden, dass veraltete oder unzulässige Daten rechtzeitig gelöscht werden.
- Schulungen: Mitarbeitende, die mit personenbezogenen Daten arbeiten, sollten regelmäßig geschult werden, um Datenschutzverstöße zu vermeiden.
- Technische Lösungen: Der Einsatz von Datenschutzsoftware erleichtert die Einhaltung von Fristen und erhöht die Sicherheit bei der Datenverarbeitung.
Fazit
Die Aufbewahrung und Verarbeitung von Personalakten im Einklang mit der DSGVO erfordert ein hohes Maß an Organisation und Sorgfalt. Durch die Einhaltung der vorgeschriebenen Aufbewahrungsfristen und den Einsatz geeigneter Sicherheitsmaßnahmen können Unternehmen sowohl rechtlichen Anforderungen gerecht werden als auch das Vertrauen ihrer Mitarbeitenden stärken. Das „Recht auf Vergessenwerden“ und die Verpflichtung zur Dokumentation aller Schritte machen den Datenschutz dabei zu einer dauerhaften Aufgabe. Mit klaren Prozessen und regelmäßigen Überprüfungen bleiben Unternehmen jedoch auch langfristig auf der sicheren Seite.
PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)
Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.
Sie erreichen uns jederzeit über unser Kontaktformular!