Die gesetzlichen Anforderungen in Bezug auf Personalakten sind im Arbeitsgesetz Nr. 4857 festgelegt, wo Artikel 75 die Arbeitgeber verpflichtet, Personalakten zu führen, die Informationen und Dokumente der Arbeitnehmer enthalten. Artikel 104 des Gesetzes sieht sogar Verwaltungsstrafen für Arbeitgeber vor, die keine Personalakten führen. Personalakten enthalten die Aufzeichnungen des Arbeitgebers über die Identität, die Ausbildung, die Gesundheit, den Militärdienststatus, den Wohnsitz usw. eines Arbeitnehmers, und die darin enthaltenen Informationen und Dokumente sind nach dem Gesetz über den Schutz personenbezogener Daten („KVKK“) gesetzlich geschützt. Das KVKK erlegt dem Arbeitgeber bei der Verarbeitung personenbezogener Daten von Arbeitnehmern strenge Verpflichtungen auf und verpflichtet ihn, nur die für die jeweilige Tätigkeit erforderlichen Informationen zu verarbeiten und die Daten in einer sicheren Umgebung zu speichern. Eine Datenverarbeitung, bei der die Verfahren und Grundsätze des Gesetzes nicht beachtet werden, stellt eine Verletzung der personenbezogenen Daten dar. Daher sollten alle in einer Personalakte enthaltenen Informationen in Übereinstimmung mit dem KVKK verarbeitet werden. Der Schutz personenbezogener Daten in Personalakten wird im Folgenden unter verschiedenen Aspekten analysiert.
Verarbeitung, Speicherung und Vernichtung von personenbezogenen Daten in Personalakten
Die Informationen in Personalakten dürfen gemäß Artikel 4 des KVKK nur für „festgelegte, eindeutige und rechtmäßige Zwecke unter Beachtung der Grundsätze der Rechtmäßigkeit und Billigkeit“ verarbeitet werden. Der Arbeitgeber muss bei der Erhebung dieser Daten sicherstellen, dass sie „für die Zwecke, für die sie verarbeitet werden, relevant, begrenzt und verhältnismäßig“ sind, und nur solche Daten verarbeiten, die den Anforderungen der jeweiligen Stelle dienen. Die Daten in den Personalakten sollten in einer sicheren Umgebung aufbewahrt werden und nur befugten Personen zugänglich sein.
Gemäß Artikel 7 der KVKK müssen Arbeitgeber Daten vernichten, wenn die Aufbewahrungsfrist abgelaufen ist und die Verarbeitung nicht mehr erforderlich ist. Darüber hinaus verpflichten die „Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten“ und die „Richtlinie über die Aufbewahrung und Vernichtung personenbezogener Daten der Datenschutzbehörde“ den Arbeitgeber, Daten zu löschen, zu vernichten oder zu anonymisieren, wenn ihre Verarbeitung nicht mehr erforderlich ist oder sie nach Ablauf der Höchstfrist für die Aufbewahrung personenbezogener Daten nach Beendigung des Arbeitsverhältnisses gemäß der einschlägigen Verordnung unnötig geworden sind.
Schutz und Verarbeitung von Gesundheitsdaten
Gesundheitsdaten gehören zu den „besonderen Kategorien personenbezogener Daten“ gemäß Artikel 6 der KVKK, und ihre Verarbeitung bedarf der ausdrücklichen Zustimmung. Sie geben Aufschluss über den Gesundheitszustand eines Arbeitnehmers, einschließlich der Ergebnisse der medizinischen Untersuchungen, die bei der Einstellung und in regelmäßigen Abständen durchgeführt werden, und sollten nur von einem Betriebsarzt oder autorisiertem Gesundheitspersonal erhoben werden. Aus den Entscheidungen des Ausschusses für den Schutz personenbezogener Daten geht hervor, dass ein Arbeitsmediziner Gesundheitsdaten im Rahmen seiner gesetzlich festgelegten Aufgaben verarbeiten darf, sofern die für die Verarbeitung Verantwortlichen angemessene Maßnahmen bei der Verarbeitung besonderer Kategorien personenbezogener Daten ergreifen.
Die Arbeitgeber sind dafür verantwortlich, für die Gesundheit ihrer Mitarbeiter zu sorgen und sie vor Risiken im Bereich der Gesundheit und Sicherheit am Arbeitsplatz zu schützen. Ein Arbeitsmediziner kann den Gesundheitszustand eines Arbeitnehmers bei der Einstellung, bei einem Arbeitsplatzwechsel, nach Arbeitsunfällen oder bei arbeitsmedizinischen Problemen untersuchen, wenn er darum gebeten wird, oder in regelmäßigen Abständen je nach Gefährdungsgrad des Arbeitsplatzes oder des Unternehmens, wobei nach jeder Untersuchung ein Bericht zu erstellen ist. Die Arbeitgeber sind auch dafür verantwortlich, dass die Gesundheitsdaten zweckmäßig und verhältnismäßig erhoben werden, dass sie sich auf die Informationen beschränken, die je nach Art der zu verrichtenden Arbeit erforderlich sind, und dass sie mit Zustimmung des Arbeitnehmers verarbeitet werden.
Was den Schutz der Gesundheitsdaten anbelangt, so müssen die Untersuchungsformulare, die medizinischen Berichte und alle anderen Gesundheitsdaten des Arbeitnehmers beim Betriebsarzt und nicht in der Personalakte aufbewahrt werden und müssen für andere unzugänglich bleiben, um Verletzungen des Datenschutzes und der Datensicherheit zu vermeiden.
Können Strafregister in Personalakten aufbewahrt werden?
Informationen über die strafrechtliche Verurteilung einer Person gehören zu den besonderen Kategorien personenbezogener Daten. Gemäß Artikel 6 des KVKK dürfen Strafregisterauszüge daher nur verarbeitet werden, wenn dies „ausdrücklich gesetzlich vorgeschrieben ist“, „mit der ausdrücklichen Zustimmung der betroffenen Person“ oder in anderen gesetzlich festgelegten Fällen.
Einige Vorschriften erlauben oder verlangen sogar die Einholung von Strafregisterauszügen in bestimmten Bereichen oder Positionen (Sicherheitspersonal, Personal in privaten Bildungseinrichtungen usw.). Bei diesen Vorschriften handelt es sich jedoch um Ausnahmen, und in der Regel darf der Arbeitgeber die Strafregisterauszüge seiner Mitarbeiter nur mit deren ausdrücklicher Zustimmung bearbeiten. Sofern in den Gesetzen nicht ausdrücklich etwas anderes vorgesehen ist, dürfen Strafregisterauszüge von Arbeitnehmern ohne deren ausdrückliche Zustimmung nicht rechtmäßig verarbeitet werden. Bei der Einholung der ausdrücklichen Zustimmung sollten die Mitarbeiter darüber informiert werden, dass ihre Entscheidung, die ausdrückliche Zustimmung zu erteilen, keinen Einfluss auf das Ergebnis ihrer Bewerbung oder ihre Beschäftigung hat und dass sie ihre ausdrückliche Zustimmung jederzeit und ohne Bedingungen zurückziehen können. Darüber hinaus sollten die Daten mit angemessenen Maßnahmen gemäß den Vorgaben des Ausschusses für den Schutz personenbezogener Daten gespeichert und innerhalb des entsprechenden Zeitraums vernichtet werden.
Schlussfolgerung
Die Verpflichtung des Arbeitgebers, personenbezogene Daten von Arbeitnehmern nur dann zu verarbeiten, wenn dies für ihre Arbeit erforderlich ist, und alle technischen und administrativen Datensicherheitsmaßnahmen zu ergreifen, trägt zum Schutz der Daten in den Personalakten und zur Förderung eines zuverlässigen Arbeitsumfelds bei.
Die Aufbewahrung und Vernichtung von Personalakten ist für Arbeitgeber von großer Bedeutung, da diese Akten eine Vielzahl von allgemeinen und besonderen Kategorien personenbezogener Daten enthalten. Der Arbeitgeber muss daher die Daten mit Augenmaß verarbeiten, indem er die im Gesetz festgelegten Zwecke und Grenzen der Datenverarbeitung beachtet, die im Gesetz und in anderen Rechtsvorschriften festgelegten Grundsätze einhält, die erforderlichen Maßnahmen für die Aufbewahrung der Personalakten ergreift und die Vorschriften für die Vernichtung am Ende des entsprechenden Zeitraums einhält. Rechtliche Beratung ist von entscheidender Bedeutung, damit jeder Schritt des Prozesses sorgfältig und ohne Verstöße durchgeführt werden kann. Darüber hinaus kann die Sensibilisierung der Mitarbeiter durch innerbetriebliche Schulungen dazu beitragen, Bußgelder zu vermeiden, die sich aus Verstößen gegen die Verpflichtungen nach dem KVKK ergeben können.
