Ø Die personalaktenrechtlichen Vorschriften gewährleisten, dass zugleich den Vorgaben der DSGVO entsprochen wird.
Ø Insbesondere stellen die personalaktenrechtlichen Vorschriften ausreichende Rechtsgrundlagen für die Erhebung, Speicherung und Weitergabe von Daten dar. Was personalaktenrechtlich möglich und erlaubt ist, ist dann auch nach der DSGVO zulässig.
Ø Einzige Ausnahme: Die Vorgaben zur Einwilligung müssen eigenständig beachtet werden.
Die DSGVO macht für die Datenschutzkonformität des Datenverarbeitungsvorgangs folgende Vorgaben:
Ø Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Ø Zweckgebundenheit
Ø Notwendigkeit und Verhältnismäßigkeit
Ø Datenminimierung / Datensparsamkeit
Ø Richtigkeit
Ø Speicherbegrenzung / Löschung
Ø Integrität und Vertraulichkeit
Prüfungsfragen:
(1) Gibt es eine Rechtsgrundlage für die Datenverarbeitung?
(2) Ist die Datenverarbeitung fair?
(3) Ist für den Beschäftigten der Inhalt und Umfang der Datenverarbeitung erkennbar (transparent)?
(4) Erfolgt die Datenverarbeitung im Rahmen der Zweckbindung (für das Beschäftigungsverhältnis)?
(5) Müssen personenbezogene Daten verarbeitet werden (Anonymisierung, Aggregierung)?
(6) Werden wirklich alle Daten benötigt? Wofür? Genügen (zeitliche) Stichproben?
(7) Werden sie bereits jetzt benötigt?
(8) Werden sie immer noch benötigt?
(9) Sind die Daten richtig?
(10) Werden Verschlüsselungsmöglichkeiten eingesetzt? Ist ein Offenbaren an Dritte ausgeschlossen?
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist (sog. Verbot mit Erlaubnisvorbehalt):
Erfüllung einer rechtlichen Verpflichtung
In aller Regel können beamtenrechtlich begründete Datenverarbeitungsvorgänge auf den Tatbestand der Erfüllung einer rechtlichen Verpflichtung gestützt werden. Rechtsgrundlage ist dann jeweils die Vorschrift zur personalrechtlichen Maßnahme, z.B. eine Teilzeitverfügung, i.V.m. den personalaktenrechtlichen Vorschriften. Nach bayerischem Recht sind das vor allem Art. 103 BayBG zur Verarbeitung personenbezogener Daten und Art. 108 BayBG zur Weitergabe von Personaldaten. Die DSGVO bringt insofern keine fundamentalen Änderungen für die tägliche Personalpraxis - was bisher schon personalaktenrechtlich zulässig war, wird auch durch die DSGVO nicht beschränkt.
Beispiele:
Einwilligung:
In seltenen Fällen kann es notwendig werden, im Personalbereich eine Einwilligung einzuholen. Dies betrifft insbesondere folgende Fälle:
Einwilligung im Bewerbungsverfahren:
Im Bewerbungsverfahren ist grundsätzlich keine Einwilligung nötig, weil die Datenerhebung zur Vorbereitung der Ernennungsentscheidung i.V.m. Art. 103 BayBG erforderlich ist, sofern und soweit die Daten zur Beurteilung von Leistung, Eignung und Befähigung geeignet sind.
Für die Teilnahme an Strukturierten Interviews oder die Anwendung eignungsdiagnostischer Maßnahmen bedarf es prinzipiell keiner Einwilligung des Bewerbers, es seid denn, es werden externe Dienstleister einbezogen (die Einwilligung ist hier die einzig denkbare Rechtsgrundlage für den Datenaustausch mit dem Dienstleister - Ausnahme: bloße Auftragsverarbeitung) oder es erfolgt eine Datenkombination mit anderen Datenbanken.
Werden Informationen bei Dritten eingeholt, ist zu unterscheiden:
Ist die Informationserlangung nur durch eine Mitwirkung des Bewerbers möglich, ist hierfür die personalaktenrechtliche Vorschrift des Art. 103 BayBG ausreichend. Beispiele: Anlegung eines öffentlichen Profils bei Facebook oder LinkedIn, Akzeptieren einer Freundschaftsanfrage bei Facebook, amtsärztliche Untersuchung, Beantragung eines Führungszeugnisses, Vorlage einer Schufa-Auskunft.
Wird die Information demgegenüber direkt beim Dritten erhoben, ohne dass das der Bewerber verhindern könnte, ist hierfür eine Einwilligung erforderlich, weil der Bewerber selbst entscheiden können soll, ob er die Informationserlangung ermöglicht oder lieber das Bewerbungsverfahren abbricht. Beispiele: Einsichtnahme in frühere Personalakten (= Informationserhebung beim früheren Arbeitgeber), Einholung einer unbeschränkten Bundeszentralregisterauskunft.
Eine Einwilligung ist schließlich auch dann erforderlich, wenn der Dienstherr Bescheinigungen oder Genehmigungen etc. für den Bewerber bei Dritten einholen will, weil auch die Offenbarung der Bewerbung ein personenbezogenes Datum ist, das einer Rechtsgrundlage bedarf.
Die Einwilligung (Muster) muss dann folgenden Vorgaben genügen:
1. Form
Die Einwilligung ist zwar nicht an besondere Formerfordernisse gebunden. Aus Dokumentationsgründen ist die Einwilligung aber schriftlich oder elektronisch einzuholen.
Die Einwilligung muss entsprechend zum Personalakt genommen werden oder im jeweiligen Personalverwaltungssystem gespeichert werden (z.B. „Bewerber ist mit Verbleib im Bewerberpool einverstanden, keine Löschung erforderlich“).
2. Opt-In (positive Erteilung der Einwilligung, keine vorausgefüllten Felder)
Bei Verwendung eines Formulars sind stets nur Opt-In Kästchen vorzusehen. Das Opt-Out ist grundsätzlich nicht ausreichend, sodass vor allem vorangekreuzte Kästchen keine wirksame Einwilligung bewirken.
3. Freiwilligkeit
Die Einwilligung muss freiwillig erfolgen. Wenn sie mit einer Leistungserbringung verknüpft ist, darf die Einwilligung nur abverlangt werden, wenn sie für die Leistungserbringung (aufgrund der damit verbundenen Verarbeitung personenbezogener Daten) auch wirklich notwendig ist.
4. Zweckgebundenheit
Die Einwilligung muss zweckgebunden eingeholt und die Verarbeitungszwecke dabei aufgeführt werden. Generaleinwilligungen sind nicht zulässig.
5. Widerruf
Wie bisher hat der Betroffene ein Widerrufsrecht. Er muss deswegen die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können. Der Widerruf der Einwilligung muss dabei so einfach wie die Erteilung der Einwilligung sein.
BDSG
(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 679/2016 in Textform aufzuklären.
Der Autor der Website:
Dr. Michael Luber, LL.M.Eur. ist Leitender Ministerialrat im Bayerischen Staatsministerium der Finanzen und für Heimat. Er ist Leiter des Personal- und Grundsatzreferats der Personalabteilung des Ministeriums und stellvertretender Abteilungsleiter. Zuvor war er u.a. in der Bayerischen Staatskanzlei tätig. Herr Dr. Luber arbeitet an verschiedenen beamtenrechtlichen (Online-)Kommentaren mit und ist Mitautor von Monographien zum Neuen Dienstrecht in Bayern, zum Amtshaftungsrecht (www.staats-haftung.de) und zum Kostenrecht. Er hat Jura an der Ludwig-Maximilians-Universität München studiert und wurde dort zum Dr. iur. promoviert. Er war Teilnehmer des 23. Lehrgangs für Verwaltungsführung.
Die Website ist privat erstellt und nicht als dienstliche Äußerung zu verstehen.
Stand 01.03.2021