Datenschutz in der Personalabteilung – Das musst du beachten
In jedem Unternehmen werden große Menge sensibler Daten von Arbeitnehmer:innen verarbeitet. Der Schutz dieser personenbezogenen Daten und Informationen ist eine wichtige Aufgabe der Personalabteilung und wird sowohl durch die Vorgaben der Datenschutz-Grundverordnung DSGVO als auch durch das Bundesdatenschutzgesetz (BDSG-neu) in seiner Form seit Mai 2018 geregelt. Zudem müssen die Anforderungen des allgemeinen Datenschutzes und der Datensicherheit beachtet werden.
In diesem Artikel erfährst du, worauf du beim Datenschutz in der Personalabteilung achten musst, welche gesetzlichen Vorgaben es gibt und welche Pflichten sich hieraus für deine Personalabteilung im Bereich Arbeitnehmerdatenschutz ergeben.
Datenschutz im Arbeitsverhältnis
Das Thema Datenschutz in der Personalabteilung ist von besonderer Bedeutung. Arbeitnehmerdatenschutz konzentriert sich auf den Schutz der personenbezogenen Daten von Arbeitnehmer:innen. Dazu zählen auch Personaldaten von Arbeitnehmerüberlassungen und solche Daten, die in Bewerbungsverfahren angesammelt werden.
Das Ziel beim Datenschutz im Arbeitsverhältnis ist es, die Persönlichkeitsrechte der Arbeitnehmer:innen zu schützen und ihnen die Wahl zu lassen, welche ihrer persönlichen Informationen gespeichert und genutzt werden dürfen.
Grundsätzlich müssen bei der Begründung und der Durchführung eines Arbeitsverhältnisses bestimmte personenbezogene Daten selbstverständlich von der Personalverwaltung gespeichert und verarbeitet werden – ansonsten kannst du weder eine monatliche Gehaltsabrechnung vornehmen, noch eine Personalakte führen.
Der Datenschutz im Arbeitsverhältnis garantiert den Arbeitnehmer:innen jedoch das Recht, zu wissen, welche ihrer personenbezogenen Daten gespeichert und verarbeitet werden – und natürlich auch warum. Ebenso existieren klare Vorschriften, welche personenbezogenen Daten nicht erfasst oder wie lange gespeichert werden dürfen.
Was sind Personaldaten?
Mit Personaldaten sind die personenbezogenen Daten gemeint, die im Rahmen eines Arbeitsverhältnisses durch das Unternehmen erfasst und verarbeitet werden.
Es gibt keine gesetzliche Definition, welche personenbezogenen Daten zu den Personaldaten zählen. Je nachdem welche personenbezogenen Daten der oder die Arbeitgeber:in in der Personalakte speichert, können die Personaldaten aus unterschiedlichen Informationen bestehen.
Diese personenbezogenen Daten können zu den Personaldaten zählen:
- Name, Anschrift und Kontaktdaten
- Geburtsdatum
- Steuerklasse und die Steuer-ID
- Krankenversicherungs- und Sozialversicherungsnummer
- Religionszugehörigkeit
- Bankverbindung
- Angaben zur Ausbildung und dem Werdegang der Person
- Zeugnisse, Zertifikate und andere Qualifikationen
- Arbeitszeit
- Urlaubsanträge und Abwesenheitszeiten
- Beförderungen oder andere Veränderungen des Arbeitsverhältnisses
- Leistungseinschätzungen und Feedback
- Gesundheitsdaten
- biometrische Daten wie zum Beispiel Fingerabdrücke
- Foto- und Videoaufnahmen, auf denen die Person erkennbar ist
Datenschutz: Personaldaten und DSGVO
Bei dem Thema Arbeitnehmerdatenschutz muss deine Personalabteilung einige Vorgaben und klare Regeln der DSGVO befolgen.
Die Datenschutz-Grundverordnung (kurz: DSGVO) ist eine Verordnung der Europäischen Union, die seit Mai 2018 in allen EU-Mitgliedsstaaten gilt. Durch dieses Gesetz wird u.a. die Erhebung und Verarbeitung aller personenbezogener Daten von allen in der EU tätigen Unternehmen geregelt und damit vereinheitlicht.
Diese 5 Vorgaben müssen laut der DSGVO in Bezug auf den Datenschutz im Arbeitsverhältnis von allen Unternehmen in der EU beachtet und eingehalten werden:
Löschung von personenbezogenen Daten
Das Unternehmen ist dazu verpflichtet, nicht relevante personenbezogene Daten aus der Personalakte zu löschen. Dies kann von den Behörden kontrolliert und bei Nichtbeachtung mit Bußgeldern bedacht werden.
Benennung eines Datenschutzbeauftragten
In einem Unternehmen, dass mindestens 20 Arbeitnehmende hat, muss ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte als Teil der betriebsinternen Datenschutzorganisation benannt werden (Art. 37 DSGVO und § 38 BDSG).
Diese Person kann entweder dem Betrieb angehören oder extern als Experte bestellt werden und handelt weisungsfrei. Das Ziel ist es, die Datenverarbeitung sowie das Ausmaß der Datenspeicherung in Hinblick auf die Personaldaten kritisch zu überprüfen.
Umkehr der Beweispflicht
Nach der Einführung der DSGVO stehen Unternehmen in der Beweispflicht. Das bedeutet, dass sie dazu verpflichtet sind, personenbezogene Daten nach den Richtlinien der DSGVO zu verarbeiten und dies jederzeit nachweisen zu können.
Die Behörden haben das Recht, diese Einhaltung stichprobenartig zu prüfen und bei Nichteinhaltung mit Bußgeldern zu belegen. Für dich bedeutet das, dass du oder deine Personalabteilung ihren Arbeitsprozess in Bezug auf die Verarbeitung der Personaldaten nun detailliert dokumentieren muss.
Informationspflichten
Das Unternehmen ist zudem dazu verpflichtet, Mitarbeitende wissen zu lassen, welche ihrer personenbezogenen Daten gespeichert und verarbeitet werden. Des Weiteren fällt es in die Zuständigkeit des Unternehmens, geschädigte Personen bei Hackerangriffen oder Datenpannen binnen 72 Stunden zu informieren.
Erhöhung der Strafmaßes
Die Bußgelder, die Behörden bei Nichtbeachtung der Richtlinien erteilen können, wurden mit der DSGVO drastisch erhöht. Für jede Datenschutzverletzung werden Bußgelder von bis zu 10 oder 20 Millionen Euro oder im Falle eines Unternehmens von bis zu 2 oder 4% des Jahresumsatzes des vorangegangenen Geschäftsjahres fällig – je nachdem, welcher dieser Beträge höher ist.
<div class="blog_primary-box"><p>Insbesondere in kleinen und mittleren Unternehmen ist die Wahrung des Datenschutzes wichtig, da Bußgelder und Sanktionen besonders für KMUs existenzbedrohend sein können. Die Vorschriften der DSGVO und des BDSG-neu sind unabhängig von der Unternehmensgröße unbedingt einzuhalten.</p><p>Einer der größten Fehler, den KMUs machen können, ist, die DSGVO zu ignorieren. Neben der Gefahr von hohen Bußgeldern kann eine Nichtbeachtung zu einem erheblichen Imageverlust bei den Kund:innen oder Partner-Unternehmen führen.</p></div>
Arbeitnehmerdatenschutz – Rechte der Mitarbeitenden
Der Arbeitnehmerdatenschutz garantiert Mitarbeitenden laut der DSGVO bestimmte Rechte. Als Personalmanager:in oder Firmeninhaber:in hast insbesondere diese Rechte deiner Arbeitnehmer:innen zu beachten:
- Mitarbeitende dürfen zu jeder Zeit alle Personaldaten einsehen, die zu ihrer Person gespeichert wurden (inklusive der Personalakte).
- Personaldaten müssen rechtmäßig und transparent verarbeitet werden und dürfen nur für festgelegte Zwecke erhoben werden.
- Personaldaten, die nachweislich widerrechtlich erhoben wurden, veraltet oder unrichtig sind, müssen sowohl in aktiven als auch gelösten Arbeitsverhältnissen korrigiert oder auf Antrag gelöscht werden.
- Besondere personenbezogene Daten zur Gesundheit, Sexualität oder Religion dürfen nur nach eindeutiger Zustimmung erhoben und gespeichert werden – oder wenn sie frei und öffentlich zugänglich sind (beispielsweise in den Sozialen Medien zu finden sind).
- Arbeitnehmende haben das Recht auf Zurückhaltung sensibler, personenbezogener Daten, wie etwa Informationen über eine Erkrankung.
- Holt das Unternehmen sensible Personaldaten ein, die nicht der Auskunftspflicht unterliegen, dann haben die Arbeitnehmer:innen das Recht, die Antwort zu verweigern oder die Unwahrheit zu sagen.
Aufbewahrungsfristen: Personaldaten
Des Weiteren musst du beachten, dass personenbezogene Daten nach Art. 5 DSGVO nicht unbegrenzt gespeichert werden dürfen. Sobald das Beschäftigungsverhältnis beendet ist, musst du die Personaldaten nach einer der gesetzlichen Aufbewahrungsfristen löschen.
Da sich diese Fristen in der Regel je nach gespeicherter Information unterscheiden, und die Löschfristen demnach von der jeweiligen Kategorie der Personaldaten abhängen, bietet sich die Etablierung eines Löschkonzepts in deiner HR-Software an.
Dieses Löschkonzept gibt klare Vorgaben für die Löschung der Personaldaten und weist je nach Kategorie verschiedene Löschfristen auf, die zwingend eingehalten werden müssen – es sorgt also für die fristgerechte Löschung von personenbezogenen Daten deiner Mitarbeitenden.
Bei der Nutzung einer HR-Software sollte von einem datenschutztechnischen Standpunkt außerdem ein Berechtigungskonzept etabliert werden, wonach nur berechtigte Personen Zugriff auf bestimmte personenbezogene Daten haben.
Auch bei der Verwendung eines Employee Self Service Systems muss unbedingt der Datenschutz Beachtung finden.
Datenschutz bei der Krankheit von Mitarbeiter:innen
Sind Arbeitnehmende krankheitsbedingt abwesend, dann müssen häufig das Team oder die Kolleg:innen informiert werden, da bestimmte Aufgaben in diesem Fall oft umorganisiert werden müssen. Laut der DSGVO sind Gesundheitsdaten jedoch besonders schützenswerte Daten und müssen dementsprechend äußerst sensibel behandelt werden.
Bei der Verarbeitung von Krankheitsdaten liegt der Fokus nicht nur auf der Speicherungen dieser sensiblen, personenbezogenen Daten, sondern auch auf der Kommunikation unter Kolleg:innen. Grundsätzlich musst du als Verantwortliche:r dabei Folgendes beachten:
- Abwesenheiten sollten intern nur kommuniziert werden, wenn es absolut notwendig ist.
- Der Grund der Abwesenheit sollte von der Teamleitung nicht kommuniziert werden.
- Die voraussichtliche Länge der Abwesenheit darf bei Notwendigkeit kommuniziert werden.
- Werden Abwesenheiten in einen gemeinsamen Kalender eingetragen, sollte bei der Speicherung der personenbezogenen Daten die Datenschutzverordnung beachtet werden.
- Werden die Abwesenheiten durch einen Aushang im Büro kommuniziert, darf der Grund der Abwesenheit nicht genannt werden.
- Was die Beschäftigten selbst an ihre Kolleg:innen kommunizieren, liegt in ihrer eigenen Verantwortung.
Checkliste Datenschutz: Personalabteilung
Nach Art. 5 DSGVO lässt sich eine Checkliste für den Datenschutz in der Personalabteilung zusammenstellen, die deinen Mitarbeitenden dabei hilft, alle notwendigen personenbezogenen Daten vorschriftsgemäß zu schützen – schließlich können nicht all deine Mitarbeitenden Expert:innen im Thema Datenschutz sein. Diese Checkliste kannst du auch mit dem jeweiligen Datenschutzbeauftragten deines Unternehmens absprechen.
Deine Checkliste für den Datenschutz in der Personalabteilung sollte folgende Themen abdecken:
✔ Zweckbindung: Erfüllt die Verarbeitung der Personaldaten einen eindeutigen und legitimen Zweck?
✔ Datenminimierung: Sind die Personaldaten im Arbeitsverhältnis wirklich relevant?
✔ Richtigkeit: Sind die erhobenen Personaldaten richtig?
✔ Speicherbegrenzung: Werden die Aufbewahrungsfristen eingehalten?
✔ Integrität und Vertraulichkeit: Sind die personenbezogenen Daten vor einer unbefugten Verarbeitung oder einem unrechtmäßigen Zugriff Dritter geschützt? Wurden die erforderlichen technischen und organisatorischen Maßnahmen getroffen, um eine unbefugte Weitergabe personenbezogener Daten an Dritte durch das Unternehmen zu vermeiden?
Zudem solltest du sicherstellen, dass deine Mitarbeiter:innen im HR-Bereich zu jeder Zeit im Umgang mit sensiblen Informationen und personenbezogenen Daten geschult sind. Eine gute Organisation deiner Personalabteilung ist hierbei notwendig.
Um deine Mitarbeitenden im gesamten Unternehmen über Datenschutz aufzuklären, ist die Verwendung eines Merkblatts zum Datenschutz für Mitarbeiter empfehlenswert.
Geheimhaltungsvereinbarung
Selbstverständlich spielt nicht nur die DSGVO beim Datenschutz in der Personalabteilung eine Rolle, auch der allgemeine Datenschutz und die Datensicherheit müssen im HR-Bereich beachtet werden.
Hierbei hat die Geheimhaltungsvereinbarung große Bedeutung, wenn du mit sensiblen Daten oder innovativen Arbeitsabläufen zu tun hast – sowohl als Mitarbeitende im HR als auch im gesamten Unternehmen. Diese Verschwiegenheitserklärung kann ein Bestandteil oder ein Zusatz zu dem Arbeitsvertrag sein.
Auch ein Datensicherheitskonzept, bei dem der übergeordnete Datenschutz und die technische Datensicherheit des Unternehmens im Fokus stehen, ist ein Teil jeder Unternehmensstruktur und muss unternehmensspezifisch individuell ausgearbeitet und angepasst werden.
Je nach Produkt oder Dienstleistung werden verschiedene Daten erhoben – zum Beispiel von Kund:innen oder Partner-Unternehmen, die ebenfalls unbedingt geschützt werden müssen. Zudem können für unterschiedliche Themen unterschiedliche Abteilungen oder Teams zuständig sein, der Datenschutz muss jedoch immer gewahrt werden.
Bewerbung: Datenschutz und Bewerberdaten
Bei der Verarbeitung von Bewerberdaten spielt der Datenschutz ebenfalls eine große Rolle. Das Bewerbermanagementsystem sollte daher in jedem Fall DSGVO-konform sein.
Workwise bietet ein kostenloses Bewerbermanagementsystem an, welches dir ermöglicht, die Daten von Bewerber:innen DSGVO-konform zu verarbeiten.
<a class="blog_button-primary" href="https://hire.workwise.io/applicant-tracking-system">Teste jetzt DSGVO-konformes Bewerbermanagement</a>