Diese Seite verwendet Cookies

Wir verwenden Cookies auf unserer Website. Einige von ihnen sind essentiell, während andere uns helfen, diese Website und deine Erfahrung zu verbessern.
KonfigurierenAlle akzeptieren
DatenschutzerklärungImpressum
Das Bild zeigt zwei Personen in einem Gespräch.
Arbeitsrecht

Datenschutz in der Personalabteilung – Das musst du beachten

 • 
Aktualisiert am 
9.4.2024
HR-PraxisDas Bild zeigt einen Pfeil nach rechts.
Arbeitsrecht
Inhalt
So werden H2 Elemente angezeigt werden
Hier ist das Styling für H3 Elemente
H4 Elemente werden wohl eher selten vorkommen.
H5 Elemente sind eigentlich nur der Vollständigkeit halber hier
H6 ist ein Einhorn
Mitarbeiter:innen finden?

Workwise löst deine Recruiting-Herausforderung:

<ul class="blog_list-right">
<li>mehr Bewerbungen</li>
<li>bessere Prozesse</li>
<li>schneller Einstellen</li>
</ul>

Das Bild zeigt Lea Pietsch.
Lea Pietsch
+49 721 98 19 39 30
Mehr erfahren
HR-PraxisDas Bild zeigt einen Pfeil nach rechts.
Arbeitsrecht

In jedem Unternehmen werden große Menge sensibler Daten von Arbeitnehmer:innen verarbeitet. Der Schutz dieser personenbezogenen Daten und Informationen ist eine wichtige Aufgabe der Personalabteilung und wird sowohl durch die Vorgaben der Datenschutz-Grundverordnung DSGVO als auch durch das Bundesdatenschutzgesetz (BDSG-neu) in seiner Form seit Mai 2018 geregelt. Zudem müssen die Anforderungen des allgemeinen Datenschutzes und der Datensicherheit beachtet werden.

In diesem Artikel erfährst du, worauf du beim Datenschutz in der Personalabteilung achten musst, welche gesetzlichen Vorgaben es gibt und welche Pflichten sich hieraus für deine Personalabteilung im Bereich Arbeitnehmerdatenschutz ergeben.

Datenschutz im Arbeitsverhältnis

Das Thema Datenschutz in der Personalabteilung ist von besonderer Bedeutung. Arbeitnehmerdatenschutz konzentriert sich auf den Schutz der personenbezogenen Daten von Arbeitnehmer:innen. Dazu zählen auch Personaldaten von Arbeitnehmerüberlassungen und solche Daten, die in Bewerbungsverfahren angesammelt werden.

Das Ziel beim Datenschutz im Arbeitsverhältnis ist es, die Persönlichkeitsrechte der Arbeitnehmer:innen zu schützen und ihnen die Wahl zu lassen, welche ihrer persönlichen Informationen gespeichert und genutzt werden dürfen.

Grundsätzlich müssen bei der Begründung und der Durchführung eines Arbeitsverhältnisses bestimmte personenbezogene Daten selbstverständlich von der Personalverwaltung gespeichert und verarbeitet werden – ansonsten kannst du weder eine monatliche Gehaltsabrechnung vornehmen, noch eine Personalakte führen.

Der Datenschutz im Arbeitsverhältnis garantiert den Arbeitnehmer:innen jedoch das Recht, zu wissen, welche ihrer personenbezogenen Daten gespeichert und verarbeitet werden – und natürlich auch warum. Ebenso existieren klare Vorschriften, welche personenbezogenen Daten nicht erfasst oder wie lange gespeichert werden dürfen.

Was sind Personaldaten?

Mit Personaldaten sind die personenbezogenen Daten gemeint, die im Rahmen eines Arbeitsverhältnisses durch das Unternehmen erfasst und verarbeitet werden.

Es gibt keine gesetzliche Definition, welche personenbezogenen Daten zu den Personaldaten zählen. Je nachdem welche personenbezogenen Daten der oder die Arbeitgeber:in in der Personalakte speichert, können die Personaldaten aus unterschiedlichen Informationen bestehen.

Diese personenbezogenen Daten können zu den Personaldaten zählen:

  • Name, Anschrift und Kontaktdaten
  • Geburtsdatum
  • Steuerklasse und die Steuer-ID
  • Krankenversicherungs- und Sozialversicherungsnummer
  • Religionszugehörigkeit
  • Bankverbindung
  • Angaben zur Ausbildung und dem Werdegang der Person
  • Zeugnisse, Zertifikate und andere Qualifikationen
  • Arbeitszeit
  • Urlaubsanträge und Abwesenheitszeiten
  • Beförderungen oder andere Veränderungen des Arbeitsverhältnisses
  • Leistungseinschätzungen und Feedback
  • Gesundheitsdaten
  • biometrische Daten wie zum Beispiel Fingerabdrücke
  • Foto- und Videoaufnahmen, auf denen die Person erkennbar ist

Datenschutz: Personaldaten und DSGVO

Bei dem Thema Arbeitnehmerdatenschutz muss deine Personalabteilung einige Vorgaben und klare Regeln der DSGVO befolgen.

Die Datenschutz-Grundverordnung (kurz: DSGVO) ist eine Verordnung der Europäischen Union, die seit Mai 2018 in allen EU-Mitgliedsstaaten gilt. Durch dieses Gesetz wird u.a. die Erhebung und Verarbeitung aller personenbezogener Daten von allen in der EU tätigen Unternehmen geregelt und damit vereinheitlicht.

Diese 5 Vorgaben müssen laut der DSGVO in Bezug auf den Datenschutz im Arbeitsverhältnis von allen Unternehmen in der EU beachtet und eingehalten werden:

Löschung von personenbezogenen Daten

Das Unternehmen ist dazu verpflichtet, nicht relevante personenbezogene Daten aus der Personalakte zu löschen. Dies kann von den Behörden kontrolliert und bei Nichtbeachtung mit Bußgeldern bedacht werden.

Benennung eines Datenschutzbeauftragten

In einem Unternehmen, dass mindestens 20 Arbeitnehmende hat, muss ein Datenschutzbeauftragter oder eine Datenschutzbeauftragte als Teil der betriebsinternen Datenschutzorganisation benannt werden (Art. 37 DSGVO und § 38 BDSG).

Diese Person kann entweder dem Betrieb angehören oder extern als Experte bestellt werden und handelt weisungsfrei. Das Ziel ist es, die Datenverarbeitung sowie das Ausmaß der Datenspeicherung in Hinblick auf die Personaldaten kritisch zu überprüfen.

Umkehr der Beweispflicht

Nach der Einführung der DSGVO stehen Unternehmen in der Beweispflicht. Das bedeutet, dass sie dazu verpflichtet sind, personenbezogene Daten nach den Richtlinien der DSGVO zu verarbeiten und dies jederzeit nachweisen zu können.

Die Behörden haben das Recht, diese Einhaltung stichprobenartig zu prüfen und bei Nichteinhaltung mit Bußgeldern zu belegen. Für dich bedeutet das, dass du oder deine Personalabteilung ihren Arbeitsprozess in Bezug auf die Verarbeitung der Personaldaten nun detailliert dokumentieren muss.

Informationspflichten

Das Unternehmen ist zudem dazu verpflichtet, Mitarbeitende wissen zu lassen, welche ihrer personenbezogenen Daten gespeichert und verarbeitet werden. Des Weiteren fällt es in die Zuständigkeit des Unternehmens, geschädigte Personen bei Hackerangriffen oder Datenpannen binnen 72 Stunden zu informieren.

Erhöhung der Strafmaßes

Die Bußgelder, die Behörden bei Nichtbeachtung der Richtlinien erteilen können, wurden mit der DSGVO drastisch erhöht. Für jede Datenschutzverletzung werden Bußgelder von bis zu 10 oder 20 Millionen Euro oder im Falle eines Unternehmens von bis zu 2 oder 4% des Jahresumsatzes des vorangegangenen Geschäftsjahres fällig – je nachdem, welcher dieser Beträge höher ist.

<div class="blog_primary-box"><p>Insbesondere in kleinen und mittleren Unternehmen ist die Wahrung des Datenschutzes wichtig, da Bußgelder und Sanktionen besonders für KMUs existenzbedrohend sein können. Die Vorschriften der DSGVO und des BDSG-neu sind unabhängig von der Unternehmensgröße unbedingt einzuhalten.</p><p>Einer der größten Fehler, den KMUs machen können, ist, die DSGVO zu ignorieren. Neben der Gefahr von hohen Bußgeldern kann eine Nichtbeachtung zu einem erheblichen Imageverlust bei den Kund:innen oder Partner-Unternehmen führen.</p></div>

Arbeitnehmerdatenschutz – Rechte der Mitarbeitenden

Der Arbeitnehmerdatenschutz garantiert Mitarbeitenden laut der DSGVO bestimmte Rechte. Als Personalmanager:in oder Firmeninhaber:in hast insbesondere diese Rechte deiner Arbeitnehmer:innen zu beachten:

  • Mitarbeitende dürfen zu jeder Zeit alle Personaldaten einsehen, die zu ihrer Person gespeichert wurden (inklusive der Personalakte).
  • Personaldaten müssen rechtmäßig und transparent verarbeitet werden und dürfen nur für festgelegte Zwecke erhoben werden.
  • Personaldaten, die nachweislich widerrechtlich erhoben wurden, veraltet oder unrichtig sind, müssen sowohl in aktiven als auch gelösten Arbeitsverhältnissen korrigiert oder auf Antrag gelöscht werden.
  • Besondere personenbezogene Daten zur Gesundheit, Sexualität oder Religion dürfen nur nach eindeutiger Zustimmung erhoben und gespeichert werden – oder wenn sie frei und öffentlich zugänglich sind (beispielsweise in den Sozialen Medien zu finden sind).
  • Arbeitnehmende haben das Recht auf Zurückhaltung sensibler, personenbezogener Daten, wie etwa Informationen über eine Erkrankung.
  • Holt das Unternehmen sensible Personaldaten ein, die nicht der Auskunftspflicht unterliegen, dann haben die Arbeitnehmer:innen das Recht, die Antwort zu verweigern oder die Unwahrheit zu sagen.

Aufbewahrungsfristen: Personaldaten

Des Weiteren musst du beachten, dass personenbezogene Daten nach Art. 5 DSGVO nicht unbegrenzt gespeichert werden dürfen. Sobald das Beschäftigungsverhältnis beendet ist, musst du die Personaldaten nach einer der gesetzlichen Aufbewahrungsfristen löschen.

Da sich diese Fristen in der Regel je nach gespeicherter Information unterscheiden, und die Löschfristen demnach von der jeweiligen Kategorie der Personaldaten abhängen, bietet sich die Etablierung eines Löschkonzepts in deiner HR-Software an.

Dieses Löschkonzept gibt klare Vorgaben für die Löschung der Personaldaten und weist je nach Kategorie verschiedene Löschfristen auf, die zwingend eingehalten werden müssen – es sorgt also für die fristgerechte Löschung von personenbezogenen Daten deiner Mitarbeitenden.

Bei der Nutzung einer HR-Software sollte von einem datenschutztechnischen Standpunkt außerdem ein Berechtigungskonzept etabliert werden, wonach nur berechtigte Personen Zugriff auf bestimmte personenbezogene Daten haben.

Auch bei der Verwendung eines Employee Self Service Systems muss unbedingt der Datenschutz Beachtung finden.

Datenschutz bei der Krankheit von Mitarbeiter:innen

Sind Arbeitnehmende krankheitsbedingt abwesend, dann müssen häufig das Team oder die Kolleg:innen informiert werden, da bestimmte Aufgaben in diesem Fall oft umorganisiert werden müssen. Laut der DSGVO sind Gesundheitsdaten jedoch besonders schützenswerte Daten und müssen dementsprechend äußerst sensibel behandelt werden.

Bei der Verarbeitung von Krankheitsdaten liegt der Fokus nicht nur auf der Speicherungen dieser sensiblen, personenbezogenen Daten, sondern auch auf der Kommunikation unter Kolleg:innen. Grundsätzlich musst du als Verantwortliche:r dabei Folgendes beachten:

  • Abwesenheiten sollten intern nur kommuniziert werden, wenn es absolut notwendig ist.
  • Der Grund der Abwesenheit sollte von der Teamleitung nicht kommuniziert werden.
  • Die voraussichtliche Länge der Abwesenheit darf bei Notwendigkeit kommuniziert werden.
  • Werden Abwesenheiten in einen gemeinsamen Kalender eingetragen, sollte bei der Speicherung der personenbezogenen Daten die Datenschutzverordnung beachtet werden.
  • Werden die Abwesenheiten durch einen Aushang im Büro kommuniziert, darf der Grund der Abwesenheit nicht genannt werden.
  • Was die Beschäftigten selbst an ihre Kolleg:innen kommunizieren, liegt in ihrer eigenen Verantwortung.

Checkliste Datenschutz: Personalabteilung

Nach Art. 5 DSGVO lässt sich eine Checkliste für den Datenschutz in der Personalabteilung zusammenstellen, die deinen Mitarbeitenden dabei hilft, alle notwendigen personenbezogenen Daten vorschriftsgemäß zu schützen – schließlich können nicht all deine Mitarbeitenden Expert:innen im Thema Datenschutz sein. Diese Checkliste kannst du auch mit dem jeweiligen Datenschutzbeauftragten deines Unternehmens absprechen.

Deine Checkliste für den Datenschutz in der Personalabteilung sollte folgende Themen abdecken:

Zweckbindung: Erfüllt die Verarbeitung der Personaldaten einen eindeutigen und legitimen Zweck?

Datenminimierung: Sind die Personaldaten im Arbeitsverhältnis wirklich relevant?

Richtigkeit: Sind die erhobenen Personaldaten richtig?

Speicherbegrenzung: Werden die Aufbewahrungsfristen eingehalten?

Integrität und Vertraulichkeit: Sind die personenbezogenen Daten vor einer unbefugten Verarbeitung oder einem unrechtmäßigen Zugriff Dritter geschützt? Wurden die erforderlichen technischen und organisatorischen Maßnahmen getroffen, um eine unbefugte Weitergabe personenbezogener Daten an Dritte durch das Unternehmen zu vermeiden?

Zudem solltest du sicherstellen, dass deine Mitarbeiter:innen im HR-Bereich zu jeder Zeit im Umgang mit sensiblen Informationen und personenbezogenen Daten geschult sind. Eine gute Organisation deiner Personalabteilung ist hierbei notwendig.

Um deine Mitarbeitenden im gesamten Unternehmen über Datenschutz aufzuklären, ist die Verwendung eines Merkblatts zum Datenschutz für Mitarbeiter empfehlenswert.

Geheimhaltungsvereinbarung

Selbstverständlich spielt nicht nur die DSGVO beim Datenschutz in der Personalabteilung eine Rolle, auch der allgemeine Datenschutz und die Datensicherheit müssen im HR-Bereich beachtet werden.

Hierbei hat die Geheimhaltungsvereinbarung große Bedeutung, wenn du mit sensiblen Daten oder innovativen Arbeitsabläufen zu tun hast – sowohl als Mitarbeitende im HR als auch im gesamten Unternehmen. Diese Verschwiegenheitserklärung kann ein Bestandteil oder ein Zusatz zu dem Arbeitsvertrag sein.

Auch ein Datensicherheitskonzept, bei dem der übergeordnete Datenschutz und die technische Datensicherheit des Unternehmens im Fokus stehen, ist ein Teil jeder Unternehmensstruktur und muss unternehmensspezifisch individuell ausgearbeitet und angepasst werden.

Je nach Produkt oder Dienstleistung werden verschiedene Daten erhoben – zum Beispiel von Kund:innen oder Partner-Unternehmen, die ebenfalls unbedingt geschützt werden müssen. Zudem können für unterschiedliche Themen unterschiedliche Abteilungen oder Teams zuständig sein, der Datenschutz muss jedoch immer gewahrt werden.

Bewerbung: Datenschutz und Bewerberdaten

Bei der Verarbeitung von Bewerberdaten spielt der Datenschutz ebenfalls eine große Rolle. Das Bewerbermanagementsystem sollte daher in jedem Fall DSGVO-konform sein.

Workwise bietet ein kostenloses Bewerbermanagementsystem an, welches dir ermöglicht, die Daten von Bewerber:innen DSGVO-konform zu verarbeiten.

<a class="blog_button-primary" href="https://hire.workwise.io/applicant-tracking-system">Teste jetzt DSGVO-konformes Bewerbermanagement</a>

Welche Personaldaten unterliegen dem Datenschutz?
Welche Personaldaten dürfen veröffentlicht werden?
Wer darf auf personenbezogene Daten zugreifen?
Wie wird der Datenschutz in der Personalabteilung eingehalten?
No items found.

Beliebteste Artikel

Arbeitsrecht
Digitale Unterschrift: Verträge sicher online abschließen
Darauf musst du bei einem Vertragsabschluss online achten
This is some text inside of a div block.
Arbeitsrecht
Urlaubsplanung – 8 Tipps für Arbeitgeber [inkl. Excel-Vorlage]
Worauf es bei dem Bundesurlaubsgesetz ankommt
This is some text inside of a div block.
Arbeitsrecht
Personalfragebogen: Muster und Definition
Diese Fragen darfst du im Personalfragebogen stellen
This is some text inside of a div block.
Arbeitsrecht
Merkblatt Datenschutz für Mitarbeiter:innen – Aufbau und Muster [2024]
Was ist ein Merkblatt zum Datenschutz und warum ist es notwendig?
This is some text inside of a div block.
Arbeitsrecht
Was ist Personalfreisetzung? – Definition und Ziele
Was ist Personalfreisetzung und welche Maßnahmen gibt es?
This is some text inside of a div block.
Arbeitsrecht
Mitarbeiter verleihen: Diese Regelungen gibt es [2024]
Das musst du beim Verleihen von Arbeitnehmer:innen beachten
This is some text inside of a div block.
No items found.

Für Jobsuchende
Karriereguide

Jobs

IT Jobs

Marketing Jobs

Softwareentwickler Jobs

Hilfe für Jobsuchende

Für Unternehmen
Registrieren

Blog

HR-Praxis

Hilfe-Center

FAQ von Unternehmen

AGB für Unternehmen
Workwise
Über uns

Arbeite mit uns

Presse
Das Bild zeigt das Logo von Facebook.Das Logo von Twitter.Das Logo von LinkedIn.Das Logo von Instagram.Das Logo von Xing.Das Logo von Youtube.Das Logo von TikTok.
Impressum

Datenschutz

Nutzungsbedingungen

Haftungsausschluss

Cookies
Made with
Ein pinkes Herz.
in Karlsruhe.
Copyright © 2023 All Rights Reserved by Workwise GmbH.