Umgang mit personenbezogenen Daten im Personalwesen: DSGVO korrekt umsetzen

08.01.2020 | Online Redaktion, Forum Verlag Herkert GmbH

articleimage
© Rawpixel.com – stock.adobe.com
Seit Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) nun schon verpflichtend anzuwenden und hat Auswirkungen auf alle Bereiche, in denen personenbezogene Daten erhoben, verarbeitet und genutzt werden. So auch auf das Personalwesen: Personalabteilungen speichern personenbezogene Daten sowohl von Beschäftigten als auch von Bewerbern und nutzen diese. Was müssen Personalabteilungen im Zusammenhang mit dem Arbeitnehmer-Datenschutz und dem Schutz von Bewerberdaten beachten?

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Personenbezogene Daten lassen also Rückschlüsse auf die Identität einer Person zu – wie zum Beispiel Name oder Geburtsdatum aber auch eine Kundennummer, die Kreditkartennummer, das Kfz-Kennzeichen, Informationen zum Aussehen oder zum beruflichen Werdegang.

Personenbezogene Daten im Personalwesen

Arbeitgeber müssen von ihren Arbeitnehmern bestimmte personenbezogene Daten erheben und speichern, um einen Mitarbeiter beschäftigen zu können – die Personaldaten. Darunter fallen zum Beispiel

  • Name und Adresse des Mitarbeiters
  • Höhe des Gehaltes
  • Steuerklasse
  • Bankverbindung
  • Angaben über Ausbildung und Qualifikation
  • Informationen zum beruflichen Werdegang 

In der Regel verwalten Personalabteilungen vor allem in größeren Betrieben diese Daten mithilfe elektronischer Personalinformations- oder Personalmanagementsysteme, die teilweise weitreichende Auswertungs- und Kontrollmöglichkeiten nach sich ziehen. Ihre Einführung und Verwendung muss daher der Betriebsrat genehmigen.

Es gilt zudem, die gesetzlichen Vorgaben der DSGVO bei der Speicherung und Verarbeitung der personenbezogenen Daten zu berücksichtigen, um den Arbeitnehmer-Datenschutz sowie den Schutz von Bewerberdaten zu gewährleisten. Um sich optimal zu informieren und die Einhaltung der gesetzlichen Vorgaben der DSGVO sicherzustellen, sollten alle Mitarbeiter im Datenschutz geschult werden.

Arbeitnehmer-Datenschutz: Grundsätze bei der Verarbeitung personenbezogener Daten im Personalwesen

Die DSGVO regelt, dass jegliche Erhebung und Verarbeitung personenbezogener Daten dem Gebot der Datenminimierung unterliegen. Das bedeutet, dass nur Daten erhoben und gespeichert werden dürfen, die auch notwendig sind. Grundsätzlich ist in jedem Fall eine Einwilligungserklärung der Betroffenen verpflichtend. Diese Grundsätze führen das Gebot der Datenminimierung konkreter aus:

Erforderlichkeit

Nur Daten, die für die Sache erforderlich sind, dürfen abgefragt und gespeichert werden – und auch das nur, so lange wie nötig. Kündigt also zum Beispiel ein Arbeitnehmer, so muss die Personalabteilung auch innerhalb einer bestimmten Frist seine personenbezogenen Daten löschen.
Alle Personaldaten, die die Personalabteilung erhebt, sind in der Regel erforderlich für die Begründung und Durchführung des Arbeitsverhältnisses. Private Informationen – wie beispielsweise den Familienstand – darf die Personalabteilung dagegen nicht erheben. Auch ein Foto für die Homepage oder für das Intranet dürfen Personaler nicht von Beschäftigten verlangen – es sei denn, der Beschäftigte willigt schriftlich ein.

Einwilligungserklärung personenbezogene Daten

Immer wenn personenbezogene Daten erhoben, gespeichert und genutzt werden sollen, muss der Betroffene vorher einwilligen. Diese Einwilligungserklärung muss bestimmte Anforderungen erfüllen:

  • Schriftform: Sofern nicht wichtige Gründe eine andere Form nahelegen, muss die Einwilligungserklärung zur Verwendung personenbezogener Daten schriftlich vorliegen.
  • Freiwilligkeit: Die Einwilligung muss freiwillig sein, etwa weil gemeinsame Interessen vorliegen. So will beispielsweise ein Arbeitnehmer bei einem Arbeitgeber angestellt werden und stimmt daher der Verwendung seiner personenbezogenen Daten zu, weil die Begründung eines Beschäftigungsverhältnisses anders nicht möglich wäre. Ein Abhängigkeitsverhältnis hingegen könnte die Freiwilligkeit infrage stellen, etwa wenn der Arbeitgeber Druck auf den Beschäftigten ausübt, sofern er nicht erforderliche Daten nicht zur Verfügung stellen möchte.
  • Widerrufsrecht: Betroffene können der Speicherung ihrer Daten jederzeit auch im Nachhinein widersprechen – die DSGVO räumt ein Recht auf Löschung ein. Die Personalabteilung muss Bewerber und Arbeitnehmer über dieses Widerrufsrecht aufklären, wenn sie die Einwilligung einholt.

Transparenz und Aufklärung

Wer personenbezogene Daten erhebt und speichert, muss die Betroffenen über deren Verwendung und eine eventuelle Weitergabe aufklären, also zu welchem Zweck und an wen diese gegebenenfalls erfolgt.

Datenschutz gewährleisten

Das Personalwesen muss dafür sorgen, dass die Daten der Mitarbeiter nach dem neuesten Stand geschützt werden. Beispielsweise muss das Unternehmen dafür sorgen, dass Daten sicher übertragen werden – also ausschließlich SSL-verschlüsselt. Dies gilt sowohl für Bewerberdaten als auch für Arbeitnehmer-Daten. 

Rechenschaftspflicht

Mit der DSGVO haben Unternehmen nun größere Rechenschaftspflichten. Sie müssen jederzeit nachweisen können, dass sie alle Vorschriften der DSGVO zur Speicherung und Verarbeitung personenbezogener Daten berücksichtigt haben. Dies bedeutet, dass auch das Personalwesen deutlich mehr Vorgänge dokumentieren muss als vor dem Inkrafttreten der Verordnung.

Die Beweislast hat sich umgekehrt: Sollte es zu einem Verfahren kommen, muss der Arbeitgeber nachweisen, dass er die Anforderungen der DSGVO umgesetzt hat – zum Beispiel, indem er schriftliche Einwilligungserklärungen vorlegt oder zeigen kann, dass er geeignete Datenschutzvorkehrungen umgesetzt hat.

Bewerberdaten: Was müssen Personalabteilungen beim Datenschutz beachten?

Auch bei Bewerberdaten muss die Personalabteilung den Datenschutz sicherstellen. Sollte es nicht zu einer Anstellung kommen, darf das Unternehmen die Daten maximal drei bis sechs Monate speichern. Für eine längere Aufbewahrung muss es die Einwilligung der Kandidaten schriftlich einholen – dies ist zum Beispiel erforderlich, wenn es einen Talentpool aufbauen möchte. 

Darüber hinaus dürfen Personaler im Bewerbungsgespräch keine unzulässigen Fragen stellen – geschweige denn, die Antworten speichern und verwenden. Solche unzulässigen Fragen betreffen beispielsweise die private Situation wie Familienstand oder Schwangerschaft oder auch politisches Engagement in Gewerkschaften oder Parteien.

DSGVO: To Do‘s in der Personalabteilung

Um die Bestimmungen der DSGVO beim Arbeitnehmer-Datenschutz und beim Umgang mit Bewerberdaten umzusetzen, müssen Personalabteilungen folgende Maßnahmen durchführen:

1. Verpflichtung der Mitarbeiter auf Datengeheimnis: Alle Mitarbeiter, die in irgendeiner Form mit der Verarbeitung personenbezogener Daten beschäftigt sind, müssen auf das Datengeheimnis verpflichtet werden. Dies betrifft zum Beispiel den Kundenservice, die Verwaltung von Lieferanten – und eben die Personalabteilung, die Mitarbeiter- und Bewerberdaten erhebt, speichert und auswertet.

2. Grundsätze im Umgang mit Personaldaten berücksichtigen und umsetzen: Dies betrifft die oben genannten Grundsätze. Die Rechtsgrundlage für die Datenverarbeitung muss vorhanden sein – die Erforderlichkeit der Daten, die Einwilligung, Transparenz und Aufklärung, das Widerrufsrecht und der Schutz der Daten vor unbefugtem Zugriff.

3. Ordnungsgemäßes Führen von Personalakten: Die Personaldaten dürfen nur die erforderlichen Daten enthalten. Dies sind gemeinhin Bewerbungsunterlagen, Vertragsunterlagen, Gehaltsveränderungen, Beförderungen, Schriftverkehr und arbeitsrechtliche Unterlagen. Der Betroffene muss wissen, welche Daten das Unternehmen über ihn gespeichert hat und wer auf diese Daten Zugriff hat.

4. Einhalten technischer und organisatorischer Schutzmaßnahmen: Das Unternehmen muss den Datenschutz auf den neuesten Stand bringen. Datenübertragung darf demnach nur verschlüsselt stattfinden.

5. Datenschutzrechte der Mitarbeiter gegenüber dem Personalbüro: Mitarbeiter und Bewerber müssen sich darauf verlassen können, dass ihre Daten im Unternehmen sicher sind – und im Zweifel gelöscht werden.

DSGVO: Wie sollten Unternehmen jetzt vorgehen?

Zahlreiche Vorschriften der DSGVO waren bereits Bestandteil der alten Fassung des Bundesdatenschutzgesetzes (BDSG) – wie zum Beispiel das Gebot der Datenminimierung oder der Charakter des Datenschutzgesetzes als Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass die Speicherung personenbezogener Daten grundsätzlich verboten ist – außer der Betroffene willigt ausdrücklich ein. Neuerungen sind unter anderem die Beweislastumkehr und das Recht auf Löschung.

Mit passenden Schulungen im Datenschutz und einem Datenschutzbeauftragten im Unternehmen lassen sich diese Herausforderungen jedoch gut meistern und den Datenschutz auf rechtlich sichere Füße stellt. Welche datenschutzrechtlichen Neuerungen aktuell besonders wichtig sind, vermittelt das Seminar „Das Update im Datenschutz“. Und wenn Arbeitgeber grundlegende Unterstützung bei benötigen, sollten sie das Seminar „Grundlagen im Datenschutz rechtssicher umsetzen“ besuchen.

Quelle: Forum Verlag Herkert GmbH

Mehr zu den Themen: DSGVO