Laptop und Handy

Datenschutz HR

Alles was Sie über Datenschutz im HR wissen müssen

Rolle des Datenschutzbeauftragten, Bewerber-Daten, Auskunftsrecht, Mitarbeitenden-Individualrechte

Was sind personenbezogene Daten?

Laut Datenschutz-Grundverordnung (DSGVO) sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen“. Identifizierbarkeit bedeutet „die Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“ (Art. 4 DSGVO). 

Im Beschäftigten-Datenschutz betrifft das vor allem den Namen von Beschäftigten und Informationen, anhand derer Beschäftigte direkt identifizierbar sind, also zum Beispiel: 

  • Geburtsdatum und Geburtsort 
  • Name der Eltern oder des Ehepartners 
  • Sozialversicherungsnummer oder Steueridentifikationsnummer 
  • Wohnadresse oder E-Mail-Adresse 
  • Telefonnummer 
  • Fotografie des Gesichts oder andere biometrische Daten 
  • Autokennzeichen 

Das Verarbeitungsverbot solcher Daten kann unter anderem durch die Einwilligung der Betroffenen aufgehoben werden oder wenn die Verarbeitung erforderlich ist, damit die betroffenen Personen ihre Rechte – z. B. Arbeitsrecht und Sozialschutz – wahrnehmen können.

Besondere Kategorien personenbezogener Daten

Darüber hinaus umfasst der Beschäftigten-Datenschutz auch sogenannte besondere Kategorien personenbezogener Daten, deren Verarbeitung grundsätzlich verboten ist. Nach Art. 9 DSGVO sind damit folgende Informationen gemeint:

  • ethnische Herkunft,
  • politische Meinungen, religiöse oder weltanschauliche Überzeugungen sowie
  • Gewerkschaftszugehörigkeit.

Ebenso gehören zu den besonderen Kategorien personenbezogener Daten 

  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer Person,
  • Gesundheitsdaten und
  • Informationen zum Sexualleben oder zur sexuellen Orientierung einer Person.

 

Wie dürfen personenbezogene Daten verarbeitet werden?

Die Verarbeitung personenbezogener Daten ist an bestimmte Grundsätze gebunden, die in Art. 5 DSGVO festgelegt sind. Dazu gehören die Rechtmäßigkeit, die Verarbeitung nach Treu und Glauben und das Transparenzprinzip, d. h. die Datenverarbeitung muss für die betroffenen Personen, in diesem Fall die Mitarbeitenden, nachvollziehbar sein.

Weitere Grundsätze bei der Verarbeitung personenbezogener Daten sind:

  • Zweckbindung: Die Verarbeitung muss für festgelegte, eindeutige und legitime Zwecke erfolgen.
  • Datenminimierung: Die Verarbeitung muss dem Zweck angemessen sein und sich auf den notwendigen Umfang beschränken.
  • Richtigkeit: Die Daten müssen sachlich richtig sein und auf dem neuesten Stand gehalten, berichtigt oder gelöscht werden.
  • Speicherbegrenzung: Die Daten müssen in einer Form gespeichert werden, die es nur so lange ermöglicht, die betroffene Person zu identifizieren, wie es für den Verarbeitungszweck notwendig ist.
  • Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen vor unbefugter und unrechtmäßiger Verarbeitung sowie vor Verlust und Beschädigung geschützt werden.

Unternehmen müssen Verantwortliche für die Einhaltung der Grundsätze benennen (s. u. „Datenschutzbeauftragter“). Diese Verantwortlichen sind gegenüber den Mitarbeitenden, deren personenbezogene Daten verarbeitet werden, rechenschaftspflichtig und müssen die Einhaltung der DSGVO nachweisen.

Mehr zum Thema:

Frau arbeitet am Laptop

So DSGVO-konform sieht es im HR aus

Recap DSGVO – was hat sich getan? Welche Strafen gab es bislang bei Verstoß? Wie können HR-Prozesse DSGVO-konform aufgestellt werden? Wir geben Antworten.

Wann ist eine Einwilligung der Mitarbeitenden notwendig?

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, sie ist auf der Grundlage eines Gesetzes ausdrücklich erlaubt oder die betreffende Person hat eine Einwilligung gegeben. Damit eine Einwilligung rechtsgültig ist, muss sie nach Art. 7 DSGVO folgende Kriterien erfüllen:

  • Die Einwilligung muss freiwillig erfolgen,
  • die Aufforderung zur Einwilligung muss in verständlicher Form geäußert werden und
  • die betroffene Person muss ihre Einwilligung jederzeit widerrufen können.

HR-Abteilungen sollten DSGVO-konforme Einwilligungen einholen und sich nicht auf ältere Einwilligungen verlassen. Auch sollte eine Einwilligung nicht aus dem Beschäftigungsverhältnis selbst abgeleitet oder mit der Unterzeichnung des Arbeitsvertrags verknüpft werden.

Welche Individualrechte haben Mitarbeitende?

Zur Sicherung ihrer informationellen Selbstbestimmung gibt die DSGVO Beschäftigten in Bezug auf die Verarbeitung ihrer personenbezogenen Daten das Recht auf:

  • Auskunft (gemäß den Informationspflichten des Unternehmens);
  • Berichtigung (Prinzip der Datenrichtigkeit);
  • Löschung (Grundsatz der Datenminimierung);
  • Einschränkung der Verarbeitung, wenn die Richtigkeit der Daten von Betroffenen bestritten wird, deren Verarbeitung unrechtmäßig ist oder die Person Widerspruch einlegt;
  • Datenübertragbarkeit, das den Betroffenen den Anspruch einräumt, ihre personenbezogenen Daten in einem gängigen, maschinenlesbaren Format zur Verfügung gestellt zu bekommen;
  • Widerspruch.

Welche Informationspflichten haben Unternehmen?

Aufgrund des Transparenzprinzips und des Grundsatzes der informationellen Selbstbestimmung haben die Mitarbeitenden die oben genannten Rechte auf Information über die Verarbeitung personenbezogener Daten, d. h. für Unternehmen besteht eine Informationspflicht. Diese Rechte und diese Pflicht gelten für den gesamten Prozess der Datenverarbeitung – von der Vorbereitung der Erhebung bis hin zur Löschung der Daten. Die Informationspflicht für HR-Verantwortliche besteht, wenn Unternehmen und ihre HR-Abteilungen die Mitarbeiterdaten selbst erheben (Direkterhebung), und auch dann, wenn die Daten von Dritten erhoben werden.

Dabei wird unterschieden zwischen Informationen, die von Unternehmen mitzuteilen sind, und Informationen, die von Unternehmen bereitzustellen sind (Art. 13 und 14 DSGVO). Erforderliche Informationen in diesem Sinne sind:

  • Name und Kontaktdaten des für die Datenverarbeitung Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Zweck und rechtliche Grundlage der Datenverarbeitung 
  • Erläuterung des berechtigten Interesses: Warum werden die Daten verarbeitet?
  • Datenart: Welche Kategorien personenbezogener Daten werden verarbeitet?
  • Empfänger: Wem werden die Daten zur Verfügung gestellt?
  • Dauer der Datenspeicherung
  • Information der Mitarbeitenden über ihre Rechte in Bezug auf die Verarbeitung von Daten

Ist die Weitergabe von Daten gesetzlich geregelt, entfällt die Informationspflicht des Arbeitgebers. Das ist zum Beispiel bei der Weitergabe personenbezogener Daten an die Sozialversicherungsträger der Fall oder wenn die Speicherung zur Datensicherung oder Datenschutzkontrolle erfolgt.

Screenshot Flyer

Lösungspaket

DSGVO-Paket für SAP HCM

Richtig Daten löschen mit dem DSGVO-Paket

Wie ist mit Daten von BewerberInnen umzugehen?

Der besondere Schutz von Daten, die im Rahmen von Stellenausschreibungen übermittelt und durch eigene Recherchen der HR-Abteilung zusammengetragen werden, z. B. auf Social Media, gilt für alle internen Recruiting-Prozesse, beginnend bei der Vorbereitung und Durchführung des Bewerbungsgesprächs. In allen Phasen des Bewerbungsprozesses sind die DSGVO-Grundsätze der Zweckbindung der Daten und der Datenminimierung zu beachten: Daten dürfen nicht auf Vorrat gespeichert oder anderweitig verwendet werden. Außerdem ist der Verteilerkreis der Daten so klein wie möglich zu wählen, die Verarbeitungszwecke sind so eng wie möglich zu fassen. Aus den genannten Prinzipien ergeben sich auch kurze Aufbewahrungsfristen.

Unternehmen müssen transparent machen:

  • welche persönlichen Daten zu welchem Zweck gespeichert werden,
  • warum sie weitergegeben werden,
  • wer Zugriff auf die Daten hat und
  • wie lange die Daten gespeichert werden.

Über diese Punkte können BewerberInnen auch Auskunft verlangen.

Recht auf Datenlöschung

BewerberInnen haben aufgrund des Zweckbindungs- bzw. Datenminimierungsprinzips ein Recht auf Datenlöschung. Die maximale Aufbewahrungsfrist für solche Daten beträgt sechs Monate. Im Falle einer Absage sollten entsprechende Daten unmittelbar nach Ende des Bewerbungsverfahrens gelöscht werden. Bei einem Verstoß gegen die Aufbewahrungsfrist können Bußgelder fällig werden.

Für eine längerfristige Speicherung der Daten ist ein ausdrückliches Einverständnis der betroffenen BewerberInnen erforderlich, das jederzeit widerrufen werden kann. Unternehmen sind verpflichtet, ihre HR-Prozesse so zu gestalten, dass eine fristgerechte Löschung personenbezogener Daten gewährleistet ist.

HR-Software – was muss beachtet werden?

Software und Cloud-Dienste, die im Recruiting eingesetzt werden, müssen die Anforderungen der DSGVO erfüllen – das gilt übrigens auch für den Einsatz von Videokonferenz-Programmen in Bewerbungsgesprächen. Bei Cloud-Lösungen aller Art scheiden Anbieter aus, die sich die eigene Weiterverarbeitung von Daten vorbehalten. Das ist insbesondere dann wichtig, wenn der Service-Anbieter seinen Sitz im EU-Ausland hat.

Wann ist der Betriebsrat einzubeziehen?

Die DSGVO stellt bei der Zusammenarbeit mit dem Betriebsrat, beim Abschluss und der Umsetzung von Betriebsvereinbarungen strenge Anforderungen an HR-Abteilungen. Mithilfe von Betriebsvereinbarungen wird unter anderem auch der Einsatz von EDV, Telefonanlagen, Videoüberwachung, Nutzung des Internets etc. im Arbeitsalltag geregelt. Personalverantwortliche müssen darauf achten, dass diese Vereinbarungen die Bestimmungen der DSGVO erfüllen. Betriebsvereinbarungen gehören zu den sogenannten Kollektivvereinbarungen, die nach Art. 88 DSGVO den Schutz der berechtigten Interessen betroffener Personen beinhalten müssen. Es gehört auch zu den Aufgaben der Personalverantwortlichen, bereits bestehende Vereinbarungen auf DSGVO-Compliance zu überprüfen. Datenschutzrechtliche Betriebsvereinbarungen sollten leicht verständliche Informationen zu den folgenden Grundsätzen enthalten:

  • Zweckbindung,
  • Vorgaben zur Datensicherheit,
  • Dokumentations- und Informationspflichten,
  • Umgang mit Datenschutzverletzungen.

HR-Abteilung und Betriebsrat sind gemeinsam dafür verantwortlich, Betriebsvereinbarungen zu formulieren, die mit den Zielen und Grundsätzen der DSGVO vereinbar sind, die die Rechte der betroffenen Mitarbeitenden aus Kapitel 3 der DSGVO wahren (Art. 12-23) und die sich auch an den Begrifflichkeiten der Verordnung orientieren.

Weitergabe personenbezogener Daten an den Betriebsrat

Ein besonderes Augenmerk liegt in diesem Zusammenhang auf der Weitergabe personenbezogener Daten an den Betriebsrat, um diesem die Kontrolle des Arbeitgebers hinsichtlich der Beachtung von Arbeitnehmerrechten zu ermöglichen. In welchem Umfang und in welcher Form die HR-Verantwortlichen eines Unternehmens die Auskunfts- und Informationsanfragen des Betriebsrats erfüllen können, ist jeweils nach den Bestimmungen der DSGVO zu prüfen. In der Vergangenheit wurden solche Anfragen großzügig beantwortet. Heute müssen HR-Abteilungen darauf achten, dass der Betriebsrat insbesondere die Weitergabe von Informationen mit Angabe von Klarnamen umfassend begründet. Von Fall zu Fall müssen Arbeitgeber prüfen, ob eine anonymisierte Weitergabe von Daten ausreichend ist. Unternehmen befinden sich hier in einem Spannungsfeld zwischen der Erfüllung der Informationswünsche von Betriebsräten und der Wahrung der DSGVO-Konformität.

Ende des Beschäftigungsverhältnisses: Wann sind Daten zu löschen?

Wenn Mitarbeitende aus dem Unternehmen ausscheiden, sind zahlreiche Aspekte des Datenschutzes zu beachten. Gerade wenn es sich um eine nicht einvernehmliche Trennung handelt, werden Mitarbeitende die Löschung aus datenschutzrechtlichen Gründen fordern. Art. 17 DSGVO begründet das Recht auf Löschung, das hier auch als „Recht auf Vergessenwerden“ bezeichnet wird. Die Umsetzung dieses Rechts stellt HR-Abteilungen in der Praxis vor schwierige Herausforderungen, weil sie je nach Art der Daten entscheiden müssen, ob sie der Aufforderung zur Löschung nachkommen können bzw. müssen.

Bei der Beurteilung der datenschutzrechtlichen Pflichten des Unternehmens sind folgende Gesichtspunkte zu beachten:

  • In welchem Umfang überdauern personenbezogene Daten das Beschäftigungsverhältnis?
  • Zu welchen Zwecken wurden diese Daten gespeichert?
  • Ist das Aufbewahrungsinteresse des Unternehmens vom Speicherzweck gedeckt?
  • Welche Daten sind innerhalb welcher Fristen nach der Beendigung des Anstellungsverhältnisses zu löschen?

Grundsätzlich entfällt der wesentliche Zweck der Speicherung, wenn das Beschäftigungsverhältnis endet. HR-Verantwortliche müssen den Datenbestand analysieren und feststellen, wo Daten mit der Person von ausgeschiedenen Mitarbeitenden verknüpft sind und um welche Daten es sich im Einzelnen handelt. Dann ist zu prüfen, inwieweit diese auch ohne ausdrückliche Aufforderung gelöscht werden müssen. So ist zum Beispiel bei Fotos von einer automatischen Löschungspflicht auszugehen.

Schwieriger ist schon der Umgang mit dem dienstlichen E-Mail-Konto. Hier können Mitarbeitende den (Ex-)Arbeitgeber einerseits zur Löschung, andererseits aber auch zur Herausgabe von Daten auffordern. Deshalb sollte der Mail-Account zunächst nur deaktiviert und gesperrt, aber nicht gelöscht werden. Das beugt Schadenersatzpflichten vor, denn nur so können etwaige berechtigte Ansprüche auf die Herausgabe von Daten erfüllt werden. Mitarbeitende, die zum Beispiel Dienst-Handys oder -Laptops zurückgeben, sollte die HR-Abteilung auf Löschungsmöglichkeiten hinweisen.

Einer Löschungsaufforderung kann das Unternehmen jedenfalls zunächst nicht vollständig nachkommen, was auch Art. 17 Abs. 3 DSGVO anerkennt, der u. a. die Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen als Begründung nennt. Eine fortgesetzte Speicherung kann auch unter Verweis auf rechtliche Verpflichtungen erfolgen. Dazu gehören beispielsweise für die über acht Stunden pro Tag hinausgehende Arbeitszeit die zweijährige Aufbewahrungsfrist oder für bestimmte Steuer- und Lohnabrechnungsunterlagen eine sechsjährige Aufbewahrungsfrist.

Es ist die Aufgabe der HR-Abteilung, die verschiedenen Verpflichtungen abzuwägen und sich im Konfliktfall der Wichtigkeit und Sensibilität des Themas bewusst zu sein.

Datenschutzbeauftragter – Pflicht oder Kür?

Die DSGVO und das BDSG verpflichten eine große Zahl von Unternehmen dazu, einen Datenschutzbeauftragten zu benennen. In der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) finden sich die Kriterien, die festlegen, welche Unternehmen einen Datenschutzbeauftragten bestellen müssen. Die DSGVO geht dabei von einem risikobasierten Ansatz aus, der die Sensibilität und die Menge der verarbeiteten Daten berücksichtigt. Die beiden wichtigsten Kriterien lauten:

  • Kerntätigkeit eines Unternehmens ist die Datenverarbeitung;
  • das Unternehmen erhebt regelmäßig und systematisch umfangreiche personenbezogene Daten.

Zu typischen Tätigkeiten in diesem Bereich zählt die DSGVO beispielsweise

  • Telekommunikationsdienstleistungen,
  • E-Mail-Werbung mit Tracking,
  • datengesteuertes Marketing wie Treueprogramme oder verhaltensbasierte Werbung
  • Datenverarbeitung im Bereich der Smart-Home-Technologie oder bei Fitness-Trackern.

Das BDSG präzisiert, dass Unternehmen einen Datenschutzbeauftragten benennen müssen, wenn sich mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder die Unternehmen Daten weitergeben oder zur Marktforschung nutzen. Entscheidend sind also der Unternehmenszweck, Art und Umfang der Erhebung personenbezogener Daten und die Verwendung dieser Daten. Keine Rolle spielt dagegen die Unternehmensgröße: Auch kleine und mittelständische Unternehmen haben die Pflicht, einen Datenschutzbeauftragten zu ernennen, wenn die oben genannten Voraussetzungen erfüllt sind.

Anforderungen an den Datenschutzbeauftragten

Ein Datenschutzbeauftragter wird immer für das gesamte Unternehmen und alle Datenverarbeitungsvorgänge benannt. Eine Ernennung von mehreren Personen, etwa für verschiedene Firmenbereiche oder unterschiedliche Arten der Datenverarbeitung, ist nicht möglich.

Ein Datenschutzbeauftragter wird auf Grundlage seiner beruflichen Qualifikation und seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis ernannt. Er kann entweder ein Beschäftigter des Unternehmens sein oder auch ein externer Dienstleister.

Interner oder externer Beauftragter?

Bei beiden Lösungsalternativen, beim internen wie auch beim externen Datenschutzbeauftragten, ist die Unabhängigkeit der mit der Aufgabe betrauten Person besonders wichtig: Zum einen darf der Datenschutzbeauftragte daher nicht Mitglied eines der Organe eines Unternehmens sein; er darf also zum Beispiel nicht GmbH-Geschäftsführer, AG-Vorstand oder leitender Angestellter sein. Zum anderen dürfen externe Datenschutzbeauftragte nicht zugleich Berater der Geschäftsleitung sein. Deshalb kommen zum Beispiel der Steuerberater oder der Hausanwalt für den Posten des Datenschutzbeauftragten nicht infrage.

Eine externe Lösung hat den Vorteil, dass die geforderte Unabhängigkeit leichter hergestellt werden kann. Bei der Auswahl eines externen Datenschutzbeauftragten sind zentrale Fragen:

  • Welche relevanten Berufsabschlüsse oder Zertifizierungen hat der Anbieter?
  • Welche anderen Unternehmen/Organisationen hat er bereits im Datenschutz begleitet?
  • In welchem Umfang ist der Anbieter auf die Nutzung unternehmensinterner Ressourcen angewiesen (IT-Infrastruktur und Personal)?
  • Sichert er das Haftpflicht-Risiko ab? Existieren Versicherungen und wenn ja, in welcher Höhe?

Mehr zum Thema:

Code-Zeilen auf Monitor

Fehler beim Datenschutz im Recruiting vermeiden

Datenschutz im Recruiting ist ein laufender Prozess, dem man sich mindestens einmal jährlich widmen sollte, da es sonst schnell zu Verstößen kommt.

Hören und lesen Sie mehr zum Thema