Die DSGVO ist überall. HR-Prozesse im Überblick

Mit der DSGVO – der Datenschutz-Grundverordnung – schützen die Mitgliedsstaaten der EU das Grundrecht ihrer Bürgerinnen und Bürger auf informationelle Selbstbestimmung. Für uns alle ist das eine Errungenschaft. Für Unternehmen ist die DSGVO aber auch ein Brocken. Denn den Schutz beziehungsweise die Sicherheit von personenbezogenen Daten gemäß den rechtlichen Vorgaben sicherzustellen, ist alles andere als trivial. Das auch, weil die Anforderungen der Datenschutz-Grundverordnung teilweise weit über die davor gültigen nationalen Bestimmungen hinausgehen. Die DSGVO betrifft auch die HR-Abteilungen stark. Schließlich geht es im Personalwesen fast ausschließlich um personenbezogene Daten. Manche Datenschutz- und Datensicherheitsaspekte sind dabei naheliegend, andere weniger.

Auch 6 Jahre nach Beginn der Gültigkeit der DSGVO, beziehungsweise eigentlich nach Ende der damals großzügig eingeräumten Übergangsphase, tun sich viele Personalerinnern und Personaler nach wie vor schwer damit. Wir werfen daher einen systematischen Blick auf sämtliche HR-Prozesse. So wird deutlich, wo personenbezogene Daten überall eine Rolle spielen, welche rechtlichen Anforderungen jeweils erfüllt sein müssen und wie sich das erreichen lässt. Dabei wirkt sich die Grundordnung auf alle HR-Prozess aus – angefangen beim Recruiting über das Onboarding, die Administration und das Talentmanagement bis zum Ausscheiden von Mitarbeitenden.

Im Artikel „Datenschutz im HR“ haben wir uns bereits ausführlich mit den Grundlagen beschäftigt. Hier daher nur nochmal ein kurzer Blick auf die Grundsätze der Datenschutz-Grundverordnung. Sie stecken den Rahmen dessen ab, was erlaubt ist und was nicht.

• Rechtmäßigkeit und Transparenz: Die Verarbeitung personenbezogener Daten muss rechtmäßig sein. Das ist gegeben, wenn eine Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis vorliegt. Außerdem muss für den Betroffenen ersichtlich sein, zu welchem Zweck seine personenbezogenen Daten erhoben und wie sie verarbeitet werden.
• Spezialfall „berechtigtes Interesse“: Liegt ein berechtigtes Interesse vor, ist die Verarbeitung personenbezogener Daten ebenfalls erlaubt. Problem nur: Definiert wird es – denkbar schwammig – als „das Bestreben im weiteren Sinne, das ein für die Verarbeitung Verantwortlicher an dieser Verarbeitung haben kann, oder der Nutzen, den der für die Verarbeitung Verantwortliche aus der Verarbeitung zieht – oder den die Gesellschaft daraus ziehen könnte.“ [^1] Das ist der Fall, wenn beide Seiten „eine maßgebliche und angemessene Beziehung“ unterhalten, wenn also beispielsweise die Person in den Diensten des Verantwortlichen steht. Sich auf „berechtigtes Interesse“ zu berufen, kann also durchaus zu Streitfällen führen.
• Zweckbindung: Auf jeden Fall muss der Zweck vor der Erhebung festgelegt sein. Nachträglich darf er nicht geändert werden. Zudem muss der Zweck eindeutig und legitim sein. Personalbögen beinhalten in der Regel die Frage nach der Bankverbindung, damit Unternehmen das Gehalt überweisen können – ein nachvollziehbarer Zweck. Auch Videoaufnahmen zum Schutz vor Einbruch und Diebstahl sind klar motiviert. Diese dürfen allerdings nicht herangezogen werden, um zu schauen, wie schnell und gründlich Herr Müller oder Frau Meyer ihre Arbeit erledigen. Denn dafür wurden die Daten nicht erhoben und beide haben dem nicht zugestimmt.
• Datenminimierung: Es dürfen nur die personenbezogenen Daten erhoben werden, die für den Zweck wirklich erforderlich sind. Notizen zu Gesprächen mit Mitarbeitern über vertragsrelevante Dinge (z.B. variable Vergütungen, Entwicklungspläne) gehören in die Personalakte, solche über persönliche Präferenzen, Meinungen oder sensible persönliche Daten hingegen nicht.
• Richtigkeit: Personenbezogene Daten müssen sachlich richtig und aktuell sein. Entsprechend müssen falsche Daten gelöscht oder korrigiert werden. Wenn Sie Personalakten führen, kommen Sie um eine sorgfältige Datenpflege also nicht herum.
• Speicherbegrenzung: Sind personenbezogene Daten nicht mehr für den Zweck erforderlich, müssen sie gelöscht werden. Etwa länger zurückliegende Gesprächsnotizen, die sich auf eine angestrebte Beförderung beziehen, die längst umgesetzt ist. Die Begrenzung der Speicherung ist für die meisten Personalabteilungen eine der schwierigsten Aufgaben, weil die Frage nach dem Zweck bei anhaltender Beschäftigung schwierig und schwammig ist. Gelöscht werden muss nur dann nicht, wenn gesetzliche Aufbewahrungspflichten bestehen. Auch hier sind Sie mit regelmäßigen Datenchecks auf der sicheren Seite.
• Integrität und Vertraulichkeit: Personenbezogene Daten müssen sicher aufbewahrt werden. Das schließt den Schutz vor unbefugter und unrechtmäßiger Verarbeitung ebenso ein wie vor unbeabsichtigter Zerstörung oder Schädigung.
• Rechenschaftspflicht: Derjenige, der personenbezogene Daten erhebt und verarbeitet, muss nachweisen können, dass diese Grundsätze eingehalten werden.

Nachfolgend schauen wir uns die wichtigsten HR-Prozesse näher an und klären, wo sie mit der DSGVO in Berührung kommen

Im Recruiting-Prozess werden zwangsläufig personenbezogene Daten erhoben und verarbeitet – schließlich müssen HR-Mitarbeitende anhand von diversen Angaben zur Person und mithilfe von Zeugnissen und anderen Dokumenten prüfen, ob eine Kandidatin oder ein Kandidat zur vakanten Stelle passt. DSGVO-konform geschieht dies, wenn Sie

• die Bewerberinnen und Bewerber transparent darüber informieren, weshalb Sie welche Daten erheben und wie lange Sie diese speichern (Transparenz und Informationspflicht),
• Ihnen eine Einwilligung zur Datenspeicherung vorliegt,
• Sie nur die Angaben abfragen, die Sie für das Bewerbungsverfahren benötigen (Datenminimierung),
• die Daten nicht an Dritte weitergeben und vertraulich behandeln
• und die Datenverarbeitung dokumentieren.

Wenn Sie Kandidatinnen und Kandidaten ermöglichen, ihre Unterlagen verschlüsselt einzureichen, gehen Sie in puncto Datenschutz auf Nummer sicher. Sollten Sie eine Person einstellen, deckt die eingangs erteilte Erlaubnis die Nutzung und Verarbeitung der Stammdaten für den weiteren Prozess in der Regel ab. Um Konflikte von vornherein auszuschließen, empfiehlt es sich aber, eine neue Einwilligung einzuholen. Wegen der Zweckbindung müssen die Daten aller Kandidatinnen und Kandidaten, bei denen kein Beschäftigungsverhältnis zustande kommt, grundsätzlich gelöscht werden. Sowohl PDF-Dateien inklusive aller Kopien als auch schriftliche Bewerbungen müssen sicher vernichtet werden, wenn Sie diese nicht zurückschicken.

Gedanken machen sollten Sie sich über die Frist, nach der die personenbezogenen Daten gelöscht werden. Denn im Falle einer Klage abgelehnter Bewerberinnen und Bewerber, etwa auf Grund des Allgemeinen Gleichbehandlungsgesetztes (AGG), benötigen Sie die Unterlagen. Hier läge also ein „berechtigtes Interesse“ vor, sie zumindest bis zum Ablauf der möglichen Klagefrist zu behalten. Im Falle des AGG etwa zwei Monate nach der Absage.

Häufig wollen HR-Abteilungen die Unterlagen jedoch behalten, um Talentpools aufzubauen, auf die sie bei Gelegenheit zurückgreifen können. Wenn die Daten für diesen Zweck gespeichert werden sollen, muss die jeweilige Bewerberin oder der jeweilige Bewerber dafür eine ausdrückliche Einwilligung erteilen – die sich natürlich auch widerrufen lassen muss. Bei der Einwilligung gilt ein sogenanntes Koppelungsverbot: Unternehmen dürfen die Einwilligung zum Speichern im Talentpool nicht bereits bei der initialen Übermittlung der Bewerbungsunterlagen einholen beziehungsweise diese vor allem nicht zur Voraussetzung einer Bewerbung machen. Auf diese Weise soll verhindert werden, dass sich eine nicht erteilte Einwilligung negativ auf die Bewerbung auswirkt.

Eine auch aus DSGVO-Sicht besondere Recruiting-Form ist das Active Sourcing. Vor dem Hintergrund des War for Talents suchen Unternehmen immer häufiger proaktiv nach geeigneten Kandidatinnen und Kandidaten – und sprechen sie direkt an. Oft über eine Social-Media-Plattform. Bei dieser direkten Ansprache sollten Unternehmen stets vorsichtig sein. Denn während die Kontaktaufnahme über die explizit aufs Business ausgerichteten Netzwerke LinkedIn und Xing in der Regel unproblematisch und durch die Nutzungsbedingungen der Plattformen abgedeckt ist, sieht das bei vornehmlich zu privaten Zwecken genutzten Plattformen wie Facebook und Instagram anders aus. Hier dominiert das Verständnis, dass eine direkte Ansprache nicht DSGVO-konform ist. So schreibt Recruiting-Expertin und Bloggerin Claudia Lorber: „Auf Facebook & anderen privaten Sozialen Netzwerken ist eine direkte Ansprache nicht erlaubt.“ [2]

Eine andere Position vertritt Rechtsanwältin Emma Lotz: „Beliebte Tools für die Recherche waren dabei lange einzig die beruflich orientierten sozialen Netzwerke Xing und LinkedIn. Da die Grenze zwischen beruflichen und privaten Plattformen teilweise verschwimmt, bedienen sich Personalverantwortliche mittlerweile zunehmend auch der auf private Nutzung ausgelegten Netzwerke wie bspw. Instagram, TikTok oder Facebook.“ Laut DSGVO ist „auch ohne traditionelles Anbahnungsverhältnis, wie man es bei klassischen Bewerbungssituationen vorfindet, […] einem Arbeitgeber nach Art. 6 Abs. 1 lit. f) iVm Art. 9 Abs. 2 lit. e) DSGVO die Datenverarbeitung unter bestimmten Voraussetzungen auch beim Active Sourcing erlaubt. Erforderlich ist hierzu zunächst das berechtigte Interesse des Arbeitgebers an der Datenverarbeitung, ohne dass das Interesse des Kandidaten dem überwiegend entgegensteht. Darüber hinaus sind ausschließlich Daten zu verarbeiten, die der Kandidat zuvor selbst öffentlich gemacht hatte. Als öffentlich einsehbar soll in diesem Zusammenhang wegen der sehr geringen Hürden auch ein Profil gelten, was nur durch andere Mitglieder des Netzwerks eingesehen werden kann. Nicht öffentlich ist jedoch ein Profil, welches nur von Kontakten eingesehen werden kann. In der Bestätigung einer entsprechenden Kontaktanfrage kann jedoch eine konkludente Einwilligung gesehen werden, so dass die Daten nun von dem neuen ‚Kontakt‘ eingesehen werden dürfen. Der Umfang der Daten, die datenschutzkonform erhoben und verarbeitet werden dürfen, korreliert mit dem Fragerecht des Arbeitgebers in einem Vorstellungsgespräch. Zu beachten sind dabei auch die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten gem. Art. 5 Abs. 1 DSGVO. Diese fordern neben der Datensparsamkeit, der Zweckbindung und der Einhaltung des Verhältnismäßigkeitsgrundsatzes auch die Datentransparenz. Letztere können Arbeitgeber einhalten, indem sie ausgewählte Kandidaten, idealerweise bereits bei der ersten Kontaktaufnahme über die beabsichtigte Datenverarbeitung informieren. Nur im Ausnahmefall sollte davon abgesehen werden (Art. 14 Abs. 5 lit. b) DSGVO). Auch wenn ein Nutzungsverbot der Daten für Zwecke der Personalgewinnung in den AGB der einschlägigen Netzwerkbetreiber regelmäßig nicht ersichtlich ist, gab es ein solches zumindest in der Vergangenheit (etwa bei StudiVZ), sodass Arbeitgeber gut beraten sind, wenn sie die AGB der jeweiligen Anbieter sorgfältig prüfen.“ [3]

Also fehlt auch Jahre, nachdem die DSGVO formuliert wurde, Sicherheit bezogen auf das Active Sourcing.

Während des Onboardings werden alle für die Zukunft relevanten Stammdaten zur Person mithilfe eines Fragebogens erfasst und in der Personalakte gespeichert. Als gesetzliche Grundlage dient Paragraf 26 des Bundesdatenschutzgesetzes (BDSG): „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies […] nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“

Die Formulierung lässt Spielraum, welche personenbezogenen Daten tatsächlich zweckmäßig sind. Sämtliche Daten, die für die Lohn- und Gehaltsabrechnung benötigt werden, sind unstrittig. Gleiches gilt für Angaben und Dokumente zur Qualifikation, soweit sie die Ausübung des Jobs betreffen. Alles, was die Privatsphäre des Arbeitnehmers verletzt, hat in der Personalakte nichts zu suchen, also etwa die Zugehörigkeit zu einer Partei, private Vorlieben oder auch ein Vermerk zur Kandidatur für den Betriebsrat. So weit, so logisch.

Schon komplizierter: Ändern sich Stammdaten während des Beschäftigungsverhältnisses – beispielsweise, weil der Mitarbeitende umzieht, heiratet oder aus der Kirche austritt –, dürfen die neuen Daten erfasst und gespeichert werden. Gleichzeitig müssen veraltete Daten gelöscht werden, es sei denn berechtigte Interessen stehen dem entgegen. So müssen Unternehmen etwa Unterlagen, die sie bei einer Betriebsprüfung benötigen, zehn Jahre aufbewahren. Das können eben auch nicht mehr gültige Personaldaten sein, etwa weil frühere Wohnorte oder die Konfession für die Steuerberechnung nötig waren.

Digitale Personalakten sind mittlerweile weit verbreitet, verlangen allerdings besonders viel Sorgfalt beim Datenschutz. Sie sollten über ein Berechtigungskonzept dafür sorgen, dass Ihre Mitarbeitenden nur die für sie zugelassenen Dokumente nutzen können und dabei zwischen den Möglichkeiten, die Akte einzusehen und zu bearbeiten differenzieren. Achten Sie auch auf ein geeignetes Authentifizierungsverfahren und eine Datensicherung, die dem aktuellen Stand der Technik entspricht. Empfohlen wird, die Arbeitsschritte protokollieren zu lassen, doch auch in dieser Hinsicht ist Vorsicht geboten: Wenn Ihre Mitarbeitenden besonders sensible Dokumente wie Abmahnungen löschen, darf aus dem Löschprotokoll nicht ersichtlich sein, um was für ein Dokument es sich handelt.

Im Laufe des Beschäftigungsverhältnisses entwickeln sich Mitarbeitende weiter: Möglicherweise entwerfen sie dafür mit ihren Führungskräften einen individuellen Karriereplan, in vielen Fällt nehmen sie an Qualifizierungsmaßnahmen teil – mit Bezug auf die geplante Laufbahn und darüber hinaus. Außerdem kommt es oft vor, dass Ziele vereinbart und Leistungen beurteilt werden. In dieser Zeit entstehen zwangläufig neue personenbezogene Informationen, die in der Regel schriftlich festgehalten und gespeichert werden. Auch das ist unter Berücksichtigung von Paragraf 26 des Bundesdatenschutzgesetzes grundsätzlich in Ordnung. Unproblematisch sind Qualifikationen, die unmittelbar mit dem Job in Verbindung stehen. Das trifft etwa auf einen Flurfördermittelschein oder eine Scrum-Master-Zertifizierung zu. Solche Daten dürfen mehr oder weniger allen Personen im Unternehmen zugänglich gemacht werden. Wenn ein Mitarbeitender einen Kurs absolviert hat, um seine Vortragsangst in Griff zu bekommen, müssen das die Führungskraft, HR-Verantwortliche und vielleicht Mitglieder der Geschäftsleitung wissen. Sonst aber niemand. Und auch individuelle Karrierepläne sowie Ziele und Leistungsbeurteilungen sind lediglich für einen kleinen Kreis bestimmt.

Da Mitarbeitende das Unternehmen mitunter ungeplant verlassen, wäre ein strukturierter DSGVO-konformer Prozess für das Ende der Anstellung besonders hilfreich. Der Sicherheit der Organisation selbst ist geschuldet, dass dem Ausscheidenden sämtliche Zugriffsrechte, auch auf Datenspeicherorte, entzogen werden. Zu Ihren Pflichten als Personaler zählt, der Person zu ermöglichen, ihre persönlichen E-Mails zu löschen, bevor sie ihr persönliches Endgerät zurückgibt. Es kann nicht schaden, sich diesen Schritt vom Mitarbeiter oder der Mitarbeiterin schriftlich bestätigen zu lassen.

Ein Blick nach Österreich, wo die DSGVO – da EU-Recht – auch gilt, gibt Entwarnung, was das Thema DSGVO und geschäftliche E-Mails angeht. Der dortige OHG fällte im Juni 2023 ein Urteil, von dem unter anderem die Haslinger / Nagele Rechtsanwälte GmbH [4] berichtet. Der Fall: In einem Unternehmen, das mit MS Office 365 arbeitet, gab es keine schriftlichen Vereinbarungen zum Umgang mit persönlichen Nachrichten, die über E-Mail-Konten ausgetauscht werden. Nach dem einvernehmlichen Ausscheiden einer der beiden Assistentinnen des Geschäftsführers griff dieser auf ihr E-Mail-Konto zu. Er staunte nicht schlecht, als er neben der üblichen Geschäftskorrespondenz statt eines aufgabenbezogenen Austauschs der beiden Assistentinnen recht offene Worte der verbliebenen Mitarbeiterin über den „Idiotenhaufen“ las, bei dem sie beschäftigt ist. Er konfrontierte die Assistentin mit den E-Mails und kündigte sie.

Schadenersatzklagen beider Kolleginnen unter Berufung auf die DSGVO wurden auch in oberster Instanz abgewiesen: „Die Einsichtnahme in das E-Mail-Konto war zur Aufrechterhaltung des Unternehmensbetriebs der Beklagten nach dem Ausscheiden der ehemaligen Assistentin notwendig, weil dieses Kunden- und Vertragspartnerkommunikation enthielt. Darüber hinaus hatten die Klägerinnen mit der Einsichtnahme auch rechnen müssen, soweit Nachrichten nicht als privat erkennbar waren, was vom E-Mail-Verkehr zwischen Assistentinnen der Geschäftsführung nicht zu erwarten ist. Damit bestätigten die Gerichte ein Überwiegen der Interessen des geklagten Unternehmens an der Einsichtnahme gegenüber jenen der Klägerinnen auf Schutz ihrer personenbezogenen Daten und ihrer Privatsphären iSd § 6 Abs 1 lit f DSGVO.“

Im Sinne der Speicherbegrenzung müssen die personenbezogenen Daten ausgeschiedener Mitarbeitender zwar früher oder später gelöscht werden. Allerdings unterliegen Unternehmen einer gesetzlichen Aufbewahrungspflicht. Sie müssen Lohn- und Gehaltsabrechnungen inklusive der Verrechnung der Sozialversicherungsbeiträge für etwaige Betriebsprüfungen vorhalten. Daraus ergibt sich eine Frist von zehn Jahren. Da danach das Recht auf Löschen greift, sollten Sie einen Workflow implementieren, der sicherstellt, dass die Daten rechtzeitig, aber nicht zu früh vernichtet werden.

Bei Personalarbeit hat man es an allen Ecken und Enden mit personenbezogenen Daten zu tun – und die gilt es zu schützen. Wer Bewerberinnen und Bewerber sowie Mitarbeitende generell wertschätzt, wird umsichtig mit persönlichen Informationen umgehen. Datensparsamkeit zeichnet eine gute Unternehmenskultur aus. Wo besondere Aufmerksamkeit und Vorsicht in der Employee Journey geboten ist, wissen Sie nun. In Einzelfällen empfiehlt es sich, Ihre Datenschutzbeauftragten ins Boot oder juristischen Rat einzuholen. Sicher werden wegweisende Urteile für wiederkehrende Fragen – wie etwa zu den datenschutzrechtlichen Grenzen von Active Sourcing – nicht lange auf sich warten lassen. Sollten zwischenzeitlich versehentlich Informationen in die Personalverwaltungssoftware gelangen, die nicht hineingehören, oder Daten zu spät gelöscht werden, kann ein gutes altes Mittel Wunder wirken: Sprechen Sie einfach mit den Leuten, räumen sie Versehen ein und geloben Sie Besserung.