Magazin
Datenschutz Personalabteilung

Datenschutz Personalabteilung

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Die DSGVO wird bereits von vielen Unternehmen unterschiedlichster Branchen nach außen hin gut umgesetzt. Doch was oftmals übersehen wird: Auch innerhalb des Unternehmens gilt bei der Verarbeitung von personenbezogenen Daten die DSGVO – etwa im HR-Bereich. Darum geben wir Ihnen hier einen Überblick zum Thema Datenschutz in der Personalabteilung
Datenschutz Personalabteilung
Die wichtigsten Erkenntnisse
  • Datenschutz in der Personalabteilung betrifft hauptsächlich Beschäftigtendaten, einschließlich Bewerberdaten.
  • DSGVO-Anforderungen: Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
  • Datenschutz im HR-Bereich umfasst auch allgemeine Datensicherheit und Verschwiegenheitserklärungen.
  • Digitale Personalakten und Home-Office erfordern besondere datenschutzrechtliche Zusatzvereinbarungen.
  • Mitarbeiterschulungen im Datenschutz sind essentiell zur Vermeidung von Datenschutzverletzungen.

Warum ist Datenschutz in der Personalabteilung besonders wichtig?

Im HR-Bereich und der Personalabteilung werden hauptsächlich Beschäftigtendaten verarbeitet. Dazu zählen neben den Daten von Angestellten auch solche personenbezogenen Daten, die in Bewerbungsverfahren (Bewerberdaten) anfallen. Aber auch Mitarbeiterdaten von Arbeitnehmerüberlassungen fallen unter den Begriff der Beschäftigtendaten (§ 26 Abs. 8 Nr. 1 BDSG). Um diese Daten zu schützen, gelten neben der DSGVO auch die Anforderungen des allgemeinen Datenschutzes und der Datensicherheit. Im Folgenden erklären wir Ihnen, worauf Sie im speziellen achten müssen.

Was muss beim Datenschutz in HR beachtet werden?

Alle personenbezogenen Daten, die in einer Personalabteilung anfallen, unterliegen dem Schutz der DSGVO. Das heißt, dass Sie bei der Verarbeitung dieser Daten darauf achten müssen, dass:

  • Die Zweckbindung nach Art. 5 DSGVO gegeben ist: Der eindeutige und legitime Zweck der Verarbeitung besteht bei Beschäftigtendaten beispielsweise im Mitarbeiter- oder Bewerberverhältnis. Die übersendeten (und damit indirekt erhobenen Daten) werden, konkret gesprochen, zur Besetzung einer Stelle oder der Durchführung des Beschäftigungsverhältnisses verwendet.
  • Die Datenminimierung nach Art. 5 DSGVO gegeben ist. Achten Sie darauf, welche personenbezogenen Beschäftigungsdaten für das Arbeitsverhältnis wirklich relevant sind. Es dürfen also immer nur die absolut notwendigen Daten für die Durchführung des Beschäftigungsverhältnisses verarbeitet werden. Für alles weitere (z.B. Mitarbeiterfotos auf Webseite, Notfallkontaktdaten, etc.) brauchen Sie eine gesonderte Rechtsgrundlage (die Einwilligung der betroffenen Person).
  • Die Richtigkeit nach Art. 5 DSGVO gegeben ist. Die erhobenen Beschäftigtendaten müssen richtig sein und bei Bedarf aktualisiert werden.
  • Die Speicherbegrenzung nach Art. 5 DSGVO eingehalten wird. Personenbezogene Daten und damit Beschäftigtendaten dürfen nicht unbegrenzt gespeichert werden. Endet das Beschäftigungsverhältnis, müssen sie nach einer von Gesetzeswegen vorgeschriebene Aufbewahrungsfrist gelöscht werden.
  • Die Integrität und Vertraulichkeit nach Art. 5 DSGVO gegeben ist. Neben der Sicherheit der erhobenen Daten ist der Schutz vor unbefugter Verarbeitung oder dem unbefugten Zugriff Dritter wichtig. Hiermit Hand in Hand gehen die erforderlichen technischen und organisatorischen Maßnahmen (wie z.B. abschließbare Personalschränke), um die Daten beispielsweise vor einem unerlaubten physischen Zugriff zu schützen.

Zudem sollten Sie sicherstellen, dass vor allem die Mitarbeiter im HR-Bereich stets im Umgang mit personenbezogenen Daten geschult werden. Dies ist durch eine entsprechende Datenschutz-Mitarbeiterschulung möglich.

In diesen Bereich spielen darüber hinaus auch, wie im vorherigen Kapitel bereits angesprochen, der allgemeine Datenschutz und die Datensicherheit mit hinein.

Allgemeiner Datenschutz & Datensicherheit im HR-Bereich

Der Datenschutz in der Personalabteilung beschränkt sich natürlich nicht nur auf die DSGVO. Unter Datenschutz wird der Schutz aller Daten verstanden, nicht nur der personenbezogenen Daten. Weitere Bestandteile sind z.B. noch:

  • Verschwiegenheitserklärung: Eine Verschwiegenheitserklärung bzw. Geheimhaltungsverpflichtung ist beispielsweise dann sinnvoll, wenn Sie mit sensiblen Daten oder innovativen Arbeitsabläufen arbeiten. Sie kann entweder als Zusatz oder Bestandteil des Arbeitsvertrags verwendet werden und darf nicht mit einer Vertraulichkeitsverpflichtung verwechselt werden.
  • Datensicherheitskonzept: Datensicherheit und der übergeordnete Datenschutz sind eng mit der Unternehmens-IT verknüpft – deshalb spricht man hier auch von Informationssicherheit. Ein Datensicherheitskonzept ist dabei für jedes Unternehmen unerlässlich und muss je nach Unternehmen individuell etabliert werden.

Aktuelle Herausforderungen beim Datenschutz im Personalwesen

Gerade in großen und alten Unternehmen sollte der Datenschutz der Personalabteilung noch einmal unter die Lupe genommen werden. Die DSGVO verbietet nämlich beispielsweise gewisse Informationen in der Personalakte, die teilweise noch erhoben oder aus digitalen Bewerbungsprozessen gewonnen werden. Dazu gehören beispielsweise meist religiöse und politische Überzeugungen und sexuelle Vorlieben, Social-Media-Profile und ärztliche Unterlagen (wie Atteste). Nach Art. 5 DSGVO Abs. d müssen die Informationen in der Personalakte stets richtig sein bzw. bei Unrichtigkeit aktualisiert werden – dies gilt natürlich für Personalakten in Papierform ebenso wie für digitale Personalakten.

Ein weiterer Punkt, der gerade aktueller denn je erscheint, ist der Datenschutz im Home-Office. Hierzu bieten wir Ihnen eine datenschutzrechtliche Zusatzvereinbarung zum Arbeitsvertrag an.

All diese Anforderungen an den Datenschutz in der Personalabteilung und den Arbeitnehmerdatenschutz können Sie am einfachsten in Zusammenarbeit mit Ihrem Datenschutzbeauftragten umsetzen.

Wir beantworten Ihre Fragen zum Thema Datenschutz Personalabteilung

Fällt die digitale Personalakte unter die DSGVO?

Die DSGVO wird in Deutschland durch das BDSG konkretisiert. Werden personenbezogene Daten beispielsweise in einem elektronischen Dateisystem (wie einer digitalen Personalakte) gespeichert, so gelten auch hier die Vorschriften der DSGVO und des BDSG. Werden personenbezogene Daten also mit Hilfe eines Computerprogramms, wie beispielsweise einer Personalverwaltungssoftware, verarbeitet (auch, wenn dies nicht automatisiert der Fall ist), müssen die Bestimmungen der DSGVO beachtet werden.

Gilt die DSGVO für Mitarbeiterdaten?

Ja, die DSGVO gilt für Mitarbeiterdaten: Bei Mitarbeiterdaten handelt es sich um personenbezogene Daten, die dem Schutz der DSGVO unterliegen. Deshalb ist es wichtig, für einen ausreichenden Datenschutz im HR zu sorgen.

Aufbewahrungsfristen für eine Personalakte

Aufbewahrungsfristen für Personalakten nach der DSGVO gibt es nicht. Stattdessen richtet sich die Aufbewahrungsfrist einer Personalakte danach, was alles in dieser Akte enthalten ist. Die regelmäßige Verjährungsfrist (geregelt in § 195 BGB) endet nach drei Jahren. Enthält die Personalakte zum Beispiel Unterlagen im Sinne des Steuerrechts, muss sie Minimum sechs Jahre aufgehoben werden. Aber egal, wie lange die Akte aufgehoben wird – die Vertraulichkeit muss zu jeder Zeit gewährleistet sein.

Müssen die Mitarbeiter der Personalabteilung im Datenschutz geschult werden?

Auf jeden Fall! Die Mitarbeiter der Personalabteilung verarbeiten oftmals enorme Mengen an personenbezogenen Daten (Beschäftigtendaten). Um für den korrekten Umgang damit sensibilisiert zu werden, müssen die Mitarbeiter durch Mitarbeiterschulungen entsprechend im Datenschutz sensibilisiert werden. So kann einer Datenschutzverletzung durch menschliches Versagen vorgebeugt bzw. das Risiko einer solchen teilweise deutlich reduziert werden.

Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datenschutz im Unternehmen
Personenbezogene Daten
Betroffenenrechte
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Konzerndatenschutzbeauftragter
14
.
10
.
2024
Konzerndatenschutzbeauftragter
Je mehr personenbezogene Daten in einem Unternehmen verarbeitet werden, umso höher ist das Risiko für unzureichend organisierte Prozesse. Dies gilt gerade für die Datenverarbeitung in Großkonzernen. Hierfür gibt es eine Lösung: Konzerndatenschutzbeauftragte. Laut DSGVO dürfen einzelne Personen als Datenschutzbeauftragte für ganze Unternehmensgruppen benannt werden und fungieren somit als Konzerndatenschutzbeauftragte. Diese Konzerndatenschutzbeauftragten bieten zahlreiche Vorteile und nehmen großen Unternehmen und Großkonzernen hinsichtlich des Konzerndatenschutzes viel Arbeit ab.
Datenschutz bei Veranstaltungen
23
.
04
.
2024
Datenschutz bei Veranstaltungen
Veranstaltungen zu organisieren ist oftmals eine Herausforderung. Hinzu kommt bei öffentlichen Veranstaltungen das Thema Datenschutz – dieses rückt gerade wegen Corona wieder in den Mittelpunkt.
Telekommunikationsgesetz (TKG) und Datenschutz
14
.
10
.
2024
Telekommunikationsgesetz (TKG) und Datenschutz
Im Jahr 1996 in Kraft getreten, reguliert das Telekommunikationsgesetz (TKG) grundsätzlich den Wettbewerb im Bereich der Telekommunikation. Durch das Integrieren der Telekommunikations-Kundenschutzverordnung (TKV) sowie einige Modifizierungen des Gesetzes beinhaltet das TKG mittlerweile auch mehrere Regelungen hinsichtlich des Datenschutzes. In dieser Hinsicht ist es auch für Unternehmen relevant. Ebenso wie das Telemediengesetz (TMG) ist es im Vergleich zum Bundesdatenschutzgesetz (BDSG) und der Datenschutzgrundverordnung (DSGVO) spezieller. Das bedeutet, dass grundsätzlich das BDSG und DSGVO mit ihren Regelungen anzuwenden sind, solange nicht der Anwendungsbereich des TKG betroffen ist. Zweck des Telekommunikationsgesetzes ist grundsätzlich die Förderung von Wettbewerb und die Stärkung von Infrastruktur in der Telekommunikation.
Datenübermittlung und Datenschutz
14
.
10
.
2024
Datenübermittlung und Datenschutz
Durch das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) besteht für viele Agenturen und Unternehmen dringender Handlungsbedarf. Wenn Sie sich bisher noch nicht näher mit dem Datenschutzrecht und den rechtlichen Anforderungen bei Datenübermittlungen im Internet, per E-Mail oder Fax beschäftigt haben: Die strengeren Regeln zur Datensicherheit und für Datenübermittlungen gelten seit Mai 2018. Doch was ist Datenübermittlung genau?
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Vertraulichkeits- und Verschwiegenheits­erklärung Mitarbeiter
Alle Unternehmen die personenbezogene Daten verarbeiten müssen sicherstellen, dass Mitarbeiter und Dienstleister diese Daten vertraulich behandeln. Deshalb ist eine Verpflichtung auf Vertraulichkeit (auch „Vertraulichkeitserklärung“ genannt) notwendig. Um zu dokumentieren, dass die Mitarbeiter im Unternehmen sich dieser Pflicht bewusst sind, entsprechend geschult wurden, und wissen, worauf sie beim Umgang mit personenbezogenen Daten zu achten haben, sieht die DSGVO vor, dass die Mitarbeiter eine Vertraulichkeitserklärung unterschreiben. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO. Mit der Vertraulichkeitserklärung können Unternehmen nicht nur ihren Dokumentationspflichten gegenüber Betroffenen oder Aufsichtsbehörden nachkommen, sondern verringern auch die Gefahr einer unbeabsichtigten Datenschutzverletzung. Die Vertraulichkeitserklärung stärkt zudem das Vertrauen der Kunden oder Geschäftspartner in die datenschutzrechtlichen Praktiken des Unternehmens. Mit unserem juristisch geprüften Verschwiegenheitserklärung-Muster können Sie Ihren Mitarbeitern eine Vertraulichkeitserklärung zukommen und diese unterschreiben lassen. Falls Sie dieser Pflicht nicht nachkommen, können teure Abmahnungen die Folge sein.
Datenschutzerklärung für Bewerber
Unternehmen sind gesetzlich dazu verpflichtet, verschiedene Informationspflichten nach der DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Bewerbern. Dabei können Sie eine PDF-Datei in Ihrer Karriereseite oder in den jeweiligen Stellenausschreibungen für die Bewerber zur Verfügung stellen. Um Ihnen die Arbeit zu erleichtern, haben wir eine DSGVO-konforme Vorlage zur Datenschutzbelehrung für Bewerber erstellt. Damit können Sie die Datenschutzinformationspflicht für Bewerber jetzt mit geringerem Zeitaufwand und mehr Sicherheit umsetzen.
Datenschutzerklärung für Kunden
Als Unternehmen haben Sie verschiedene Informationspflichten nach DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Interessenten und Kunden. Dabei können Sie eine PDF-Datei der Bestätigungs-E-Mail anhängen oder online auf eine zur Verfügung gestellte Information verweisen. Mithilfe unserer DSGVO-konformen Vorlage zur Datenschutzbelehrung können Sie der Datenschutzinformationspflicht für Kunden jetzt ganz einfach nachgehen.
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!