HR & Datenschutz – ein explosives Thema?

Datenschutz spielt im Bereich Human Resources eine wichtige Rolle. Der Grund: Personalabteilungen verarbeiten jeden Tag eine Vielzahl an personenbezogenen Daten von Mitarbeiter:innen und Bewerber:innen. Sobald Bewerbungsunterlagen beim Unternehmen eingehen, verfügen die Personalverantwortlichen im HR über personenbezogene Daten ihrer Bewerber. Teilweise teilt der Arbeitnehmer auch sensible Informationen wie Herkunft, Gesundheitsdaten oder die persönliche religiöse Weltanschauung.  

Solche Daten sind besonders schutzbedürftig und erfordern von den Verantwortlichen eine pflichtbewusste Umsetzung der DSGVO. Die Informations- und Betroffenenrechte müssen gewahrt und die technischen und organisatorischen Maßnahmen zum Schutz der Daten eingehalten werden.  

Das Regelwerk für den Arbeitnehmerdatenschutz liefert die DSGVO und das BDSG über die Öffnungsklauseln. Ziel des Arbeitnehmerdatenschutzes ist es, die Persönlichkeitsrechte der Arbeitnehmer zu schützen. Dies geschieht, indem diese selbst bestimmen dürfen, welche Daten von Ihnen gespeichert und verwendet werden. 
 

DSGVO und HR: Was ist erlaubt? 

Die HR-Abteilung verarbeitet bereits ab dem Zeitpunkt des Eingangs der Bewerbung personenbezogene Daten in Form von E-Mail-Adressen und Lebensläufen. Für eine ordnungsgemäße Datenverarbeitung verleiht die DSGVO den Arbeitnehmern besondere Rechte und den Verantwortlichen der HR-Abteilung spezifische Pflichten. 

Arbeitnehmer haben das Recht: 

• Jederzeit alle zu Ihrer Person gespeicherten Daten einschließlich der Personalakte einsehen zu dürfen.
• Auf Zurückhaltung sensibler Daten wie Informationen über Erkrankungen zu bestehen (grundsätzlich existiert ein Verbot der Weitergabe aller personenbezogenen Daten, wenn dies nicht zur Erfüllung des Arbeitsvertrages erforderlich ist oder eine Einwilligung vorliegt).
• Zu lügen oder zu schweigen, wenn Informationen eingeholt werden, welche nicht der Auskunftspflicht unterliegen. 

HR Verantwortliche haben die Pflicht: 

• Nachweislich widerrechtlich erhobene, veraltete oder unrichtige Daten auf Antrag zu löschen, zu korrigieren oder vor weiteren Zugriffen zu sperren – auch nach Beendigung des Arbeitsverhältnisses. 
• Einwilligungen von betroffenen Personen einzuholen, wenn sensible personenbezogene Daten erhoben oder gespeichert werden. Eine Einwilligung zur Verarbeitung dieser sensiblen Daten ist immer dann erforderlich, wenn nicht bereits eine gesetzliche Legitimation vorliegt: So muss der Arbeitgeber beispielsweise keine Einwilligung hinsichtlich der Verarbeitung der Religionszugehörigkeit einholen, da er gesetzlich verpflichtet ist, Kirchensteuer abzuführen.
• Die Arbeitnehmer umfangreich darüber zu informieren.

Auch worüber Arbeitnehmer informiert werden müssen, ist ganz klar geregelt. Dazu zählen unter anderem folgende Informationen:

1. Wer für die Verarbeitung verantwortlich ist,
2. zu welchem Zweck die Daten verarbeitet werden,
3. welche Kategorien von Daten verarbeitet werden,
4. die Quelle der Daten, sofern diese nicht bei Betroffenen erhoben werden, 
5. wer Empfänger der Daten ist,
6. Informationen darüber, ob und in welchem Umfang Datentransfers in Drittländer vorgenommen werden,
7. wie lange die Daten gespeichert werden, 
8. warum die Bereitstellung personenbezogener Daten erforderlich ist 
9. und die Information, ob eine automatisierte Entscheidungsfindung vorgenommen wird. 

Außerdem ist die HR dafür zuständig, dass diese Arbeitnehmerdaten nicht in die falschen Hände gelangen. Hierzu wird festgelegt, wer auf welche Daten Zugriff hat. Es ist wichtig zu beachten, dass nur Personen Zugriff erhalten, welche in den konkreten Prozess involviert sind. Dabei gibt es sowohl eine zeitliche Beschränkung als auch eine Begrenzung auf den jeweiligen Interessensbereich.

Wird für den Bewerbungsprozess ein HR Tool verwendet, ist es ratsam, nur auf zertifizierte Software zurückzugreifen, um einen datenschutzrechtlichen Verstoß mit juristischen Konsequenzen wie einem Bußgeld zu vermeiden. Wie die Persönlichkeitsrechte genau geschützt werden und wo die HR Verantwortlichen handeln müssen, erfahren Sie anhand der folgenden Datenschutz-Checkliste. 
 

DSGVO in der Personalabteilung – wo ist Handeln gefragt?

Die HR-Abteilung verarbeitet personenbezogene Daten von Arbeitnehmern und Bewerbern. Die DSGVO verlangt von den Verantwortlichen, alle erhaltenen Daten bestmöglich gegen Angriff oder Diebstahl zu schützen.  

Dabei ist aktives Handeln bei folgenden Punkten gefragt:   

• Fristgerechtes Löschen personenbezogener Daten: Sie dürfen personenbezogene Daten nur so lange speichern, wie es für den gemeinsam vereinbarten Zweck der Verarbeitung notwendig ist. Es gibt spezielle Bewerbermanagement Tools, bei welchen die Daten nach der Aufbewahrungsfrist automatisch verfallen. Datenschutzexperte-Tipp: Schützen Sie das Tool Ihrer Wahl mit entsprechenden Sicherheitsvorkehrungen vor Angriffen.  
• Einhaltung des Prinzips der Datensparsamkeit: Achten Sie darauf, nur so viele Daten zu erheben, wie für den jeweiligen Zweck auch notwendig sind.
• Nachkommen der Informationspflicht: Sie müssen die Betroffenen über die Datenverarbeitung und den Zweck dieser Verarbeitung informieren.  
• Problematik Datenschutz durch HR-Mitarbeiter im Homeoffice beachten
• Zutrittskontrolle Räumlichkeiten: Stellen Sie sicher, dass nur berechtigte Personen, beziehungsweise Mitarbeiter Zutritt zu den entsprechenden Räumlichkeiten oder Arbeitsplätzen haben.
• Zugriffskontrollen Daten: Schützen Sie Ihre Datenverarbeitungssysteme, um sicherzustellen, dass Unbefugte darauf keinen Zugriff haben. Denn nicht jeder Mitarbeiter darf auf alle personenbezogenen Daten zugreifen. Entsprechende Rechtevergaben und Sicherheitsmaßnahmen können hier eine schnelle und dennoch sichere Abhilfe schaffen.
• Trennung sensibler Daten: Wenn Sie Daten zu unterschiedlichen Zwecken erheben, ist es wichtig, diese getrennt zu behandeln. Grund dafür ist, dass die Verantwortlichen keine Übersicht über alle Daten der Betroffenen erhalten sollen. 
• Überprüfung von Dienstleistern und Software auf DSGVO Konformität: Wissen Sie, ob Ihre Softwaresysteme DSGVO-konform sind? Seit 2018 können zwar auch Cloud-Anbieter als Auftragsdatenverarbeiter haftbar gemacht werden, dennoch bietet es sich an im Vorfeld zu überprüfen wie sicher Dienstleister und Softwareprogramme sind.
• Erfüllung der Rechenschaftspflicht: Die Personalabteilung muss zu jederzeit nachweisen können, dass die Vorschriften der EU-DSGVO befolgt wurden. Hierfür ist eine ordentliche Dokumentation aller oben genannten Tätigkeiten erforderlich. 

DSGVO und Human Resources: Das gibt es bei der Einwilligungserklärung zu beachten

Wir haben gelernt: Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es gibt hierfür eine Rechtsgrundlage oder der Betroffene hat direkt in die Datenverarbeitung eingewilligt. 

Das Einholen einer Einwilligungserklärung ist obsolet, wenn die Daten zur Durchführung vertraglicher Pflichten wie der Anfertigung der Lohnverrechnung notwendig sind. Auch keiner Einwilligung bedarf es bei Daten, welche im Rahmen gesetzlicher Verpflichtungen erhoben werden. Beispiele hierfür sind Arbeitszeitaufzeichnungen oder Betriebsvereinbarungen. 
 
Der Schutz von Daten ist im Personalwesen das A und O. Bei steigendem Datenumfang und einer zunehmenden Komplexität der Datenverarbeitung kann das schnell zu einer Herausforderung werden. Allerdings gibt es viele Möglichkeiten den Datenschutz auch im Personalwesen einfach und effizient zu lösen. Wir beraten Sie gerne zu einer passenden Lösung für Sie und Ihr Unternehmen, um Ihr Datenschutzmanagement in der HR-Abteilung zu optimieren.