HR & Datenschutz – ein explosives Thema?

Letztes Update:
19
.
10
.
2021
Lesezeit:
0
Min
HR und Datenschutz sind eng verbunden – besonders jetzt, im Zeitalter der Digitalisierung. &nbsp;<br /> Warum der Datenschutz im Personalwesen einen so hohen Stellenwert hat, was generell erlaubt ist und wo Sie als HR Manager unbedingt handeln müssen, haben wir für Sie genauer unter die Lupe genommen.&nbsp;
HR & Datenschutz – ein explosives Thema?
Die wichtigsten Erkenntnisse
  • Personalabteilungen verarbeiten täglich viele personenbezogene Daten von Mitarbeitern und Bewerbern.
  • DSGVO und BDSG regeln den Arbeitnehmerdatenschutz, um Persönlichkeitsrechte zu schützen.
  • HR muss Daten fristgerecht löschen, Datensparsamkeit einhalten und über Datenverarbeitung informieren.
  • Nur berechtigte Personen dürfen Zugang zu sensiblen Daten haben; Zugriffskontrollen sind wichtig.
  • Einwilligungen sind notwendig, wenn keine gesetzliche Legitimation für Datenverarbeitung vorliegt.

Datenschutz spielt im Bereich Human Resources eine wichtige Rolle. Der Grund: Personalabteilungen verarbeiten jeden Tag eine Vielzahl an personenbezogenen Daten von Mitarbeiter:innen und Bewerber:innen. Sobald Bewerbungsunterlagen beim Unternehmen eingehen, verfügen die Personalverantwortlichen im HR über personenbezogene Daten ihrer Bewerber. Teilweise teilt der Arbeitnehmer auch sensible Informationen wie Herkunft, Gesundheitsdaten oder die persönliche religiöse Weltanschauung.  

Solche Daten sind besonders schutzbedürftig und erfordern von den Verantwortlichen eine pflichtbewusste Umsetzung der DSGVO. Die Informations- und Betroffenenrechte müssen gewahrt und die technischen und organisatorischen Maßnahmen zum Schutz der Daten eingehalten werden.  

Das Regelwerk für den Arbeitnehmerdatenschutz liefert die DSGVO und das BDSG über die Öffnungsklauseln. Ziel des Arbeitnehmerdatenschutzes ist es, die Persönlichkeitsrechte der Arbeitnehmer zu schützen. Dies geschieht, indem diese selbst bestimmen dürfen, welche Daten von Ihnen gespeichert und verwendet werden. 
 

DSGVO und HR: Was ist erlaubt? 

Die HR-Abteilung verarbeitet bereits ab dem Zeitpunkt des Eingangs der Bewerbung personenbezogene Daten in Form von E-Mail-Adressen und Lebensläufen. Für eine ordnungsgemäße Datenverarbeitung verleiht die DSGVO den Arbeitnehmern besondere Rechte und den Verantwortlichen der HR-Abteilung spezifische Pflichten. 

Arbeitnehmer haben das Recht: 

  • Jederzeit alle zu Ihrer Person gespeicherten Daten einschließlich der Personalakte einsehen zu dürfen.
  • Auf Zurückhaltung sensibler Daten wie Informationen über Erkrankungen zu bestehen (grundsätzlich existiert ein Verbot der Weitergabe aller personenbezogenen Daten, wenn dies nicht zur Erfüllung des Arbeitsvertrages erforderlich ist oder eine Einwilligung vorliegt).
  • Zu lügen oder zu schweigen, wenn Informationen eingeholt werden, welche nicht der Auskunftspflicht unterliegen. 

HR Verantwortliche haben die Pflicht: 

  • Nachweislich widerrechtlich erhobene, veraltete oder unrichtige Daten auf Antrag zu löschen, zu korrigieren oder vor weiteren Zugriffen zu sperren – auch nach Beendigung des Arbeitsverhältnisses. 
  • Einwilligungen von betroffenen Personen einzuholen, wenn sensible personenbezogene Daten erhoben oder gespeichert werden. Eine Einwilligung zur Verarbeitung dieser sensiblen Daten ist immer dann erforderlich, wenn nicht bereits eine gesetzliche Legitimation vorliegt: So muss der Arbeitgeber beispielsweise keine Einwilligung hinsichtlich der Verarbeitung der Religionszugehörigkeit einholen, da er gesetzlich verpflichtet ist, Kirchensteuer abzuführen.
  • Die Arbeitnehmer umfangreich darüber zu informieren.

Auch worüber Arbeitnehmer informiert werden müssen, ist ganz klar geregelt. Dazu zählen unter anderem folgende Informationen:

  1. Wer für die Verarbeitung verantwortlich ist,
  2. zu welchem Zweck die Daten verarbeitet werden,
  3. welche Kategorien von Daten verarbeitet werden,
  4. die Quelle der Daten, sofern diese nicht bei Betroffenen erhoben werden, 
  5. wer Empfänger der Daten ist,
  6. Informationen darüber, ob und in welchem Umfang Datentransfers in Drittländer vorgenommen werden,
  7. wie lange die Daten gespeichert werden, 
  8. warum die Bereitstellung personenbezogener Daten erforderlich ist 
  9. und die Information, ob eine automatisierte Entscheidungsfindung vorgenommen wird. 

Außerdem ist die HR dafür zuständig, dass diese Arbeitnehmerdaten nicht in die falschen Hände gelangen. Hierzu wird festgelegt, wer auf welche Daten Zugriff hat. Es ist wichtig zu beachten, dass nur Personen Zugriff erhalten, welche in den konkreten Prozess involviert sind. Dabei gibt es sowohl eine zeitliche Beschränkung als auch eine Begrenzung auf den jeweiligen Interessensbereich.

Wird für den Bewerbungsprozess ein HR Tool verwendet, ist es ratsam, nur auf zertifizierte Software zurückzugreifen, um einen datenschutzrechtlichen Verstoß mit juristischen Konsequenzen wie einem Bußgeld zu vermeiden. Wie die Persönlichkeitsrechte genau geschützt werden und wo die HR Verantwortlichen handeln müssen, erfahren Sie anhand der folgenden Datenschutz-Checkliste. 
 

DSGVO in der Personalabteilung – wo ist Handeln gefragt?

Die HR-Abteilung verarbeitet personenbezogene Daten von Arbeitnehmern und Bewerbern. Die DSGVO verlangt von den Verantwortlichen, alle erhaltenen Daten bestmöglich gegen Angriff oder Diebstahl zu schützen.  

Dabei ist aktives Handeln bei folgenden Punkten gefragt:   

  • Fristgerechtes Löschen personenbezogener Daten: Sie dürfen personenbezogene Daten nur so lange speichern, wie es für den gemeinsam vereinbarten Zweck der Verarbeitung notwendig ist. Es gibt spezielle Bewerbermanagement Tools, bei welchen die Daten nach der Aufbewahrungsfrist automatisch verfallen. Datenschutzexperte-Tipp: Schützen Sie das Tool Ihrer Wahl mit entsprechenden Sicherheitsvorkehrungen vor Angriffen.  
  • Einhaltung des Prinzips der Datensparsamkeit: Achten Sie darauf, nur so viele Daten zu erheben, wie für den jeweiligen Zweck auch notwendig sind.
  • Nachkommen der Informationspflicht: Sie müssen die Betroffenen über die Datenverarbeitung und den Zweck dieser Verarbeitung informieren.  
  • Problematik Datenschutz durch HR-Mitarbeiter im Homeoffice beachten
  • Zutrittskontrolle Räumlichkeiten: Stellen Sie sicher, dass nur berechtigte Personen, beziehungsweise Mitarbeiter Zutritt zu den entsprechenden Räumlichkeiten oder Arbeitsplätzen haben.
  • Zugriffskontrollen Daten: Schützen Sie Ihre Datenverarbeitungssysteme, um sicherzustellen, dass Unbefugte darauf keinen Zugriff haben. Denn nicht jeder Mitarbeiter darf auf alle personenbezogenen Daten zugreifen. Entsprechende Rechtevergaben und Sicherheitsmaßnahmen können hier eine schnelle und dennoch sichere Abhilfe schaffen.
  • Trennung sensibler Daten: Wenn Sie Daten zu unterschiedlichen Zwecken erheben, ist es wichtig, diese getrennt zu behandeln. Grund dafür ist, dass die Verantwortlichen keine Übersicht über alle Daten der Betroffenen erhalten sollen. 
  • Überprüfung von Dienstleistern und Software auf DSGVO Konformität: Wissen Sie, ob Ihre Softwaresysteme DSGVO-konform sind? Seit 2018 können zwar auch Cloud-Anbieter als Auftragsdatenverarbeiter haftbar gemacht werden, dennoch bietet es sich an im Vorfeld zu überprüfen wie sicher Dienstleister und Softwareprogramme sind.
  • Erfüllung der Rechenschaftspflicht: Die Personalabteilung muss zu jederzeit nachweisen können, dass die Vorschriften der EU-DSGVO befolgt wurden. Hierfür ist eine ordentliche Dokumentation aller oben genannten Tätigkeiten erforderlich. 

DSGVO und Human Resources: Das gibt es bei der Einwilligungserklärung zu beachten

Wir haben gelernt: Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es gibt hierfür eine Rechtsgrundlage oder der Betroffene hat direkt in die Datenverarbeitung eingewilligt. 

Das Einholen einer Einwilligungserklärung ist obsolet, wenn die Daten zur Durchführung vertraglicher Pflichten wie der Anfertigung der Lohnverrechnung notwendig sind. Auch keiner Einwilligung bedarf es bei Daten, welche im Rahmen gesetzlicher Verpflichtungen erhoben werden. Beispiele hierfür sind Arbeitszeitaufzeichnungen oder Betriebsvereinbarungen. 
 
Der Schutz von Daten ist im Personalwesen das A und O. Bei steigendem Datenumfang und einer zunehmenden Komplexität der Datenverarbeitung kann das schnell zu einer Herausforderung werden. Allerdings gibt es viele Möglichkeiten den Datenschutz auch im Personalwesen einfach und effizient zu lösen. Wir beraten Sie gerne zu einer passenden Lösung für Sie und Ihr Unternehmen, um Ihr Datenschutzmanagement in der HR-Abteilung zu optimieren.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
datenschutz-Muster

Kostenlose Materialien zum Thema

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!