0 Artikel
2,50

DatenschutzDatenschutz im Personalwesen

Wer Mitarbeiter beschäftigt, hat zwangsläufig mit einer Fülle von Personaldaten zu tun. Bei der Verwaltung dieser Daten müssen die Verantwortlichen die geltenden Datenschutzvorschriften im Blick haben und einhalten.

Warum Datenschutz in der Personalverwaltung?

In der Personalabteilung eines Unternehmens werden unter anderem eine Vielzahl persönlicher Daten von Arbeitnehmern verarbeitet, gespeichert und verwaltet. Diese Daten sind gemäß den Datenschutz-Vorschriften zu schützen. Denn die Beschäftigten haben einen Anspruch darauf, dass ihre Persönlichkeitsrechte auch im Arbeitsverhältnis geschützt sind.

Zur Datenverarbeitung zählen insbesondere das Erheben und Erfassen, Speichern, Verwenden, Abfragen, Übermitteln, Abgleichen und Löschen von Daten.

Die wichtigsten Rechtsgrundlagen für den betrieblichen Datenschutz sind:

  • das Bundesdatenschutzgesetz (BDSG)
  • die Datenschutz-Grundverordnung (DSGVO)

Wichtig: Der Datenschutz bezieht sich nicht nur auf Personaldaten, die im laufenden Arbeitsverhältnis erfasst werden, sondern auch auf Bewerberdaten, die während des Bewerbungsprozesses gesammelt und ausgewertet werden.

Verarbeiten von Mitarbeiterdaten

Zentrale Vorschrift für die Verarbeitung von Mitarbeiterdaten ist § 26 BDSG. Demnach dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

Mit dieser Regelung wird gewährleistet, dass Personalabteilungen bestimmte Mitarbeiterdaten erheben und speichern dürfen, um beispielsweise eine Personalakte anzulegen oder die monatliche Lohnabrechnung zu erstellen.

Merke

Falls der Arbeitgeber Mitarbeiterdaten erfassen oder speichern möchte, die nicht zur Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind, braucht er dafür gemäß § 26 Absatz 2 BDSG eine schriftliche Einwilligung des betroffenen Arbeitnehmers.

Was gehört zu den Personaldaten?

Als Personaldaten gelten „personenbezogene“ Daten, die im Arbeitsverhältnis vom Unternehmen erfasst und verarbeitet werden. Dazu gehören beispielsweise:

  • Name
  • Anschrift
  • Kontaktdaten (Telefon/ Mobiltelefon/ private E-Mail)
  • Geburtsdatum
  • Familienstand
  • Bankverbindung
  • Steuerklasse und Steuer-Identifikationsnummer
  • Sozialversicherungsnummer
  • Konfession
  • Gesundheitsdaten
  • Biometrische Daten
  • Arbeitszeugnisse und Zertifikate

Diese persönlichen Daten der Mitarbeiterinnen und Mitarbeiter dürfen erfasst, verarbeitet und gespeichert werden, weil sie für das Beschäftigungsverhältnis relevant sind.

Gesundheitsdaten besonders schützenswert

Einige dieser Personaldaten sind besonders schützenswert. Das gilt vor allem für Gesundheitsdaten sowie für biometrische Daten.

Bei diesen Daten ist einerseits die Speicherung nur unter strengen Voraussetzungen erlaubt. Andererseits müssen Personalverantwortliche hier bei der Kommunikation besonders sensibel vorgehen.

Führungskräfte sollten beispielsweise die genaue Ursache für eine krankheitsbedingte Abwesenheit eines Mitarbeiters oder einer Mitarbeiterin betriebsintern nicht nennen.

Zentrale Datenschutz-Vorgaben beachten

Im Hinblick auf den Schutz von Arbeitnehmerdaten müssen Unternehmen insbesondere die folgenden zentralen Datenschutz-Vorgaben beachten:

Löschung von Daten aus der Personalakte

Personalbezogene Daten, die für das Arbeitsverhältnis nicht (mehr) relevant sind, müssen aus der Personalakte entfernt werden. Mitarbeitende haben ein Recht auf Datenlöschung, sofern die Speicherung der personenbezogenen Daten nicht mehr notwendig ist oder falls die Datenerhebung unrechtmäßig war.

Umkehr der Beweispflicht

Unternehmen sind in der Pflicht, nachweisen zu können, dass sie personenbezogene Daten gemäß den datenschutzrechtlichen Vorgaben verarbeitet haben. Behörden können die Einhaltung der Datenschutzvorschriften kontrollieren und bei Zuwiderhandlung ein Bußgeld verhängen.

Informationspflicht gegenüber Mitarbeitenden

Arbeitgeber müssen ihre Beschäftigten darüber informieren, welche persönlichen Daten sie verarbeiten und speichern.

Betrieblichen Datenschutzbeauftragten benennen

Gemäß § 38 Absatz 1 BDSG müssen Betriebe unter anderem dann einen Datenschutzbeauftragten benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Wenn im Unternehmen entsprechend viele Personen aus der Personal- oder aus anderen Abteilungen Zugriff auf die Personaldaten haben, benötigt es einen Datenschutzbeauftragten.

Allgemeine Anforderungen zum Umgang mit personenbezogenen Daten

Darüber hinaus sind in Artikel 5 DSGVO verschiedene allgemeine Grundsätze festgelegt, die bei der Verarbeitung personenbezogener Daten eingehalten werden müssen. Diese Grundsätze gelten auch für den Umgang mit Mitarbeiterdaten:

  • Rechtmäßige Verarbeitung: Die Daten müssen auf rechtmäßige Weise verarbeitet werden.
  • Transparenz: Die Verarbeitung muss in einer für die betroffene Person nachvollziehbaren Weise erfolgen.
  • Zweckbindung: Die Daten dürfen nur für eindeutige und legitime Zwecke verarbeitet werden.
  • Datenminimierung: Es muss sich um relevante Daten handeln und diese müssen auf das notwendige Maß beschränkt werden.
  • Richtigkeit: Die erhobenen Daten müssen sachlich richtig sein.
  • Speicherbegrenzung: Personenbezogene Daten dürfen grundsätzlich nur solange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
  • Integrität und Vertraulichkeit: Bei der Datenverarbeitung muss eine angemessene Datensicherheit, zum Beispiel ein Schutz vor Datenverlust, gewährleistet sein. Arbeitgeber müssen sicherstellen, dass die Daten vor dem Zugriff unbefugter Personen geschützt sind, zum Beispiel durch eine wirksame Verschlüsselung.
  • Rechenschaftspflicht: Wer personenbezogene Daten verarbeitet, muss nachweisen können, dass die genannten Grundsätze eingehalten wurden.

Aufbewahrungsfristen und Löschung von Mitarbeiterdaten

Für Personalverantwortliche stellt sich zudem die Frage, wie lange Mitarbeiter- oder Bewerberdaten aufbewahrt werden müssen oder dürfen und wann die Daten zu löschen sind. Generell gilt hier der Grundsatz der Speicherbegrenzung, wonach personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist.

Relevant wird die Frage der Datenlöschung insbesondere im Zusammenhang mit Kündigungen und abgelehnten Bewerbungen.

Mitarbeiterdaten löschen nach Kündigung

Grundsätzlich haben Beschäftigte, die das Unternehmen verlassen, ein Recht darauf, dass ihre personenbezogenen Daten, die betriebsintern gespeichert wurden, unverzüglich gelöscht werden. Das gilt jedenfalls für solche Daten, bei denen mit der Kündigung der Zweck der Datenspeicherung wegfällt.

Der Arbeitgeber muss dann also aktiv werden und die entsprechenden Daten löschen.

Aufbewahrungsfristen

Ausnahmen von der Pflicht zur Datenlöschung gelten dann, wenn das Unternehmen aufgrund einer gesetzlichen Verpflichtung bestimmte Mitarbeiterdaten noch aufbewahren muss, auch wenn der Mitarbeiter oder die Mitarbeiterin das Unternehmen bereits verlassen hat.

So sind zum Beispiel steuerlich relevante Unterlagen mindestens sechs Jahre lang aufzubewahren. Lohnabrechnungen müssen sogar zehn Jahre gespeichert werden.

Unterlagen, die für eine mögliche arbeitsrechtliche Auseinandersetzung oder bei der Geltendmachung von Schadensersatzansprüchen noch relevant werden könnten (wie zum Beispiel Abmahnungen), dürfen bis zu drei Jahre lang aufbewahrt werden.

Daten und Unterlagen abgelehnter Bewerber

Arbeitgeber in der Privatwirtschaft dürfen die Unterlagen von abgelehnten Stellenbewerbern bis zum Ablauf der Frist einer möglichen Klage gegen die Auswahlentscheidung aufbewahren, um im Fall einer Klage nicht in Beweisnot zu geraten. Dementsprechend dürfen die Unterlagen abgelehnter Bewerber bis zu sechs Monate nach Abschluss des Bewerbungsverfahrens im Unternehmen archiviert werden.

Bleibt eine Klage innerhalb der Klagefrist aus, sind die Bewerberunterlagen zu löschen.

Auskunftsanspruch der Beschäftigten

Artikel 15 DSGVO gewährt Arbeitnehmern ein Auskunftsrecht im Hinblick auf die Verarbeitung personenbezogener Daten. Konkret bedeutet dies: Die Mitarbeitenden können bestimmte Auskünfte verlangen; zum Beispiel zu folgenden Fragen:

  • Welche personenbezogenen Daten werden verarbeitet?
  • Wozu erfolgt die Datenverarbeitung?
  • Wem gegenüber werden die Daten offengelegt?
  • Wie lange werden die erhobenen Daten gespeichert?
  • Besteht ein Recht auf Berichtigung oder Löschung der personenbezogenen Daten?

Falls die Daten nicht bei der betroffenen Person erhoben wurden, kann diese Person Auskunft darüber verlangen, woher die Daten stammen.

Was droht bei Missachtung der Datenschutz-Regeln?

Mit der Einführung der DSGVO wurden die Bußgelder, die den Unternehmen bei Nichteinhaltung der Datenschutzbestimmungen auferlegt werden können, drastisch erhöht. Gerade auch kleine und mittelständische Firmen sollten deshalb die Pflicht zur datenschutzkonformen Personalverwaltung nicht auf die leichte Schulter nehmen.

Ein weiteres Risiko besteht in möglichen Klagen von Beschäftigten, zum Beispiel, wenn durch unzureichenden Datenschutz die Persönlichkeitsrechte eines Mitarbeiters verletzt werden oder wenn der Arbeitgeber seinen Auskunftspflichten nicht oder nicht ausreichend nachkommt.

Praxis

Datenschutz in der Personalverwaltung sicherstellen

Klären Sie, wie Sie in Ihrem Unternehmen mit personenbezogenen Daten Ihrer Mitarbeiterinnen und Mitarbeiter umgehen.

Halten Sie fest, welche Regeln gelten und welche Maßnahmen Sie zum Datenschutz, zur Datensicherheit und zur Einhaltung der gesetzlichen Vorschriften ergriffen haben.

Prüfen Sie dann:

  • Welche Maßnahmen sollten Sie außerdem noch ergreifen?
  • Was muss noch dokumentiert werden?

Nutzen Sie dazu die folgende Vorlage.

Weiterführende Anforderungen an den Datenschutz sind in dieser Checkliste aufgeführt.

FAQ: Schutz der persönlichen Daten im Unternehmen

Für Beschäftigte sind oft folgende Fragen zum Schutz der persönlichen Daten von besonderer Bedeutung:

Darf der Vorgesetzte die Personalakte einsehen?

Ja, Vorgesetzte haben ein Einsichtsrecht in die Personalakte – aber nur, sofern die Einsichtnahme erforderlich ist, um ihre Aufgabe als Vorgesetzte zu erfüllen, zum Beispiel zur Vorbereitung einer Personalentscheidung. Die Einsichtnahme darf also nicht grundlos oder willkürlich erfolgen.

Darf der Arbeitgeber Personaldaten weitergeben?

Eine Weitergabe von Personaldaten an Dritte ist grundsätzlich nur mit Zustimmung des jeweiligen Mitarbeiters erlaubt. Bei der Weitergabe von Daten an externe Dienstleister, zum Beispiel an Steuerberater, ist in der Regel der Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) notwendig.

Darf der Arbeitgeber den Namen eines Mitarbeiters veröffentlichen (zum Beispiel auf der Webseite)?

Hierbei ist zu trennen:

  • Bei Mitarbeitern, die eine Aufgabe mit einer gewissen Außenwirkung haben (zum Beispiel Ansprechpartner für Kunden), darf Name und Funktion auf der Website genannt werden, ohne dass eine ausdrückliche Einwilligung des Mitarbeiters vorliegen muss.
  • Bei anderen Beschäftigten, bei denen eine solche Außenwirkung nicht vorliegt, ist eine Zustimmung des Mitarbeiters erforderlich, wenn der Arbeitgeber dessen Namen veröffentlichen möchte.

Eine Zustimmung oder Einwilligung ist auch dann notwendig, wenn Mitarbeiterfotos auf der Firmen-Website veröffentlicht werden sollen.

Datenschutz
  1. 1
    Datenschutz im Personalwesen
Dokumentenpaket kaufenPremium-Mitglied werden

Dazu im Management-Handbuch

Vorlagen nutzen

Weitere Kapitel zum Thema