Datenschutz in HR: So machen Sie’s richtig

Der Arbeitnehmerdatenschutz konzentriert sich ausschließlich auf Bewerber und Arbeitnehmer. Ziel ist es, ihre Persönlichkeitsrechte zu schützen und sie selbst bestimmen zu lassen, welche Informationen von ihnen gespeichert und genutzt werden dürfen. Gab es bis 2017 kein spezielles Gesetz für Arbeitnehmerdatenschutz, regelt nun das neu überarbeitete Bundesdatenschutzgesetz den Datenschutz für Personal. In weiteren Gesetzestexten hinterlegte Regelungen bilden eine sinnvolle Ergänzung. Dazu zählen beispielsweise das Telekommunikationsgesetz, die Bildschirmverordnung oder das Betriebsverfassungsgesetz.

Wie Sie vor diesem Hintergrund Ihre Mitarbeiter sowie Ihr Unternehmen schützen und sich datenschutzkonform aufstellen können, erfahren Sie in diesem Leitfaden.

Der Arbeitnehmerdatenschutz verleiht Mitarbeitern klar definierte Rechte. Als Personalmanager oder Firmeninhaber sind Sie dazu verpflichtet, diese auch zu berücksichtigen:

• Mitarbeiter dürfen jederzeit alle zu ihrer Person gespeicherten Daten einschließlich der Personalakte einsehen.

• Nachweislich widerrechtlich erhobene, veraltete oder unrichtige Daten muss der Arbeitgeber auf Antrag löschen, korrigieren oder vor weiteren Zugriffen sperren. Dies gilt für aktive wie gelöste Arbeitsverhältnisse.

• Unternehmen erheben oft besondere personenbezogene Daten zur Gesundheit, Sexualität oder Religion. Solche Daten dürfen Sie nur nach eindeutiger Zustimmung der betroffenen Person, oder wenn sie frei und öffentlich zugänglich sind (Social Media), erheben und speichern.

• Arbeitnehmer besitzen das Recht auf die Zurückhaltung sensibler Daten. Dazu zählen beispielsweise Informationen zum Grund der Erkrankung.

• Das Recht zu lügen haben Mitarbeiter dann, wenn das Unternehmen sensible Informationen einholt, die nicht der Auskunftspflicht unterliegen. In diesem Fall hat der Arbeitnehmer das Recht, die Antwort zu verweigern oder die Unwahrheit zu sagen.

Ein immer wieder umstrittenes Thema ist die Videoüberwachung oder unbeabsichtigt erfolgte Aufzeichnungen. Hier sieht das Gesetz die folgende Vorgehensweise vor: Zeigt die Videoüberwachung eine bestimmte Person, müssen Sie diese umgehend darüber informieren, auf welche Weise Sie die Daten verarbeiten und nutzen. Sobald Sie Ihren Zweck mit der Aufnahme erreicht haben, müssen Sie das Video unverzüglich löschen – einschließlich aller Daten, die damit im Zusammenhang stehen. Dieses Verfahren müssen Sie auch dann einhalten, wenn eine weitere Speicherung der Informationen den Interessen der betroffenen Person widerspricht.

Sollte aus welchen Gründen auch immer eine Videoüberwachung erforderlich sein, sprechen Sie die geplante Aktivität im Sinne des Datenschutzes immer mit dem Betriebsrat ab.

Im ersten Halbjahr 2018 war das Thema DSGVO in allen Medien präsent. Und obwohl die Inhalte bereits seit längerer Zeit bekannt und seit Mai 2018 wirksam sind, erhält der aktuelle Status unter dem Aspekt DSVGO-Ready eher ein mangelhaft als ein sehr gut. Nur ein geringer Anteil aller betroffenen Unternehmen ging laut Statista gut vorbereitet in die neue Ära des Datenschutzes.

Doch inwiefern betrifft die DSVGO nun den Arbeitnehmerdatenschutz? Für Personalsachbearbeiter ist vor allem die Öffnungsklausel in Artikel 88 Abs. 1 DSVGO interessant. Sie stellt die Verbindung zwischen DSGVO und Arbeitnehmerdatenschutz her. Verstärkt wird diese Klausel durch die Betroffenenrechte (Artikel 12 ff. DSGVO), die in der neuen Grundverordnung hinterlegt sind. Sie erleichtern Arbeitnehmern den Zugang zu ihren persönlichen Daten.

Eines von mehreren Themen, die durch die neue Datenschutzverordnung eine höhere Präsenz im Arbeitnehmerdatenschutz erhalten, ist die Auskunftspflicht. So regelt die DSGVO beispielsweise mit Artikel 15 die Auskunftspflichten eines Unternehmens.

Wie dieser Auszug aus den verpflichtenden Informationen zeigt, unterliegen Sie als Personalabteilung einer umfangreichen Informationspflicht:

• Wofür verarbeiten Sie die Daten?

• Wie werden die Daten kategorisiert?

• Wem gegenüber (Empfänger, Kategorie) werden die Daten offengelegt?

• Wie lange speichern Sie die Daten und welche Kriterien definieren die Speicherdauer?

Nein, die DSGVO ist definitiv nicht das Ende des Talent Pools. Allerdings müssen Sie bestimmte Voraussetzungen für den Datenschutz Ihres Personals erfüllen. Denn in der Regel darf ein Arbeitgeber Bewerbungsunterlagen und alle damit verbundenen Daten nur bis zu sechs Monate nach der Absage aufbewahren. Im Anschluss daran muss er alle verfügbaren Informationen löschen. Damit ist jedoch der an sich interessante, aber vielleicht für diese spezielle Position nicht zu 100 Prozent geeignete, Bewerber für das Unternehmen verloren.

Unter folgenden Voraussetzungen erlaubt es der Datenschutz, in der Personalabteilung weiterhin einen Talent-Pool zu führen:

• Sie informieren den Bewerber ausführlich, in welcher Form und warum Sie seine personenbezogenen Daten weiterhin speichern.

• Der Bewerber gibt dafür seine schriftliche Zustimmung.

Für die Zustimmung des Bewerbers gibt es zwei Möglichkeiten. Bewirbt sich der Bewerber über das Bewerbungsformular auf Ihrer Website, holen Sie seine Einwilligung unmittelbar nach Eintreffen der Unterlagen und deren Erfassung der Daten im Bewerbermanagement-System automatisch ein. Sinnvoll ist eine automatisch versandte Empfangsbestätigung, in der Sie auf die Speicherung der Daten und dem Zweck der Aufbewahrung hinweisen. Welche Informationen genau enthalten sein müssen, lesen Sie bitte unter Artikel 13 DSGVO im Detail nach.

Alternativ schreiben Sie den Bewerber nach Abschluss des Bewerbungsprozesses an und bitten um seine Einwilligung. Auf diese Weise verleihen Sie Ihrem Interesse besonderen Ausdruck.

Wichtig: Der Datenschutz in der Personalabteilung erlaubt es Ihnen, die Bewerbungsdaten an alle Personen im Unternehmen zu übermitteln, die in den Bewerbungsprozess nachweislich involviert sind. Wenn Sie dem Bewerber letztendlich absagen, müssen Sie aber unbedingt die Aufbewahrungsfrist beachten. Bedeutet konkret: Nach sechs Monaten müssen alle E-Mails/Nachrichten gelöscht werden, die Bewerberinformationen enthalten. Jeder Mitarbeiter, der in den Bewerbungsprozess involviert war, muss sämtliche E-Mails, Nachrichten und Bewerberinformationen (PDFs) von seinem Computer löschen. Die Personalabteilung ist in der Verantwortung, die Aufbewahrungsfristen einzuhalten und den Überblick über die Datenlöschung zu behalten.

Der Arbeitgeber ist dazu verpflichtet, alle digitalen oder auf Papier hinterlegten Informationen streng vertraulich zu behandeln. Im Gegenzug ist der Arbeitnehmer dazu verpflichtet, alle Daten mitzuteilen, die für das Beschäftigungsverhältnis erforderlich sind. Um diese Daten zuverlässig zu schützen, setzt die DSGVO hohe Ansprüche an die IT-Sicherheit eines Unternehmens.

Wie jedoch die 2016 erstellte Bitkom-Studie ermittelte, war sich nur jeder vierte Personalmanager sicher, dass er die hohen Anforderungen an die Datensicherheit erfüllt. Diese Ängste sind zum Teil unbegründet. Denn Unternehmen mit hochwertigen Softwarelösungen automatisieren viele Aufgaben und optimieren dadurch den Arbeitnehmerdatenschutz.

Laut neuer Datenschutzverordnung sind dies die wichtigsten Sicherheitsmaßnahmen für den Datenschutz in der Personalabteilung:

• Übertragung von Online- oder One-Click-Bewerbungen nur über verschlüsselte Verbindungen.

• Ist eine Übermittlung personenbezogener Daten, z. B. Lohnverrechnungsdaten, an Behörden erforderlich, darf dies ebenfalls nur verschlüsselt erfolgen.

• Ein umfangreiches internes IT-Rechte- und Sicherheitsmanagement schützt Daten vor dem Zugriff durch unbefugte Dritte im Unternehmen.

• Automatisiertes Löschen von Daten nach der Aufbewahrungsfrist.

Verlässt ein Mitarbeiter das Unternehmen, sperren Sie seine digitale Personalakte unverzüglich, um unbefugte Zugriffe zu verhindern. Nur ausgewählte Mitarbeiter der Personalabteilung erhalten Zugriff.

Der Datenschutz in der Personalabteilung erhält durch die DSGVO sowie die Überarbeitung des Bundesdatenschutzgesetzes zusätzliche Wirksamkeit. Sind die Prozesse in der Personalabteilung Ihres Unternehmens mit moderner Software digitalisiert, sind die Änderungen kaum spürbar.

• Auskunftspflichten wurden erweitert.

• Personenbezogene Daten von Bewerbern dürfen Sie nur nach schriftlicher Zustimmung der Person speichern.

• Sie sind verpflichtet, alle technischen und organisatorischen Maßnahmen zum Datenschutz zu dokumentieren.

• Erstellung eines Verfahrensverzeichnisses laut DSGVO Artikel 30, Abs. 2

Arbeitet Ihre Personalabteilung bereits mit einer umfangreichen Softwarelösung, ändert sich nur wenig.