Personaldaten: Was Sie über Datenschutz im Personalwesen wissen müssen

Der Schutz von Personaldaten ist für jeden Betrieb relevant, der Angestellte beschäftigt – egal, wie groß das Unternehmen ist. Denn der Arbeitgeber verfügt über viele sensible Informationen seiner Mitarbeiterinnen und Mitarbeiter. Daher haben die EU und Deutschland bestimmte Richtlinien erlassen, die Unternehmen zur Speicherung und Verarbeitung personenbezogener Daten einhalten müssen. Doch welchen Pflichten unterliegen Firmen genau?

Personaldaten – Was gehört dazu?

Personaldaten umfassen alle Daten von Mitarbeitern und Bewerbern, die ein Unternehmen speichert und verarbeitet. Das sind zum Beispiel:

• Name, Adresse und Kontakt
• Lohn und Gehalt: etwa Höhe, Zusammensetzung und Entgeltabrechnungen
• Bankverbindung
• Steuerklasse und -merkmale
• Religionszugehörigkeit
• Ausbildung, Qualifikation, beruflicher Werdegang, Zeugnisse, Zertifikate, Weiterbildungen, Beförderungen etc.
• Aufzeichnungen aus Personalgesprächen, z.B. Leistungsbewertungen
• Urlaubsanträge, Arbeits- und Abwesenheitszeiten
• Foto- und Videoaufnahmen
• Gesundheitsdaten
• Biometrische Daten, z.B. Face Scan oder Fingerabdrücke

Aber auch alle weiteren Informationen, die ein Unternehmen über seine Mitarbeiter und Bewerber hat, gelten als personenbezogene Daten – wie beispielsweise deren Autokennzeichen.

Datenschutz in der Personalabteilung: Die gesetzliche Lage

Die Personaldaten sind sowohl seit 2018 durch die DSGVO (Europäische Datenschutzgrundverordnung) geschützt, als auch durch das BDSG (Bundesdatenschutzgesetz), das die DSGVO in nationales Recht überführt. Die Verordnung löste die Datenschutzrichtlinie aus dem Jahr 1995 ab und verpflichtet Unternehmen dazu, personenbezogene Daten gemäß der aktuellen Rechtslage zu verarbeiten.

Beweispflicht für den Datenschutz im Bereich Personal

Bei der Datenschutzgrundverordnung in der Personalabteilung sind die Unternehmen in der Beweispflicht. Das bedeutet: Sie müssen die regelkonforme Verarbeitung bei Prüfungen durch die Behörden jederzeit nachweisen können. Bei einer Nichteinhaltung sind Bußgelder zu zahlen, deren Höhe von der Art des Vergehens abhängt.

Grundsätzlich sind Sanktionen von bis zu 20 Mio. Euro oder 4 % des vom Unternehmen weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich – je nachdem, welcher der Beträge höher ist. Gerade für KMU kann es daher existenzbedrohend sein, diese Richtlinien zu ignorieren. Zudem geht ein Verstoß häufig mit Imageverlust bei Kunden, Partnerunternehmen und Mitarbeitern einher.

Mit BDSG und DSGVO in der Personalabteilung zum Datenschutz

Für den Datenschutz im Personalbüro sind § 88 DSGVO (“Datenverarbeitung im Beschäftigungskontext”) sowie § 26 BDSG (“Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses”) relevant. Diese schreiben grundsätzlich ein Verbot mit Erlaubnisvorbehalt vor. Das bedeutet, dass die Verarbeitung von Personaldaten möglich ist, wenn

• der Betroffene einwilligt (z.B. über eine Datenschutzerklärung),
• die Datenerhebung notwendig ist, um einen Vertrag zu erstellen, zu erfüllen und zu beenden (z.B. muss die Kontonummer verarbeitet werden, um das Gehalt zu überweisen) oder
• die Datenerhebung gesetzlich vorgeschrieben ist (betrifft z.B. das Sozial- oder Steuerrecht).

HR-Datenschutz bei einer HR-Software

Der Zugang zur Personalakte oder zu einer HR-Software, die personenbezogene Daten übersichtlich speichert und verarbeitet, müssen die Verantwortlichen ausreichend abzusichern. Ein sauberer Datenschutz ist wichtig, um die Rechte der Angestellten zu wahren. Bei einer Personal-Software erfordert das beispielsweise eine Verschlüsselung, sichere Passwörter und eine Authentifizierung. So erhalten nur die Personen Zugriff auf sensible Daten, die mit ihnen auch arbeiten.

Wann brauchen Unternehmen Datenschutzbeauftragte für den Datenschutz der Personaldaten?

Für Unternehmen mit mindestens zehn Angestellten schreibt die Datenschutzgrundverordnung in der Personalabteilung vor, einen Datenschutzbeauftragten zu benennen. Dabei ist egal, ob dieser dem Betrieb selbst angehört oder als externer Experte beauftragt wird. Das Wichtigste: Er handelt weisungsfrei. Denn das Ziel ist, die Datenverarbeitung und den Umfang der Datenspeicherung kritisch zu überprüfen und zu beobachten. Dadurch stellt der Datenschutzbeauftragte sicher, dass die Rechte der Mitarbeiterinnen und Mitarbeiter gewahrt werden.

Datenschutz im Personalwesen: Was ist der Grundsatz der Datenminimierung?

Der Grundsatz der Datenminimierung nach § 5 DSGVO besagt, dass HR-Abteilungen nur so viele Daten wie nötig verarbeiten dürfen. So sind beispielsweise Familienstand oder Hobby unerheblich, um einen Beruf auszuführen. Daher ist es nicht erlaubt, diese Informationen zu erfragen oder ohne Einwilligung zu speichern. Darüber hinaus muss HR Personaldaten löschen, wenn sie nicht mehr gebraucht werden. Verlässt ein Mitarbeiter beispielsweise das Unternehmen, vernichten Personaler dessen Leistungsbeurteilungen. Arbeitnehmerinnen und Arbeitnehmer haben zudem das Recht, sensible personenbezogene Daten wie Informationen über eine Erkrankung zurückzuhalten.

DSGVO Personaldaten Datenschutz: Welche gesetzlichen Fristen gelten für die Aufbewahrung und Löschung?

Für manche Daten gilt eine gesetzliche Aufbewahrungsfrist, die von der Art der Daten abhängig ist. Darüber hinaus gibt es branchenspezifische Vorgaben. Beispielsweise müssen E-Mails elf Jahre archiviert werden, genauso wie Gehaltsabrechnungen – für mögliche Nachprüfungen. Ist diese Frist verstrichen, sind allerdings auch diese Daten zu vernichten. Das gilt zudem für Personaldaten, die nicht relevant (§ 17 DSGVO) oder nachweislich veraltet, falsch oder widerrechtlich erhoben sind (§ 16 DSGVO).

Datenschutz in der Personalabteilung: Informations- und Auskunftspflicht

Unternehmen unterliegen im Rahmen des Datenschutzes im Personalbereich gegenüber ihren Mitarbeitern und Bewerbern der Auskunftspflicht. Diese haben nach § 15 DSGVO das Recht, jederzeit alle gespeicherten personenbezogenen Daten einzusehen. Dazu gehören:

• Die verarbeiteten Daten an sich
• Zweck der Verarbeitung
• Rechtsgrundlage der Verarbeitung (z.B. vorherige Einwilligung der Person, vertragliche oder gesetzliche Pflichten)
• Dauer der Speicherung
• Rechte der Betroffenen
• Widerrufbarkeit von Einwilligungen
• Beschwerderecht bei der Aufsichtsbehörde
• Wenn vorhanden: Kontaktdaten des Datenschutzbeauftragten

Im Falle eines Hackerangriffs oder einer Datenpanne ist zudem vorgeschrieben, dass Unternehmen Betroffene innerhalb von 72 Stunden darüber informieren müssen.

Datenschutz in HR: Welche Daten darf der Arbeitgeber veröffentlichen?

Auf Broschüren oder um Kontaktdaten anzugeben, ist es Unternehmen erlaubt, den Namen, die Tätigkeit und die Position, die dienstliche E-Mail-Adresse sowie die geschäftliche Telefonnummer der Angestellten zu nutzen. Nicht zulässig ist es jedoch, Bilder oder Angaben zum Lebenslauf zu veröffentlichen. Dies ist nur mit einer freiwilligen Einwilligung der betroffenen Person möglich.

Checkliste Datenschutz in der Personalabteilung

Die Paragrafen zeigen: Bei dem Schutz von Personaldaten gibt es einiges zu beachten. Um die Vorschriften der EU aus der DSGVO in der Personalabteilung umzusetzen, müssen sich Unternehmen mit folgenden Punkten auseinandersetzen:

1. Zweckbindung: Das Verarbeiten der Daten ist an einen bestimmten Zweck gebunden. Nur Personen, welche die Daten dafür nutzen, haben Zugang dazu.
2. Datenminimierung: Es sind nur so viele Daten zu erheben, wie für den Zweck nötig sind.
3. Richtigkeit: Die Daten sind korrekt zu speichern. Fehlerhafte oder unvollständige Daten müssen gelöscht oder korrigiert werden.
4. Speicherbegrenzung: Personaldaten sind zu löschen, wenn sie nicht mehr benötigt werden. Gelten Aufbewahrungsfristen für bestimmte personenbezogene Informationen, müssen auch sie nach Ablauf dieser Frist gelöscht werden.
5. Integrität und Vertraulichkeit: Unternehmen sind verpflichtet, die Personaldaten vertraulich zu behandeln und nur in einem Maße zu teilen, wie es nötig ist. Das gilt auch für Krankheitstage, bei denen maximal der Abwesenheitszeitraum genannt werden darf – nicht jedoch der Grund für die Abwesenheit.

Personaldaten verwalten und schützen: Mit HR-Software

Ein Personalprogramm verwaltet Daten zentral und gestaltet Arbeitsprozesse mit ihnen unkompliziert sowie übersichtlich. Dadurch ist auf einen Blick ersichtlich, welche Informationen gespeichert sind. Auf diese Weise erhalten Mitarbeiter bei Bedarf unkompliziert und umgehend Einblick in ihre Digitale Personalakte.

Zudem verschafft das Tool einen Überblick darüber, welche Daten wann zu löschen sind. Denn eine gute Software speichert die Aufbewahrungsfristen, sodass sie relevante Informationen lang genug verfügbar hält und anschließend löscht. Durch die enthaltene Übersicht geltender Bestimmungen sind diese für Mitarbeiterinnen und Mitarbeiter direkt einsehbar. Dabei sorgt eine Personalverwaltung-Software durch Verschlüsselungen, Passwörter und eine Authentifizierung dafür, dass nur befugte Personen Zugriff auf die Personaldaten haben.

So gelingt Unternehmen der Umgang mit Personaldaten

Beim Datenschutz im Personalwesen gibt es vieles zu beachten, zudem sind einige Pflichten sowie Gesetze einzuhalten. Wichtig ist, dass sich Unternehmen mit der Datenschutzgrundverordnung auseinandersetzen – denn Unwissenheit schützt vor Strafe nicht. Eine gute Personal-Software unterstützt dabei, Daten zu verwalten und aufzubewahren. Sie verschafft Angestellten zudem einen Überblick darüber, welche Aufbewahrungsfristen gelten und wann die Personaldaten gelöscht werden müssen.