Partner von:

Datenschutz für Personaler

Datenschutz im Internet [© fotogestoeber - Fotolia]

Quelle: © fotogestoeber - Fotolia.com

In den Personalabteilungen spielt Datenschutz eine wichtige Rolle: Angefangen beim Bewerbungs- und Einstellungsprozess über den Zeitraum der Beschäftigung und sogar darüber hinaus müssen Unternehmen mit besonders schützenswerten Daten umgehen. Darauf sollten HR-Abteilungen in puncto Personalakten, Datenverarbeitung & Co. zukünftig achten.

Das deutsche Datenschutzrecht war bereits in der Vergangenheit sehr streng. Allerdings führen die empfindlichen Bußgelder, die künftig auf die Verletzung datenschutzrechtlicher Vorschriften drohen, zu einer erhöhten Bereitschaft von Unternehmen, sich den Herausforderungen zu stellen. So Manches ist dabei auch neu – sowohl für Unternehmen als auch für seine Mitarbeiter: Personalabteilungen und Datenschutzbeauftragte müssen ständig abwägen, welche Erhebungsverfahren nützlich, notwendig und schließlich auch zulässig sind.

Um die Verarbeitung personenbezogener Daten durch Unternehmen EU-weit zu vereinheitlichen, trat am 24. Mai 2016 die Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese gilt ab dem 25. Mai 2018 für alle EU-Mitgliedsstaaten und bringt einige Neuerungen mit sich, die insbesondere im Hinblick auf drohende Bußgelder berücksichtigt werden sollten. Der neuen DSGVO entsprechend sollten HR-Abteilungen unter anderem folgende Punkte beachten:

1. Ausreichend dokumentieren

Um der sogenannten Rechenschaftspflicht gemäß Art. 5 Abs. 2 des DSGVO genügen zu können, sind künftig ausreichend Nachweise darüber erforderlich, dass die Verarbeitung den Anforderungen der DSGVO genügt. Das betrifft auch die Personalabteilungen. Datenverarbeitungsvorgänge sollten demnach gut dokumentiert werden.

Das gilt ausdrücklich auch für spezifische Aspekte, wie etwa die Einwilligung (Art. 7 Abs. 1 DSGVO), das Unvermögen, die betroffene Person zu identifizieren (Art. 11 Abs. 2 und 12 Abs. 2 DSGVO), die Verarbeitung aufgrund berechtigter Interessen, Datenschutzverletzungen (Art. 33 Abs. 5 DSGVO), die Verordnungskonformität bestimmter Verarbeitungsvorgänge (Art. 24 Abs. 1 DSGVO) und Anhaltspunkte, die den Verdacht begründen, dass eine Straftat oder eine sonstige schwerwiegende Pflichtverletzung vorliegt, die im Beschäftigtenkontext begangen wurde und die eine nicht unverhältnismäßige Datenverarbeitung rechtfertigt (§ 26 Abs. 1 BDSG n.F.).

Dabei sollten HR-Abteilungen beachten, dass die Dokumentationspflicht mit allgemeinen Löschpflichten in Konflikt geraten kann.

2. Löschfristen einrichten und beachten

Alle personenbezogenen Daten sind grundsätzlich irgendwann zu löschen. Art. 17 Abs. 1 DSGVO statuiert Löschpflichten unabhängig davon, ob die betroffene Person das Löschen verlangt. Grundsätzlich müssen Daten nach lit. a gelöscht werden, wenn der (vor der Verarbeitung restriktiv zu wählende und konkret zu benennende) Zweck ihrer Verarbeitung oder ein damit kompatibler Zweck entfallen ist.

Da der Verantwortliche nach Art. 15 DSGVO umfangreiche Auskunft über alle personenbezogenen Daten schuldet, die er verarbeitet, ist es ratsam, die Löschfristen restriktiv zu gestalten, Nutzungsverhalten in möglichst kurzen Abständen zu analysieren und Daten im Anschluss zu anonymisieren. Das reduziert den Arbeitsaufwand, sollte Auskunft über personenbezogene Daten verlangt werden.

3. Rechtmäßigkeit der Datenverarbeitung prüfen

Bestimmte Daten dürfen gemäß § 26 Abs. 1 BDSG n.F. im Arbeitskontext ohne Einwilligung verarbeitet werden, zum Beispiel Bewerberdaten, Daten zur Durchführung oder Beendigung eines Beschäftigungsverhältnisses, zur Erfüllung der Rechte von Interessenvertretungen, unter Umständen auch zur Aufdeckung von Straftaten oder sonstigen schwerwiegenden Pflichtverletzungen. Was zulässig ist und was nicht, hängt vom Einzelfall ab.

Ohne Anlass darf der Arbeitgeber seine Arbeitnehmer nicht vollständig überwachen. § 26 Abs. 1 BDSG n.F. setzt voraus, dass mindestens ein "einfacher" Verdacht vorliegt (in der Regel ein Anfangsverdacht), dass unter anderem die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat und die Überwachung zur Aufdeckung erforderlich ist. Gleiches gilt bei Videoüberwachung oder Überwachung des Mitarbeiters durch einen Detektiv. Bei der Auslegung des § 26 BDSG n.F. ist weiterhin insbesondere die Rechtsprechung des EGMR zu beachten.

Mit Einwilligung des Arbeitnehmers (die Art. 7 DSGVO entsprechen muss und zu dokumentieren ist), dürfen (besonders schützenswerte) personenbezogene Daten im Beschäftigtenverhältnis verarbeitet werden, sofern der Arbeitnehmer die Angaben freiwillig gemacht hat. § 26 Abs. 2 BDSG n.F. beschreibt Indizien, deren Vorlage in der Regel Freiwilligkeit bestätigen.

Arbeitgeber müssen auch das Kopplungsverbot in Art. 7 Abs. 4 DSGVO beachten, wonach die Erfüllung eines Vertrages nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden darf, die für die Erfüllung des Vertrages nicht erforderlich ist. Zudem müssen Arbeitgeber vor der Einwilligung auf den Zweck der Datenverarbeitung sowie auf das Widerrufsrecht nach Art. 7 Abs. 3 DSGVO hinweisen.

Das heißt auch, dass bereits erteilte Einwilligungen von Beschäftigten nun überprüft werden müssen, ob sie den neuen, höheren Anforderungen entsprechen. Da im Rahmen von Compliance-Ermittlungen Einwilligungen häufig nicht freiwillig sind, kann eine Einwilligung solche Ermittlungen oft nicht rechtfertigen. Abweichend von Art. 7 Abs. 1 DSGVO regelt § 26 Abs. 2 Satz 3 BDSG n.F. zudem unter anderem ein grundsätzliches Schriftformgebot. Abs. 3 enthält eine Vereinfachung der Verarbeitung besonders schutzwürdiger Daten und damit eine Abweichung von Art. 9 Abs. 1 DSGVO.

Nach § 26 Abs. 4 BDSG n.F. kann die Verarbeitung (besonders schützenswerter) personenbezogener Daten im Beschäftigtenverhältnis übrigens auf Kollektivvereinbarungen gestützt werden. Betriebsvereinbarungen sind empfehlenswert, weil sie Rechtssicherheit bei der Datenverarbeitung vermitteln.

4. Pflichten bei der Einführung neuer Verarbeitungsverfahren

Die Einführung neuer Verarbeitungsverfahren kann eine Informations- und Aufklärungspflicht seitens des Arbeitgebers nach § 26 Abs. 2 Satz BDSG n.F. in Verbindung mit den Art. 12 ff. DSGVO auslösen. Gegebenenfalls muss auch der Betriebsrat eingeschaltet und eine sogenannte Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt werden.

5. Neue Vorgaben für die Übermittlung von Daten in Länder außerhalb der EU beachten

Transnationale Konzerne, die auch außerhalb der EU oder des EWR operieren, oder Unternehmen, die mit anderen Unternehmen (beispielsweise IT-Dienstleistern) außerhalb der EU oder des EWR zusammenarbeiten, müssen die Vorgaben der DSGVO für die Übermittlung von Daten in Drittländer beachten.

Zwar kann ein berechtigtes Interesse des Unternehmens an der Übermittlung beispielsweise innerhalb des Konzerns bestehen (s. auch Erwägungsgrund 48 DSGVO). Allerdings wird es sich im Beschäftigungskontext regelmäßig um Daten besonderer Kategorien handeln, die gemäß Art. 9 DSGVO besonderem Schutz unterliegen und deren Verarbeitung eine Interessenabwägung im Sinne des Art. 6 Abs. 1 lit. f DSGVO gerade nicht zu rechtfertigen vermag.

Dennoch sehen Art. 9 Abs. 2 DSGVO und der genannte § 26 BDSG n.F. besondere Regelungen vor, die eine Datenverarbeitung im Beschäftigungskontext rechtfertigen können. Bei der Verarbeitung im Konzern kommen entweder eine Auftragsverarbeitung (Art. 28 DSGVO) oder ein sogennantes Joint Controllership i.S.d. Art. 26 DSGVO, bei dem beide gemeinsam für die Verarbeitung verantwortlich sind, infrage. In beiden Fällen sind besondere Vorgaben zu beachten. Verlassen die Daten den EWR, müssen zusätzlichen Anforderungen der Art. 44 ff. DSGVO eingehalten werden.

6. Den Datenschutzbeauftragten (DSB) zurate ziehen

Mit der neuen DSGVO wächst die Bedeutung des DSB für ein Unternehmen. Eine Benennungspflicht für den DSB folgt aus Art. 37 DSGVO und § 38 BDSG n.F. Freiwillige Benennung ist daneben möglich und sinnvoll.

Anders als unter dem bisherigen BDSG kann ein Konzerndatenschutzbeauftragter für die gesamte Unternehmensgruppe eingesetzt werden, sofern er von jeder Niederlassung leicht erreicht werden kann (Art. 37 Abs. 2 DSGVO).

Künftig ist insbesondere bei der Einführung neuer Technologien, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bedeuten, gemäß Art. 35 DSGVO eine sogenannte Datenschutz-Folgenabschätzung durchzuführen. Dabei ist der DSB zurate zu ziehen. Daneben wird dem Betriebsrat häufig ein Mitbestimmungsrecht zustehen.

Die Aufgabe des DSB besteht auch in der Beratung der Beschäftigten (die gegebenenfalls über die Einführung neuer Technologien und in jedem Fall über die Existenz des DSB zu informieren sind) und der Personalabteilung. Er muss Schulungen von Mitarbeitern durchführen und die Einhaltung der DSGVO überwachen. Die Haftungsrisiken des DSB werden mit dem erweiterten Pflichtenkreis des DSB nach Art. 39 deutlich steigen. Es ist dementsprechend zu erwarten, dass der DSB vor diesem Hintergrund noch genauer als bislang hinschauen wird.

nach oben

Als Experte für Hochschulmarketing und Recruiting verbinden wir die Besten. Zielgruppengenau. Individuell. Effizient.

"e-fellows.net verschafft mir Zugang zu einer einzigartigen Gruppe von Studenten", sagt Vanessa de Gruyter, IE Business School. Mehr Referenzen lesen.

In unserem Pool warten 220.000 Talente auf Sie, darunter 30.000 Stipendiaten, die zu den besten Studenten im deutschsprachigen Raum gehören.

Kommentare (0)

Zum Kommentieren bitte einloggen.

Das könnte dich auch interessieren
Ansprechpartner
Ralf Maywald

Vertriebsdirektor
iregevro@r-sryybjf.arg
+49 89 23 23 2-312

Kunden-Newsletter

Aktuelles zu Recruiting und Hochschulmarketing -

alle zwei Monate in Ihr Postfach