Wenn Sie an den Datenschutz im Unternehmen denken, welche Gruppe an betroffenen Personen, deren Daten verarbeitet werden, kommt Ihnen da als Erstes in den Sinn? Die meisten Unternehmer richten ihren Fokus bei Datenschutzanforderungen auf ihre Kunden. Doch nicht zu vernachlässigen sind die eigenen Mitarbeiter, deren personenbezogene Daten ebenfalls geschützt werden müssen.
Im Personalwesen eines jeden Unternehmens spielt der Datenschutz eine zentrale Rolle. In diesem Blogartikel erfahren Sie, welche Regelungen im Personalwesen eingehalten werden müssen. Sie erhalten wertvolle Tipps, wie sich konkrete Prozesse aus der Praxis datenschutzkonform umsetzen lassen, und erfahren, was Unternehmen droht, wenn sie den Datenschutz im Personalwesen auf die leichte Schulter nehmen. Unsere übersichtliche Checkliste bietet Ihnen außerdem die optimale Hilfestellung in Ihrer Praxis als Personalmanager, Fachverantwortlicher oder Geschäftsführer.
Warum ist Datenschutz im Personalwesen so wichtig?
Der Datenschutz schreibt jedem Menschen ein Recht auf informationelle Selbstbestimmung zu. Demnach dürfen auch die Beschäftigten eines Unternehmens selbst entscheiden, welche Daten von ihnen erhoben werden dürfen und welche nicht bzw. für welche Zwecke diese verwendet werden dürfen. Der Datenschutz in der Personalabteilung ist somit ein Mittel, durch das Unternehmen die informationelle Selbstbestimmung für ihre Mitarbeiter gewährleisten können.
Jedes Unternehmen, das auch nur einen Mitarbeiter beschäftigt, ist verpflichtet, den Personaldatenschutz einzuhalten. Werden die Personaldaten nicht ausreichend vom verantwortlichen Unternehmen geschützt, kann es zu Datenpannen kommen, für die der Arbeitgeber haftet. Hier können dem Unternehmen hohe Bußgelder drohen.
Des Weiteren zeigen Sie als Unternehmer Ihren Mitarbeitern mit der Umsetzung von Maßnahmen zum Datenschutz im Personalwesen, dass Sie die Rechte der betroffenen Mitarbeiter ernst nehmen und sich ihrer Aufgabe bewusst sind, diese Rechte und die persönlichen Informationen des Personals zu schützen. Das baut ein entsprechendes Vertrauen zwischen Ihnen als Arbeitgeber und Ihrem Team auf.
Personenbezogene Daten im Personalwesen
Wenn wir vom Schutz von Personaldaten sprechen, müssen wir hierzu zunächst festlegen, welche Daten gemeint sind.
Personaldaten sind alle personenbezogenen Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person, in dem Fall den Mitarbeiter, beziehen. Diese Daten werden in der Personalabteilung im Rahmen des Beschäftigungsverhältnisses verarbeitet, d.h. gesammelt, gespeichert, gelöscht, etc. Hierzu zählen beispielsweise:
Aus dieser Aufzählung ergibt sich, dass zu den Personaldaten unter anderem auch besondere Kategorien von personenbezogenen Daten fallen, die sogenannten „sensiblen Daten“ nach Art. 9 DSGVO. Hierzu gehören beispielsweise die Gesundheitsdaten und die biometrischen Daten einer Person. Diese sensiblen Daten gelten als besonders schützenswert, weshalb das Personalwesen ein besonderes Augenmerk auf den Schutz dieser Daten richten sollte.
Zu den schutzwürdigen Personaldaten eines Unternehmens gehören nicht nur Daten von bereits angestellten Mitarbeitern, sondern auch alle Informationen von Bewerbern, die die Personalabteilung im Rahmen des Bewerbungsprozesses erhält.
Relevante Gesetze für den Beschäftigtendatenschutz
Die Personalverantwortlichen eines Unternehmens müssen verschiedene gesetzliche Grundlagen zum Datenschutz beachten, die sicherstellen sollen, dass die personenbezogenen Daten der Beschäftigten geschützt und datenschutzkonform behandelt werden. Nachfolgend einige der wichtigsten gesetzlichen Grundlagen, die in Deutschland für den Personalbereich relevant sind:
DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist in der EU das zentrale Regelwerk für den Schutz personenbezogener Daten. Sie enthält die wichtigen Datenschutzgrundsätze, die bei der Verarbeitung von Personaldaten eingehalten werden müssen. Besonders zu beachten sind hier die Grundsätze der Zweckbindung, der Rechtmäßigkeit und Transparenz, und der Datensparsamkeit. So sind Personalabteilungen dazu verpflichtet, die Daten ihrer Mitarbeiter nur zu vorher festgelegten und legitimen Zwecken zu verarbeiten, die Daten nur mit einer gültigen Rechtsgrundlage zu verarbeiten und die Mitarbeiter vollumfänglich und transparent über die Verarbeitung zu informieren, und grundsätzlich so wenig Daten wie möglich zu verarbeiten.
BDSG
Das Bundesdatenschutzgesetz (BDSG) enthält zusätzlich zur DSGVO nationale Regelungen zum Datenschutz. Im § 26 des BDSG wird geregelt, dass der Arbeitgeber die Daten seiner Angestellten und potenzieller Mitarbeiter, also Bewerber, im Rahmen des Beschäftigungsverhältnisses verarbeiten darf. Zumindest war das bisher der Fall. Mit einem Urteil des EuGH aus 2023 wurde der § 26 BDSG gekippt, da er nach Auffassung des Europäischen Gerichtshof nicht den Anforderungen der DSGVO genügt. Das Urteil erfordert seitdem eine Anpassung des deutschen Rechts, um die durch die Ungültigkeit des § 26 entstandene Lücke zu schließen. Bisher gibt es seitens des deutschen Gesetzgebers allerdings noch keine neue nationale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten. In dieser aktuellen Übergangszeit greift hier als Rechtsgrundlage in der Regel der Art. 6 Abs. 1 lit. b DSGVO, da die Verarbeitung der Personaldaten zum Zwecke der Erfüllung bzw. der Anbahnung des Arbeitsvertragsverhältnisses erforderlich ist.
TDDDG
Das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (kurz TDDDG) bezieht sich auf die Nutzung von Online-Diensten wie E-Mail oder Intranet im Betrieb. Es ergänzt die DSGVO und stellt besondere Anforderungen an die Einwilligung und Information der Nutzer über die Verarbeitung ihrer Daten. Für den Beschäftigtendatenschutz bedeutet dies, dass Arbeitgeber, die solche Online-Dienste anbieten, sicherstellen müssen, dass sie die Einwilligung ihrer Beschäftigten einholen und transparent über die Datenverwendung informieren, insbesondere wenn es um Tracking-Tools oder Cookies geht.
BetrVG
Das deutsche Betriebsverfassungsgesetz (BetrVG) regelt die Zusammenarbeit zwischen Arbeitgebern und Betriebsräten und spielt indirekt auch für den Beschäftigtendatenschutz eine Rolle. Es legt fest, dass Betriebsräte bei der Gestaltung der Arbeitsbedingungen und der Betriebsorganisation mitzubestimmen haben, insbesondere bei der Einführung technischer Systeme, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.
Spezifische Landesdatenschutzgesetze
Über die europäische Verordnung und die nationalen Gesetze der EU-Mitgliedsstaaten hinaus, gibt es in Deutschland zusätzlich spezifische Landesdatenschutzgesetze. Diese enthalten weitere Regelungen für den Datenschutz in öffentlichen Stellen, also Behörden, Gemeinden, Einrichtungen o. Ä. Im Landesdatenschutzgesetz des Bundeslandes NRW regelt beispielsweise § 18 die „Datenverarbeitung im Beschäftigungskontext“.
Rechtsgrundlagen für die Verarbeitung von Personaldaten
Die gesetzlichen Grundlagen haben wir oben zusammengefasst. Doch wie sieht es nun konkret mit der Verarbeitung der personenbezogenen Daten von Mitarbeitern aus: Wann ist die Verarbeitung erlaubt und welche Rechtsgrundlage gilt dafür?
Auf diese Frage gibt es nicht die eine pauschale Antwort. Denn die Entscheidung über die Frage, welche Rechtsgrundlage für welche Datenverarbeitung greift, ist abhängig von verschiedenen Faktoren (wie z.B. die Art der Daten oder die Zwecke der Verarbeitung) und daher immer eine Einzelfallentscheidung. In der Unternehmenspraxis kommen hier in der Regel vier verschiedene Rechtsgrundlagen infrage, um die Daten der Beschäftigten verarbeiten zu dürfen:
Die Einwilligung des Mitarbeiters (Art. 6 Abs. 1 lit. a DSGVO): Die Verarbeitung bestimmter personenbezogener Daten (z.B. sensible Daten nach Art. 9 DSGVO) oder die Verarbeitung für bestimmte Zwecke (z.B. Veröffentlichung auf Social-Media-Kanälen des Unternehmens) ist unter Umständen nur möglich, wenn der Arbeitnehmer eine aktive und informierte Einwilligung abgibt, die er allerdings jederzeit widerrufen kann.
Die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DSGVO): Einige Daten müssen vom Arbeitgeber zur Erfüllung des geschlossenen Arbeitsvertrages verarbeitet werden, wie etwa die Kontodaten des Arbeitnehmers, um das vereinbarte Entgelt zahlen zu können. Aber auch die Verarbeitung von Bewerberdaten fällt unter diese Rechtsgrundlage, da die Verarbeitung der Daten im Rahmen der Anbahnung eines Vertrages für die Erfüllung vorvertraglicher Maßnahmen erforderlich ist.
Die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): In bestimmten Fällen ist der Arbeitgeber rechtlich dazu verpflichtet, die Daten seiner Arbeitnehmer zu verarbeiten, z.B. im Rahmen des Arbeitsschutzes.
Das berechtigte Interesse des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO): Der Arbeitgeber kann ein berechtigtes Interesse an der Verarbeitung der Mitarbeiterdaten haben. Wenn die berechtigten Interessen des Arbeitgebers gegenüber den Rechten und Freiheiten der Mitarbeiter überwiegen, dürfen diese Daten auf Grundlage des berechtigten Interesses verarbeitet werden.
14 konkrete Prozesse aus dem Personalwesen und Praxistipps für den Datenschutz
Der Personaldatenschutz umfasst in der Praxis eine immense Vielzahl von Prozessen, bei denen die Datenschutzgesetze umgesetzt werden müssen. Im Folgenden möchten wir Ihnen einen ausgewählten Überblick über die wichtigsten Prozesse geben und Ihnen erklären, wie Sie mit gängigen Mitteln die Regeln des Datenschutzes in Ihrem Unternehmen einhalten können. Da wir nicht alle der relevanten Prozesse in einem Artikel abdecken können, sind die nachfolgenden Beispiele nicht abschließend für die Prozesse aus dem HR-Bereich. Wenn Sie Fragen zu weiteren Praxisfällen haben, sprechen Sie uns gerne an.
1. Umgang mit Bewerbungen und personenbezogenen Daten von Bewerbern
Ein datenschutzkonformer Umgang mit Bewerbungsunterlagen ist essenziell. Hier können für ein Unternehmen Abmahngefahren lauern. Denn einige Betrüger nutzen die datenschutzrechtlichen Schwachstellen eines Unternehmens und verschicken Fake-Bewerbungen. Wenn das Unternehmen hier nicht richtig handelt, riskiert es, von den Betrügern abgemahnt zu werden.
Wir als Datenschutzbeauftragte empfehlen es unseren Kunden, eine separate E-Mail-Adresse für Bewerbungen einzurichten (bewerbung@firma.de). Auf dieses Postfach erhalten nur die Personalverantwortlichen Zugriff. So kann sichergestellt werden, dass Bewerberdaten nicht in die Hände von unbefugten Dritten gelangen. Es bietet sich außerdem an, Standardantworten für eingehende Bewerbungen im Postfach einzurichten, mit denen die Informationspflichten nach Art. 13 DSGVO gegenüber den Bewerbern automatisch erfüllt werden können. Im Sinne der DSGVO ist das verantwortliche Unternehmen dazu verpflichtet, den Bewerber darüber aufzuklären, mit welchen Mitteln und zu welchen Zwecken seine Daten im Unternehmen verarbeitet werden, wie lange diese gespeichert werden, ob diese ggf. weitergegeben werden, etc. (ein kostenloses, DSGVO-konformes Muster der Informationspflichten für Bewerber finden Sie hier in unserem Download-Bereich).
Hier bietet sich außerdem die effiziente Link-Lösung an: Die Informationspflichten für Bewerber können Sie in der Datenschutzerklärung auf Ihrer Webseite platzieren und in der Standardantwort an Ihre Bewerber auf die Datenschutzerklärung verlinken.
Ist die Datenschutzerklärung auf Ihrer Webseite aktuell und vollständig?
Erfüllen Sie mit der Datenschutzerklärung auf Ihrer Homepage Ihre gesetzlichen Informationspflichten? Haben Sie die entsprechenden Hinweise für Bewerber in der Erklärung?
Mit dem Websitecheck der exkulpa stellen Sie sicher, dass Ihre Datenschutzerklärung immer auf dem neuesten Stand ist und die rechtlichen Verpflichtungen erfüllt.
Die Löschfristen für Bewerberdaten sind hier ein weiterer wichtiger Aspekt. Personenbezogene Daten von Bewerbern dürfen sechs Monate lang nach Ende des Bewerbungsverfahrens gespeichert werden, für den Fall, dass hier eventuelle Rechtsansprüche entstehen könnten. Nach Ablauf dieser sechs Monate müssen die Bewerberdaten gelöscht werden. Die einzige mögliche Ausnahme hier: Der Bewerber erteilt seine Einwilligung, damit seine Daten in über diesen Zeitraum hinaus in einem Bewerber-Pool gespeichert und für zukünftige Stellenausschreibungen genutzt werden dürfen.
2. Onboarding und Offboarding von Mitarbeitern
Folgende Aspekte sollten beim Onboarding neuer Mitarbeiter aus Sicht des Datenschutzes beachtet werden:
Beim Offboarding ausscheidender Mitarbeiter sind hingegen folgende Aspekte wichtig:
3. Vertraulichkeitsvereinbarungen für Mitarbeiter
Um sich als Arbeitgeber zu entlasten, sollten Sie Ihre Mitarbeiter zur Einhaltung des Datenschutzes sowie ggf. zur sonstigen Verschwiegenheit verpflichten. Solche Vereinbarungen (z.B. Vertraulichkeitsvereinbarung zum Geschäftsgeheimnis, Sozialgeheimnis oder Fernmeldegeheimnis) sollten immer schriftlich geschlossen und ordentlich abgelegt werden, damit Sie als Arbeitgeber sich absichern und im Falle des Falles nachweisen können, dass Sie Ihre Mitarbeiter hierzu zur Wahrung des Datenschutzes verpflichtet haben.
4. Umgang mit digitalen und analogen Personalakten
Um die personenbezogenen Daten der Mitarbeiter sowohl in digitalen als auch analogen Personalakten zu schützen, sollten Personalabteilungen folgenden Punkten Beachtung schenken:
Vertraulichkeit durch definierte Zugriffsrechte sicherstellen
Nur befugte Personen mit Personalverantwortung im Unternehmen sollten auf die Akten zugreifen können. In der Praxis ist dies umzusetzen, indem z.B. Papierakten in einem abgeschlossenen Aktenschrank im Personalbüro aufbewahrt werden, zu dem nur autorisierte Mitarbeiter einen Schlüssel haben, und indem digitale HR-Systeme bzw. Datenbanken, in denen die digitalen Akten gespeichert werden, mit Passwörtern geschützt und die entsprechenden Berechtigungen für die Systeme nur den vorgesehenen Mitarbeitern zugeteilt werden.
Sicherung der Verfügbarkeit
Ein zentrales Schutzziel des Datenschutzes und der Informationssicherheit ist die Verfügbarkeit von Daten. Unternehmen müssen sicherstellen, dass auch in Notsituationen auf die Daten zugegriffen werden kann. Um diesen Schutz zu wahren, sollten Papierakten in verschlossenen und sicheren (z.B. in Bezug auf den Brandschutz) Räumen aufbewahrt werden. Digitale Personalakten sollten durch Verschlüsselungen und regelmäßigen Backups geschützt werden.
Datenschutzkonformes Löschen und Vernichten
Nach Ablauf der rechtlichen Aufbewahrungsfristen sollten Personalakten oder einzelne Mitarbeiterdaten aus den Personalakten (z.B. Krankmeldungen, Urlaubsanträge oder Abmahnungen) aus den Akten gelöscht werden. Hierzu empfehlt es sich, datenschutzkonforme Löschroutinen zu etablieren. Werden papiergebundene Personalakten in einem Archiv aufbewahrt, sollte hier regelmäßig kontrolliert werden, ob Daten nach Ablauf der Aufbewahrungsfrist vernichtet werden können. Auch bei der Löschung von Personaldaten ist auf die datenschutzkonforme Vernichtung zu achten (z.B. die Aktenvernichtung mittels eines geeigneten Schredders oder eines externen Dienstleisters inklusive des Abschlusses eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO).
5. Veröffentlichung von Mitarbeiterfotos
Grundsätzlich dürfen Fotos von Mitarbeitern nur mit deren ausdrücklicher Einwilligung veröffentlicht werden. Diese Einwilligung muss spezifisch für jeden einzelnen Kanal eingeholt werden, auf dem das Unternehmen die Fotos veröffentlichen möchte (z.B. auf der Homepage des Unternehmens, auf der Facebook-Seite oder auf Werbeflyern). Wichtig ist außerdem, dass die Einwilligung vor Veröffentlichung eingeholt wird und der Mitarbeiter die Möglichkeit hat, die Einwilligung jederzeit zu widerrufen.
In bestimmten Fällen kann auch das berechtigte Interesse des Unternehmens als Rechtsgrundlage für die Veröffentlichung von Mitarbeiterfotos herangezogen werden. Ein Beispiel hierfür ist der Aushang von Fotos von Krankenpflegern in einem Krankenhaus, wo es für Patienten nützlich sein kann, die Personen zu erkennen, die für ihre Betreuung verantwortlich sind. Dies sollte jedoch sorgfältig abgewogen und dokumentiert werden, um sicherzustellen, dass die Interessen der Mitarbeiter nicht überwiegen.
Die Veröffentlichung von Mitarbeiterfotos auf den abgeschlossenen Arbeitsvertrag zu stützen, gestaltet sich in der Praxis als sehr schwierig. Dies ist nur zulässig, wenn die Veröffentlichung zur Erfüllung der arbeitsvertraglichen Pflichten erforderlich ist. Ein Beispiel hierfür wäre ein Vertrag über die Arbeit als Fotomodell, bei der die Veröffentlichung von Fotos essenziell ist. In den allermeisten Unternehmen wird dies aber nicht umsetzbar sein, sodass in der Praxis häufig auf die schriftliche Einwilligung zurückzugreifen ist.
Wir haben für Sie eine kostenlose Vorlage erstellt, die Sie für die Einwilligung Ihrer Mitarbeiter zur Nutzung von Mitarbeiterfotos nutzen können:
6. Datenschutzrichtlinien im Betrieb
Im Tagesgeschäft eines Unternehmens finden viele Prozesse mit Datenschutzrelevanz statt. Damit Sie als Arbeitgeber oder Personalverantwortlicher sich im Datenschutz absichern können, empfiehlt es sich, für die gängigsten Prozesse Arbeitsanweisungen zu erstellen, in denen auch schriftlich festgehalten wird, welche datenschutzrelevanten Punkte eingehalten werden müssen. Beispiele für solche möglichen Arbeitsanweisungen oder Richtlinien sind folgende:
7. Datenschutzfreundliches Fuhrparkmanagement
Beim Thema Fuhrparkmanagement denken wahrscheinlich die wenigsten Unternehmer an den Beschäftigtendatenschutz, doch auch hier spielen datenschutzrechtliche Bestimmungen eine zentrale Rolle. Wenn Arbeitgeber ihren Beschäftigten Firmenfahrzeuge zur Verfügung stellen, müssen sie die Fahrerlaubnis der Mitarbeiter regelmäßig prüfen. Bei der Kontrolle von Führerscheinen sollte idealerweise auf das Anfertigen von Kopien der Führerscheine verzichtet werden. Stattdessen empfiehlt sich eine Vor-Ort-Prüfung, deren Durchführung und Ergebnis dokumentiert wird. Falls dennoch Kopien angefertigt werden müssen, sollten diese regelmäßig gelöscht werden, sobald eine neue Überprüfung stattfindet und eine neue Kopie erstellt wird.
Ein weiterer sensibler Bereich beim Thema Fuhrpark ist das GPS-Tracking in Firmenfahrzeugen. Hier muss sichergestellt werden, dass die Verwendung von GPS-Systemen zur Fahrzeugortung klar kommuniziert wird und ausschließlich zur Erfüllung betrieblicher Zwecke und nicht zur anderweitigen Überwachung der Mitarbeiter dient.
Bei der Nutzung von Pool-Fahrzeugen ist ebenfalls Vorsicht geboten. Aus Sicht des Datenschutzes sollten Mitarbeiter darauf verzichten, ihre persönlichen Daten wie das Kontaktbuch ihres Handys automatisch mit dem Fahrzeug zu synchronisieren. Andernfalls könnten andere Mitarbeiter, die dasselbe Fahrzeug später nutzen, auf die persönlichen Daten der Kollegen zugreifen. Ein weiterer Tipp für etwas mehr Datenschutz beim Fuhrparkmanagement, ist die Einführung der Regel, dass Navigationsdaten nach jeder Nutzung gelöscht werden sollen, um die Privatsphäre der verschiedenen Fahrer zu schützen.
8. Öffentliche Telefon- und Geburtstagslisten
In einigen Firmen ist es gängige Praxis, Listen mit den Telefonnummern oder Geburtstagen der eigenen Mitarbeiter zu veröffentlichen und z.B. in Pausenräumen auszuhängen. Auch wenn die Idee und der Zweck hinter solchen Telefon- oder Geburtstagslisten sinnvoll und hilfreich scheinen, ist dies aus Datenschutzsicht nicht zu empfehlen. Entscheiden Sie sich in Ihrem Unternehmen dennoch für öffentliche Listen, ist es wichtig, die Einwilligung der Mitarbeiter einzuholen, bevor persönliche Daten wie Geburtstage oder Telefonnummern auf internen Listen veröffentlicht werden. Der Zugang zu diesen Listen sollte streng kontrolliert werden, um sicherzustellen, dass sie nicht von unbefugten Dritten eingesehen werden können. Konkret bedeutet das, dass der für Kunden öffentlich zugängliche Eingangsbereich eines Unternehmens kein geeigneter Ort für das Aushängen solcher Listen ist.
Die in solchen Listen enthaltenen Daten sollten außerdem auf das absolut Notwendige beschränkt bleiben und regelmäßig daraufhin überprüft werden, ob sie noch aktuell und notwendig sind. Zum Beispiel könnte es reichen, beim Geburtstag den Tag und den Monat anzugeben, aber auf das Geburtsjahr zu verzichten. Ferner müssen die Daten von ausgeschiedenen Mitarbeitern oder von Mitarbeitern, die ihre Einwilligung zur Veröffentlichung widerrufen, aus solchen Listen entfernt werden müssen.
9. Einrichtung und Ausstattung des Personalbüros
Personalbüros sollten schon vom Grundsatz her datenschutzfreundlich eingerichtet und ausgestattet werden. Folgende Punkte sind hier im Sinne des Datenschutzes zu empfehlen:
10. Datenschutz im Homeoffice
Die Einhaltung des Datenschutzes im Homeoffice stellt für viele Unternehmer eine besondere Herausforderung dar, da hier viele Datenschutzrisiken lauern können. Um diese Risiken zu minimieren und sich als Arbeitgeber rechtlich abzusichern, empfehlen wir Ihnen, die Arbeit im Homeoffice eindeutig zu regeln dies zu dokumentieren. Folgende Punkte sollten hier beachtet werden:
In unserem Download-Bereich bieten wir Ihnen eine kostenlose Handreichung zum Homeoffice an, in der eine solche Checkliste bereits enthalten ist.
11. Datenaustausch im Konzern
Ist Ihr Unternehmen Teil einer Konzerngruppe, stellt sich Ihnen vermutlich die Frage, ob Sie die Daten Ihrer Beschäftigten an andere Stellen oder Unternehmen im Konzern weitergeben dürfen. Grundsätzlich ist diese Frage im Sinne des Verbots mit Erlaubnisvorbehalts der DSGVO einfach zu beantworten: Nein. Denn die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, eine rechtsgültige Ausnahme erlaubt die Verarbeitung. Nun gilt es zu klären, welche rechtliche Ausnahme infrage kommt, um Mitarbeiterdaten innerhalb eines Konzerns auszutauschen. Schauen wir uns die einzelnen Rechtsgrundlagen an, die zunächst infrage kämen:
Einwilligung
Die Weitergabe von Beschäftigtendaten innerhalb des Konzerns auf Basis der Einwilligung der Beschäftigten ist problematisch, da diese jederzeit von den Betroffenen widerrufen werden kann.
AV-Vertrag
Die Datenweitergabe auf Grundlage eines Auftragsverarbeitungsverhältnisses wird in diesem Fall auch nicht umsetzbar sein, wenn mehrere Konzerngesellschaften gemeinsam als Verantwortliche auftreten. Das AV-Verhältnis käme hier lediglich infrage, wenn nur ein Unternehmen über die Mittel und Zwecke der Datenverarbeitung entscheidet, während das andere Unternehmen als Auftragnehmer agiert und die Daten lediglich nach den Vorgaben des Auftraggebers verarbeitet.
Konzern-Privileg
In der DSGVO gibt es kein Konzern-Privileg, welches den Datenaustausch erlauben würde. Das bedeutet, dass die einzelnen Unternehmen eines Konzerns selbstständige, verantwortliche Stellen sind und die anderen Konzernunternehmen in Bezug auf die Daten wie Dritte zu behandeln sind.
Berechtigtes Interesse
In Erwägungsgrund 48 der DSGVO wird aber zumindest eine Art „Konzernprivileg light“ aufgeführt, welches besagt, dass Unternehmen, die Teil einer Unternehmensgruppe sind, ein gerechtfertigtes Interesse daran haben könnten, persönliche Daten innerhalb des Konzerns auszutauschen. Dies dient vor allem internen Verwaltungszwecken, wie beispielsweise der Verarbeitung von Kunden- und Mitarbeiterdaten. Eine mögliche Rechtsgrundlage für den Datenaustausch im Konzern könnte also das berechtigte Interesse des Unternehmens sein, wobei hier eine sorgfältige Abwägung der Interessen des Verantwortlichen und der betroffenen Mitarbeiter erfolgen muss.
Werden die Daten Ihrer Mitarbeiter innerhalb des Konzerns weitergegeben, müssen Sie zudem unbedingt beachten, ob hier Datenübermittlungen in Drittstaaten außerhalb der EU stattfinden, weil z.B. ein Unternehmen des Konzerns in den USA sitzt. Ist dies der Fall, müssen Sie als Verantwortlicher sicherstellen, dass geeignete Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus in dem Drittstaat getroffen werden (z.B. über sogenannte Standardvertragsklauseln).
12. Datenschutz bei einer HR-Software
Planen Sie in Ihrem Unternehmen eine HR-Software zur Verwaltung von Mitarbeiterdaten einzusetzen, sollten Sie folgende Punkte beachten:
13. Datenschutz bei einer ausgelagerten Personalabteilung
Entscheiden Sie sich in Ihrem Unternehmen dafür, einzelne HR-Aufgaben oder gar den gesamten HR-Bereich auszulagern, müssen Sie als Arbeitgeber dennoch sicherstellen, dass die Daten Ihrer Mitarbeiter datenschutzkonform behandelt werden. Denn die Verantwortung für die Mitarbeiterdaten bleibt bei Ihnen als Arbeitgeber, da Sie auch beim Outsourcing über die Mittel und Zwecke der Datenverarbeitung entscheiden. Hier sind dann die gleichen Regelungen wie beim Einsatz einer HR-Software zu beachten.
14. Datenschutzschulung und Sensibilisierung für Mitarbeiter
Verarbeitung personenbezogener Daten seiner Mitarbeiter und Kunden einhält, sondern hat auch dafür Sorge zu tragen, dass seine Angestellten die Regelungen des Datenschutzes bei ihrer täglichen Arbeit einhalten. Obwohl es keine ausdrückliche gesetzliche Verpflichtung zur Schulung von Mitarbeitern gibt, ergibt sich eine indirekte Verpflichtung aus der Notwendigkeit, Datenschutzverstöße zu vermeiden. Die Datenschutzschulung trägt dazu bei, die Mitarbeiter über ihre Pflichten und die Einhaltung der DSGVO zu informieren und sie für das Thema Datenschutz zu sensibilisieren.
Hinsichtlich der Durchführung und Dokumentation von Datenschutzschulungen bieten sich Arbeitgebern verschiedene Möglichkeiten. Unternehmen können zwischen Präsenzschulungen, E-Learning-Modulen und anderen Methoden wählen, je nachdem, was am besten zu ihrer Struktur und ihren Bedürfnissen passt. Wichtig ist, dass alle Mitarbeiter, die regelmäßig mit personenbezogenen Daten arbeiten, geschult werden, um das Risiko von Datenschutzverletzungen zu minimieren. Darüber empfehlen wir, als Datenschutzexperten, die Schulung regelmäßig zu wiederholen (am besten einmal jährlich), um das Bewusstsein und die Kenntnisse der Mitarbeiter auf dem neuesten Stand zu halten.
exkulpa Akademie
eLearning-Angebote für Mitarbeiter im Datenschutz
Erfahren Sie mehr über die Möglichkeit, Ihre Mitarbeiter im Datenschutz online zu schulen. Erhalten Sie außerdem einen kostenlosen Test-Account für unsere Onlineschulung im Datenschutz!
Checkliste: Datenschutz Personalwesen
Wir haben für Sie eine Checkliste zu "Datenschutz Personalwesen" erstellt, in der Sie die wichtigsten Punkte aus diesem Artikel wiederfinden. Sie können diese Checkliste nutzen, um in Ihrem Unternehmen zu prüfen, ob Sie den Personaldatenschutz bereits effektiv umsetzen oder ob hier doch noch Lücken bestehen. Sie finden die kostenlose Vorlage hier:
Was passiert, wenn der Datenschutz im Personalwesen nicht gesetzeskonform umgesetzt wird?
Verstöße gegen den Datenschutz können für Unternehmen schwerwiegende Folgen haben. Neben dem Vertrauensverlust bei Mitarbeitern und in der Öffentlichkeit drohen hohe Bußgelder. Die DSGVO sieht für schwerwiegende Verstöße Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor, je nachdem, welcher Betrag höher ist. Darüber hinaus können Schadensersatzansprüche von Betroffenen geltend gemacht werden. Es liegt daher im Interesse eines jeden Unternehmens, die Einhaltung der datenschutzrechtlichen Bestimmungen sicherzustellen und den Datenschutz in der Personalabteilung zu wahren.
Fazit
In diesem Blogartikel haben wir uns ausführlich mit den Themen Datenschutz und Personalwesen auseinandergesetzt. Wie deutlich wurde, ist der sorgfältige Umgang mit den personenbezogenen Daten der Mitarbeiter nicht nur eine rechtliche Verpflichtung für jeden Arbeitgeber, sondern spielt auch eine entscheidende Rolle für das Vertrauen zwischen Arbeitnehmern und Arbeitgebern. Die aufgeführten Praxisbeispiele sollen Ihnen aufzeigen, dass der Datenschutz mit einigen Grundregeln effektiv umgesetzt werden kann.
Nutzen Sie gerne die erwähnten Mustervorlagen und die Checkliste „Datenschutz Personalwesen“, um den Arbeitnehmerdatenschutz in Ihrem Unternehmen zu stärken und sich vor Haftungsrisiken und Bußgeldern zu schützen.
Jenny Weigandt
