Onboarding von Mitarbeitern nach DSGVO

13. Juli 2021 - Minuten Lesezeit

Inhalt
Datenverarbeitung im Bewerbungsverfahren
Checkliste zum Onboarding von Mitarbeitern
Rechtsgrundlagen für die Verarbeitung von Personaldaten

Eines haben beinahe alle Unternehmen gemeinsam: Die Verarbeitung von Mitarbeiterdaten.
Mitarbeiterdaten zählen zu personenbezogenen Daten gemäß Artikel 4 Datenschutzgrundverordnung (DSGVO). Dies bedeutet, dass es umfangreiche Spielregeln für die Verarbeitung gibt. Diese sind in der DSGVO zu finden.

Datenverarbeitung im Bewerbungsverfahren

Bereits bei Erhalt einer Bewerbung fängt die Datenverarbeitung an. Bewerber zählen nämlich per Definition bereits zu Mitarbeitern und der Erhalt einer Bewerbung führt dazu, dass Daten vom potenziellen Arbeitgeber erhoben (=verarbeitet) werden.

Der Verantwortliche in Form des potenziellen Arbeitgebers sollte im Bewerberverfahren daher folgende Tipps beachten:

  • Einrichten einer separaten E-Mail-Adresse (bewerbungen@musterfirma.de)
  • Standardisierte Antwort auf Bewerbungen mit den nötigen Informationen gemäß Artikel 13 bzw. 14 DSGVO
  • Implementieren eines Prozesses zur Löschung von Bewerbungen

Checkliste zum Onboarding von Mitarbeitern

Die Verarbeitung von Mitarbeiterdaten ist notwendig zur Anbahnung des Arbeitsvertrages - Rechtsgrundlage ist somit Artikel 6 Absatz 1 lit. b in Verbindung mit § 26 Bundesdatenschutzgesetz (BDSG).

Sollte aus der Bewerbung ein aktives Anstellungsverhältnis werden, gilt die gleiche Rechtsgrundlage, denn in diesem Fall ist die Verarbeitung von Daten für die Erfüllung des Vertrages notwendig. Es empfiehlt sich, eine Onboarding-Checkliste zu erstellen:

  • Arbeitsvertrag abschließen
  • Mitarbeiter auf Vertraulichkeit verpflichten (für Datenschutz aber auch für Geschäftsgeheimnisse)
  • Welche Berechtigungen sind dem neuen Mitarbeiter gemäß des unternehmensinternen Rollen-/Berechtigungskonzeptes einzurichten?
  • Der Umgang mit dem dienstlichen Internetzugang sowie der dienstlichen Mailadresse sollte schriftlich geregelt werden - weitere Informationen zu diesem Thema finden Sie hier. (Ggf. sollte auch der Umgang mit Dienstgeräten geregelt werden und/oder Regelungen von eigenen Geräten zum Dienstgebrauch.)
  • Sollen Mitarbeiterfotos erstellt und veröffentlicht werden? (Falls ja, dann muss unter Umständen eine Einwilligung des Mitarbeiters eingeholt werden. Mehr hierzu können Sie in unserem Beitrag zum Personaldatenschutz nachlesen.)

Rechtsgrundlagen für die Verarbeitung von Personaldaten

Eine Personalakte besteht in der Regel aus umfangreichen persönlichen Daten. So werden neben den eigentlichen, vertragsnotwendigen Daten auch weitere Daten verarbeitet, z.B. Arbeitsunfähigkeitsbescheinigungen, Beurteilungen.

Sollte das Arbeitsverhältnis enden, bedeutet das, dass zumindest die oben genannte Rechtsgrundlage der Vertragserfüllung als Rechtfertigung für die Datenverarbeitung wegfällt.

Einer der Datenschutzgrundsätze besagt, dass die Datenverarbeitung ohne Rechtsgrundlage grundsätzlich verboten ist. Dies bedeutet, dass alle Mitarbeiterdaten, für die keine andere Rechtsgrundlage vorliegt, gelöscht werden müssen. Ansonsten drohen Bußgelder und/oder Schadensersatzforderungen. Es empfiehlt sich, ein schriftliches Löschkonzept zu erstellen, aus dem die Kriterien für das Löschen von Daten sowie die jeweiligen Fristen hervorgehen.

Neben der Vertragserfüllung kommen folgende Rechtsgrundlagen für die weitergehende Datenverarbeitung in Frage: 

Die Verwendung von Mitarbeiterfotos beruht in der Regel auf der Einwilligung oder ggf. dem berechtigten Interesse des Arbeitgebers.

Eine Einwilligung gilt grundsätzlich bis zum Widerruf durch den Mitarbeiter und endet - anders als das berechtigte Interesse -nicht automatisch mit Beendigung des Arbeitsverhältnisses. Jedoch ist zu beachten, dass eine nicht mehr zutreffende Darstellung dazu führen dürfte, dass eine etwaige Einwilligung auch ohne Widerruf ihre Gültigkeit verliert.

Auch eine personalisierte Mailadresse darf vom Arbeitgeber nicht weiterverwendet werden. Jedoch ist ein Zugriff auf diese Mailadresse unter gewissen Umständen möglich - mehr zu den jeweiligen Voraussetzungen erfahren Sie hier.

Fazit ist, dass eine Datenverarbeitung ohne Rechtsgrundlage verboten ist und teuer werden kann.

Dem Personaldatenschutz muss daher besondere Aufmerksamkeit geschenkt werden - im Zweifel sprechen Sie Ihren Datenschutzbeauftragten an.

Katrin Dahmen

Beraterin


Mehr zu Frau Dahmen

Katrin Dahmen
Weitere blogartikel

Rechtsgrundlage DSGVO – Wann ist die Datenverarbeitung erlaubt?

Datenschutz einfach erklärt

Datenschutz für Unternehmen in sozialen Medien

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

Jetzt AnfrageN
>