Diesen Artikel als PDF beziehen?
Laden Sie kostenlos den Artikel herunter:
"Umgang mit personenbezogenen Daten im Personalwesen: DSGVO korrekt umsetzen"


* Pflichtfeld Anmelden

Bitte geben Sie Ihre E-Mail-Adresse ein.

Wir erheben Ihre Daten gemäß Art. 6 Abs. 1 Buchst. b) und f) DSGVO zur ordnungsgemäßen Abwicklung unserer Geschäftsvorgänge sowie zur Mitteilung von Produktinformationen. Weitere Informationen finden Sie in unserer Datenschutzerklärung: forum-verlag.com/datenschutz Wir informieren Sie regelmäßig über aktuelle, themenbezogene, kostenpflichtigen Verlagsprodukte per E-Mail, Fax, Telefon oder Post. Sie können jederzeit der Verwendung Ihrer Daten für Werbezwecke zu den ortsüblichen Basistarifen widersprechen, indem Sie den Abmeldelink nutzen, der am Ende einer jeden E-Mail enthalten ist. Oder schreiben Sie eine E-Mail an service@forum-verlag.com.

Vielen Dank für Ihr Interesse !

Im nächsten Schritt erhalten Sie eine Bestätigungsmail an die angegebene E-Mail-Adresse. Hiermit wird geprüft, ob es sich um eine korrekte E-Mail-Adresse handelt.Um Ihnen die gewünschten Informationen zukommen lassen zu können, klicken Sie bitte jetzt den in der Bestätigungsmail enthaltenen Link.Falls die Bestätigungsmail Ihr Postfach nicht erreicht hat, kann es sein, dass diese irrtümlicherweise in Ihrem Spam-Ordner gelandet ist. Überprüfen Sie daher Ihren Spam-Ordner und Ihre Spam-Einstellungen.

Um Sie gezielter beraten zu können, würden wir uns freuen, wenn Sie uns folgende Informationen zukommen lassen. Alle Angaben sind freiwillig.

Um Ihre Daten abzusenden, sollte mindestens ein Feld befüllt sein. Vielen Dank

Umgang mit personenbezogenen Daten im Personalwesen: DSGVO korrekt umsetzen

© Rawpixel.com – stock.adobe.com

Personal-Management

Umgang mit personenbezogenen Daten im Personalwesen: DSGVO korrekt umsetzen

08.01.20 15:30 | AH
Seit Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) nun schon verpflichtend anzuwenden und hat Auswirkungen auf alle Bereiche, in denen personenbezogene Daten erhoben, verarbeitet und genutzt werden. So auch auf das Personalwesen: Personalabteilungen speichern personenbezogene Daten sowohl von Beschäftigten als auch von Bewerbern und nutzen diese. Was müssen Personalabteilungen im Zusammenhang mit dem Arbeitnehmer-Datenschutz und dem Schutz von Bewerberdaten beachten?

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Personenbezogene Daten lassen also Rückschlüsse auf die Identität einer Person zu – wie zum Beispiel Name oder Geburtsdatum aber auch eine Kundennummer, die Kreditkartennummer, das Kfz-Kennzeichen, Informationen zum Aussehen oder zum beruflichen Werdegang.

Personenbezogene Daten im Personalwesen

Arbeitgeber müssen von ihren Arbeitnehmern bestimmte personenbezogene Daten erheben und speichern, um einen Mitarbeiter beschäftigen zu können – die Personaldaten. Darunter fallen zum Beispiel

  • Name und Adresse des Mitarbeiters
  • Höhe des Gehaltes
  • Steuerklasse
  • Bankverbindung
  • Angaben über Ausbildung und Qualifikation
  • Informationen zum beruflichen Werdegang 

In der Regel verwalten Personalabteilungen vor allem in größeren Betrieben diese Daten mithilfe elektronischer Personalinformations- oder Personalmanagementsysteme, die teilweise weitreichende Auswertungs- und Kontrollmöglichkeiten nach sich ziehen. Ihre Einführung und Verwendung muss daher der Betriebsrat genehmigen.

Es gilt zudem, die gesetzlichen Vorgaben der DSGVO bei der Speicherung und Verarbeitung der personenbezogenen Daten zu berücksichtigen, um den Arbeitnehmer-Datenschutz sowie den Schutz von Bewerberdaten zu gewährleisten. Um sich optimal zu informieren und die Einhaltung der gesetzlichen Vorgaben der DSGVO sicherzustellen, sollten alle Mitarbeiter im Datenschutz geschult werden.

Arbeitnehmer-Datenschutz: Grundsätze bei der Verarbeitung personenbezogener Daten im Personalwesen

Die DSGVO regelt, dass jegliche Erhebung und Verarbeitung personenbezogener Daten dem Gebot der Datenminimierung unterliegen. Das bedeutet, dass nur Daten erhoben und gespeichert werden dürfen, die auch notwendig sind. Grundsätzlich ist in jedem Fall eine Einwilligungserklärung der Betroffenen verpflichtend. Diese Grundsätze führen das Gebot der Datenminimierung konkreter aus:

Erforderlichkeit

Nur Daten, die für die Sache erforderlich sind, dürfen abgefragt und gespeichert werden – und auch das nur, so lange wie nötig. Kündigt also zum Beispiel ein Arbeitnehmer, so muss die Personalabteilung auch innerhalb einer bestimmten Frist seine personenbezogenen Daten löschen.
Alle Personaldaten, die die Personalabteilung erhebt, sind in der Regel erforderlich für die Begründung und Durchführung des Arbeitsverhältnisses. Private Informationen – wie beispielsweise den Familienstand – darf die Personalabteilung dagegen nicht erheben. Auch ein Foto für die Homepage oder für das Intranet dürfen Personaler nicht von Beschäftigten verlangen – es sei denn, der Beschäftigte willigt schriftlich ein.

Einwilligungserklärung personenbezogene Daten

Immer wenn personenbezogene Daten erhoben, gespeichert und genutzt werden sollen, muss der Betroffene vorher einwilligen. Diese Einwilligungserklärung muss bestimmte Anforderungen erfüllen:

  • Schriftform: Sofern nicht wichtige Gründe eine andere Form nahelegen, muss die Einwilligungserklärung zur Verwendung personenbezogener Daten schriftlich vorliegen.
  • Freiwilligkeit: Die Einwilligung muss freiwillig sein, etwa weil gemeinsame Interessen vorliegen. So will beispielsweise ein Arbeitnehmer bei einem Arbeitgeber angestellt werden und stimmt daher der Verwendung seiner personenbezogenen Daten zu, weil die Begründung eines Beschäftigungsverhältnisses anders nicht möglich wäre. Ein Abhängigkeitsverhältnis hingegen könnte die Freiwilligkeit infrage stellen, etwa wenn der Arbeitgeber Druck auf den Beschäftigten ausübt, sofern er nicht erforderliche Daten nicht zur Verfügung stellen möchte.
  • Widerrufsrecht: Betroffene können der Speicherung ihrer Daten jederzeit auch im Nachhinein widersprechen – die DSGVO räumt ein Recht auf Löschung ein. Die Personalabteilung muss Bewerber und Arbeitnehmer über dieses Widerrufsrecht aufklären, wenn sie die Einwilligung einholt.

Transparenz und Aufklärung

Wer personenbezogene Daten erhebt und speichert, muss die Betroffenen über deren Verwendung und eine eventuelle Weitergabe aufklären, also zu welchem Zweck und an wen diese gegebenenfalls erfolgt.

Datenschutz gewährleisten

Das Personalwesen muss dafür sorgen, dass die Daten der Mitarbeiter nach dem neuesten Stand geschützt werden. Beispielsweise muss das Unternehmen dafür sorgen, dass Daten sicher übertragen werden – also ausschließlich SSL-verschlüsselt. Dies gilt sowohl für Bewerberdaten als auch für Arbeitnehmer-Daten. 

Rechenschaftspflicht

Mit der DSGVO haben Unternehmen nun größere Rechenschaftspflichten. Sie müssen jederzeit nachweisen können, dass sie alle Vorschriften der DSGVO zur Speicherung und Verarbeitung personenbezogener Daten berücksichtigt haben. Dies bedeutet, dass auch das Personalwesen deutlich mehr Vorgänge dokumentieren muss als vor dem Inkrafttreten der Verordnung.

Die Beweislast hat sich umgekehrt: Sollte es zu einem Verfahren kommen, muss der Arbeitgeber nachweisen, dass er die Anforderungen der DSGVO umgesetzt hat – zum Beispiel, indem er schriftliche Einwilligungserklärungen vorlegt oder zeigen kann, dass er geeignete Datenschutzvorkehrungen umgesetzt hat.

Bewerberdaten: Was müssen Personalabteilungen beim Datenschutz beachten?

Auch bei Bewerberdaten muss die Personalabteilung den Datenschutz sicherstellen. Sollte es nicht zu einer Anstellung kommen, darf das Unternehmen die Daten maximal drei bis sechs Monate speichern. Für eine längere Aufbewahrung muss es die Einwilligung der Kandidaten schriftlich einholen – dies ist zum Beispiel erforderlich, wenn es einen Talentpool aufbauen möchte. 

Darüber hinaus dürfen Personaler im Bewerbungsgespräch keine unzulässigen Fragen stellen – geschweige denn, die Antworten speichern und verwenden. Solche unzulässigen Fragen betreffen beispielsweise die private Situation wie Familienstand oder Schwangerschaft oder auch politisches Engagement in Gewerkschaften oder Parteien.

DSGVO: To Do‘s in der Personalabteilung

Um die Bestimmungen der DSGVO beim Arbeitnehmer-Datenschutz und beim Umgang mit Bewerberdaten umzusetzen, müssen Personalabteilungen folgende Maßnahmen durchführen:

1. Verpflichtung der Mitarbeiter auf Datengeheimnis: Alle Mitarbeiter, die in irgendeiner Form mit der Verarbeitung personenbezogener Daten beschäftigt sind, müssen auf das Datengeheimnis verpflichtet werden. Dies betrifft zum Beispiel den Kundenservice, die Verwaltung von Lieferanten – und eben die Personalabteilung, die Mitarbeiter- und Bewerberdaten erhebt, speichert und auswertet.

2. Grundsätze im Umgang mit Personaldaten berücksichtigen und umsetzen: Dies betrifft die oben genannten Grundsätze. Die Rechtsgrundlage für die Datenverarbeitung muss vorhanden sein – die Erforderlichkeit der Daten, die Einwilligung, Transparenz und Aufklärung, das Widerrufsrecht und der Schutz der Daten vor unbefugtem Zugriff.

3. Ordnungsgemäßes Führen von Personalakten: Die Personaldaten dürfen nur die erforderlichen Daten enthalten. Dies sind gemeinhin Bewerbungsunterlagen, Vertragsunterlagen, Gehaltsveränderungen, Beförderungen, Schriftverkehr und arbeitsrechtliche Unterlagen. Der Betroffene muss wissen, welche Daten das Unternehmen über ihn gespeichert hat und wer auf diese Daten Zugriff hat.

4. Einhalten technischer und organisatorischer Schutzmaßnahmen: Das Unternehmen muss den Datenschutz auf den neuesten Stand bringen. Datenübertragung darf demnach nur verschlüsselt stattfinden.

5. Datenschutzrechte der Mitarbeiter gegenüber dem Personalbüro: Mitarbeiter und Bewerber müssen sich darauf verlassen können, dass ihre Daten im Unternehmen sicher sind – und im Zweifel gelöscht werden.

DSGVO: Wie sollten Unternehmen jetzt vorgehen?

Zahlreiche Vorschriften der DSGVO waren bereits Bestandteil der alten Fassung des Bundesdatenschutzgesetzes (BDSG) – wie zum Beispiel das Gebot der Datenminimierung oder der Charakter des Datenschutzgesetzes als Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass die Speicherung personenbezogener Daten grundsätzlich verboten ist – außer der Betroffene willigt ausdrücklich ein. Neuerungen sind unter anderem die Beweislastumkehr und das Recht auf Löschung.

Mit passenden Schulungen im Datenschutz und einem Datenschutzbeauftragten im Unternehmen lassen sich diese Herausforderungen jedoch gut meistern und den Datenschutz auf rechtlich sichere Füße stellt. Welche datenschutzrechtlichen Neuerungen aktuell besonders wichtig sind, vermittelt das Seminar „Das Update im Datenschutz“. Und wenn Arbeitgeber grundlegende Unterstützung bei benötigen, sollten sie das Seminar „Grundlagen im Datenschutz rechtssicher umsetzen“ besuchen.

Qualifizieren Sie sich jetzt in nur drei Tage weiter als:

Betriebliche/r Datenschutzbeauftragte/r

Betriebliche/r Datenschutzbeauftragte/r
mehr erfahren
Verpassen Sie jetzt keine relevanten Neuerungen mit dem Seminar:

Das Update im Datenschutz 2024/2025

Das Update im Datenschutz 2024/2025
mehr erfahren
Informieren Sie sich jetzt über die wichtigsten Basics mit der Schulung:

Grundlagen im Datenschutz sicher umsetzen

Grundlagen im Datenschutz sicher umsetzen
mehr erfahren

Quelle: Forum Verlag Herkert GmbH

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Personal und Arbeitsrecht erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Das könnte Sie auch interessieren

Gratis-Download
Betriebliches Eingliederungsmanagement (BEM) Betriebliches Eingliederungsmanagement (BEM) Gratis anfordern

Schlagwörter

DSGVO

Kommentar schreiben

Die mit einem * markierten Felder sind Pflichtfelder.