Der Schutz von Mitarbeiter:innendaten wird für Unternehmen, die die lokalen oder weltweiten Datenschutzgesetze einhalten wollen, immer wichtiger. Dies setzt die Personalabteilung aller Unternehmen unter Druck, die Daten ihrer Mitarbeiter:innen verantwortungsvoll zu verwalten.

Eine der größten Brennpunkte für sensible Daten ist die Personalabteilung. In kleineren Unternehmen gerne direkt von der Geschäftsleitung übernommen und größere Unternehmen leisten sich eine eigene Abteilung. Manche Unternehmen, gerade in einem Unternehmensverbund bieten die Personalabteilung für alle angeschlossenen Unternehmen an.

Hierbei gilt es mehrere Dinge zu beachten, z. B. dass die Verträge untereinander stimmig sind, dass Sicherheitsmaßnahmen innerhalb der Personalabteilung getroffen wurden und regelmäßig kontrolliert werden, dass die Mitarbeiter:innen innerhalb der Abteilung immer wieder sensibilisiert werden.

Im Jahr 2016 kam es bei Snapchat zu einer Verletzung der Mitarbeiter:innendaten. Ein Angreifer, der sich als der CEO des Social-Media-Unternehmens Evan Spiegel ausgab, drang in die Gehaltslisten von 700 aktuellen und ehemaligen Mitarbeitern ein. Dies war für den Ruf des Unternehmens katastrophal.

In diesem Artikel geht es um häufige Missverständnisse von Arbeitgeber:innen in Bezug auf den Schutz der personenbezogenen Daten von Mitarbeiter:innen.

Insbesondere die Personalabteilungen sind immer wieder Gegenstand von Datenschutzverletzungen, wenn es um die richtige Handhabe beim Umgang mit Daten von Mitarbeiter:innen geht. Vorwiegend ist mangelndes Wissen der Ursprung.

Was ist Arbeitnehmerdatenschutz?

Beim Arbeitnehmer:innendatenschutz geht es darum, den Schutz der personenbezogenen Daten von Arbeitnehmer:innen während ihrer Tätigkeit in einem Unternehmen zu gewährleisten. Zu den personenbezogenen Daten gehören Informationen wie Name, Adresse, Sozialversicherungsnummern, Bankkontodaten usw. Das Unternehmen sollte sicherstellen, dass niemand ohne die Zustimmung der Mitarbeitenden Zugang zu diesen Informationen hat.

Missverständnisse über Arbeitnehmerdaten

Wenn ein Arbeitgeber Mitarbeitende einstellt, haben diese eine Reihe von Rechten in Bezug auf die Verwendung ihrer personenbezogenen Daten. Oftmals haben Arbeitgeber bestimmte (falsche) Vorstellungen darüber, was sie mit den personenbezogenen Daten ihrer Mitarbeiter:innen laut Gesetz tun dürfen und was nicht. Hier sind die häufigsten Irrtümer, die ein Arbeitgeber oder Personaler:innen in Bezug auf den Schutz der Daten seiner Mitarbeiter :innen haben kann.

1. Arbeitgeber:innen und Personaler:innen glauben, dass sie ihre Mitarbeitenden vor der Verarbeitung von Daten nicht informieren müssen. Die meisten globalen Datenschutzgesetze schreiben jedoch vor, dass Arbeitgeber:innen ihre Mitarbeiter:innen bei jeder Datenerhebung und -verarbeitung informieren müssen.
2. Arbeitgeber:innen und Personaler:innen glauben, dass sie ein uneingeschränktes Recht haben, ihre Mitarbeiter:innen aus Gründen der Sicherheit und Produktivität zu überwachen. Die meisten globalen Datenschutzgesetze erlauben die Überwachung von Arbeitnehmer:innen jedoch nur unter bestimmten Bedingungen und solange eine solche Überwachung die Arbeitnehmer:innen nicht unangemessen beeinträchtigt.
3. Arbeitgeber:innen und Personaler:innen glauben, dass eine Datenschutzverletzung zu Geldstrafen führen wird. Dies kann der Fall sein, hängt aber von der Schwere der Verletzung und ihren Auswirkungen ab. Abgesehen von Geldstrafen können Arbeitgeber:innen auch aufgefordert werden, den von der Verletzung betroffenen Mitarbeiter:innen weitere Abhilfemaßnahmen anzubieten und ihre Sicherheitsvorkehrungen zu überarbeiten oder zu verbessern, um sicherzustellen, dass sich eine solche Verletzung nicht wiederholt.

Diese Aufgaben müssen von Personalabteilungen bewältigt werden

Die Personalabteilung eines Unternehmens muss während des gesamten Anstellungszeitraumes eines Mitarbeitenden, von der Einstellung bis zum Ende des Arbeitsverhältnisses, ihre Pflichten im Auge behalten. Schauen wir uns die Pflichten an, die die Personalabteilung während des Zeitraumes eines Mitarbeitenden beachten muss.

 Pflichten während des Einstellungs- und Auswahlverfahrens:

Während des Einstellungsverfahrens müssen Arbeitgeber:innen die folgenden Datenschutzverpflichtungen im Auge behalten:

• Der Arbeitgeber muss die Bewerber darüber informieren, welche Arten von personenbezogenen Daten er von ihnen verlangt und zu welchem Zweck diese Daten verwendet werden.
• Die Erhebung von Daten während des Einstellungsverfahrens sollte begrenzt und für die Ausübung der angestrebten Tätigkeit relevant sein.
• Die Bewerbungsformulare sollten die Erlaubnis der Bewerber:innen enthalten, wenn ihre personenbezogenen Daten von Dritten wie früheren Arbeitgebern oder Empfehlungsgebern erhoben werden.
• Hintergrundüberprüfungen dürfen nicht zu sehr in die Privatsphäre eindringen, und die Zustimmung des Arbeitsuchenden sollte eingeholt werden, bevor sie beginnen – die Ergebnisse dieser Überprüfungen sind höchst sensible Informationen und sollten daher sorgfältig geschützt werden.
• Die Aufbewahrung personenbezogener Daten von abgelehnten Bewerbern sollte begrenzt werden – bewahren Sie ihre Daten nur auf, um sie für künftige Stellenangebote in Betracht zu ziehen, wenn sie damit einverstanden sind – oder löschen Sie die personenbezogenen Daten.
• Die Bewertung von Bewerber:innen anhand öffentlich zugänglicher Daten ist nach einigen globalen Datenschutzgesetzen zulässig. Die Anforderungen können sich jedoch von einem Gesetz zum anderen unterscheiden. Die Datenschutzgrundverordnung (DSGVO) erlaubt es Arbeitgebern beispielsweise nur dann, Hintergrundprüfungen anhand öffentlich zugänglicher Informationen durchzuführen, wenn es eine rechtliche Grundlage für die Verarbeitung dieser Daten gibt. Dies bedeutet, dass Arbeitgeber berücksichtigen müssen, ob die öffentlich zugänglichen Informationen, wie das Social-Media-Profil des Bewerbers, geschäftlichen oder privaten Zwecken dienen, da dies ein wichtiger Hinweis auf die rechtliche Zulässigkeit der Datenüberprüfung sein kann.

Verpflichtungen während des Beschäftigungsverhältnisses

Während des Beschäftigungsverhältnisses müssen Personaler:innen die folgenden Datenschutzverpflichtungen im Auge behalten:

• Die meisten Datenschutzvorschriften wie DSGVO und CCPA/CPRA verlangen von Arbeitgebern, dass sie ihre Mitarbeiter:innen vor der Erhebung und Verarbeitung ihrer personenbezogenen Daten informieren.
• Die Erhebung, Verarbeitung und Speicherung personenbezogener Daten von Arbeitnehmer:innen sollte sich auf das beschränken, was für die Funktion des Arbeitgebers im Rahmen des Beschäftigungsverhältnisses notwendig, relevant und verhältnismäßig ist.
• Arbeitgeber:innen sollten es im Allgemeinen vermeiden, sich für die meisten Datenverarbeitungen am Arbeitsplatz auf die Zustimmung der Arbeitnehmer:innen zu verlassen, da ein Machtungleichgewicht zwischen Arbeitgeber:innen und Arbeitnehmer:innen besteht. Zu den Ausnahmefällen, in denen man sich auf die Einwilligung berufen kann, gehört die Einholung der Einwilligung von Arbeitnehmer:innen für freiwillige Sozialleistungsprogramme, da eine Verweigerung keine nachteiligen Folgen für das Arbeitsverhältnis hat. Eine solche Zustimmung muss freiwillig erteilt und gut dokumentiert werden.
• Arbeitgeber:innen können ihre Mitarbeiter:innen im Hinblick auf Produktivität, Sicherheit und Durchsetzung der Unternehmensrichtlinien überwachen. Sie sind jedoch verpflichtet, die Arbeitnehmer:innen vor der Durchführung einer solchen Überwachung zu informieren und angemessene Sicherheitsvorkehrungen zum Schutz der bei der Überwachung erhobenen Daten zu treffen.
• Arbeitgeber:innen müssen risikobasierte Bewertungen durchführen und Maßnahmen ergreifen, um die Risiken für die Privatsphäre ihrer Mitarbeiter:innen zu mindern, bevor sie ein Profiling oder eine andere risikoreiche Datenverarbeitung mit den Daten ihrer Mitarbeiter:innen durchführen. Zu den risikoreichen Datenverarbeitungsaktivitäten gehören die Erhebung medizinischer Daten für die Krankenversicherung, das Profiling für die Leistungsbewertung oder andere beschäftigungsbezogene Entscheidungsprozesse.
• Arbeitgeber:innen sind verpflichtet, die Datenschutzrechte der Arbeitnehmer innerhalb festgelegter Fristen zu erfüllen. Zu diesen Rechten gehört das Recht, Zugang zu ihren personenbezogenen Daten zu verlangen, ihre personenbezogenen Daten zu löschen oder bestimmte Formen der Verarbeitung abzulehnen. Im Allgemeinen ist der Zugang zu und die Änderung von Daten, die die Verwaltung und das Funktionieren des Arbeitgebers beeinträchtigen würden oder Informationen über Dritte enthalten, von den Anträgen der Arbeitnehmer:innen auf Datenschutzrecht ausgenommen.
• Arbeitgeber:innen müssen sicherstellen, dass sie über geeignete und angemessene Sicherheitsmaßnahmen zum Schutz der Daten ihrer Beschäftigten verfügen. Wenn auf die Daten von Mitarbeiter:innen zugegriffen wird oder diese bei einem Sicherheitsvorfall in Mitleidenschaft gezogen werden, müssen die Arbeitgeber:innen die betroffenen Mitarbeiter:innen und/oder die Aufsichtsbehörden innerhalb der in den geltenden Datenschutzgesetzen festgelegten Fristen benachrichtigen.
• Arbeitgeber:innen müssen die Datenschutzpraktiken von externen Dritten und Anbietern bewerten, mit denen sie Verträge über die Verarbeitung von Mitarbeiterdaten abschließen, z. B. Personaldienstleistungen, Sicherheitsverträge oder Krankenversicherungsdienste usw. Es empfiehlt sich, vertragliche Vereinbarungen zu treffen, die Garantien für den Schutz der übermittelten Daten enthalten.
• Arbeitgeber:innen müssen ihre Personalakten regelmäßig aktualisieren, damit sie korrekte und notwendige personenbezogene Daten über ihre Beschäftigten enthalten. Ungenaue, überholte oder unerwünschte Informationen sollten geändert oder entfernt werden.

Pflichten bei Beendigung des Arbeitsverhältnisses

Sobald Mitarbeiter:innen das Unternehmen verlassen, müssen Arbeitgeber:innen die folgenden Datenschutzpflichten beachten:

• Arbeitgeber:innen müssen über eine klare Richtlinie und ein Verfahren zur Datenaufbewahrung verfügen. Personenbezogene Daten von Mitarbeiter:innen und ehemaligen Mitarbeiter:innen, die nicht mehr benötigt werden, sollten gelöscht werden, und alles, was für rechtmäßige Zwecke (rechtliche, buchhalterische, steuerliche Zwecke oder künftige Aufgaben) erforderlich ist, muss in separaten sicheren Datenbanken mit begrenztem Zugang aufbewahrt werden.
• Arbeitgeber:innen müssen die Zustimmung der ausscheidenden Mitarbeiter:innen einholen, wenn sie deren Daten für künftige Aufgaben aufbewahren wollen.
• Ehemalige Arbeitnehmer:innen haben ein Recht auf Zugang zu ihren persönlichen Daten, die der Arbeitgeber gespeichert hat. Die Arbeitgeber:innen sind jedoch nicht verpflichtet, die personenbezogenen Daten ehemaliger Mitarbeiter:innen auf dem neuesten Stand zu halten und zu korrigieren.

Tipps zum Datenschutz in der Personalabteilung

• Ein Grundprinzip des Datenschutzes ist Transparenz. Stellen Sie sicher, dass Ihr Unternehmen über angemessene Datenschutzhinweise für Angestellte, Arbeiter, Auftragnehmer und Stellenbewerber verfügt. In den Datenschutzhinweisen muss dem Einzelnen klar erläutert werden, welche personenbezogenen Daten gespeichert sind, wie sie verwendet werden und warum. Die allgemeine Zustimmung der Mitarbeiter zur Verarbeitung personenbezogener Daten ist veraltet und unwirksam – die Verträge sollten dementsprechend überarbeitet werden.
• Zu den besonderen Datenkategorien gehören Informationen über Gesundheit, Rasse und ethnische Herkunft, sexuelle Orientierung oder Sexualleben und Gewerkschaftszugehörigkeit. Informationen über Straftaten sind ebenfalls sensibel. Für die Verarbeitung von Daten besonderer Kategorien kann die ausdrückliche Zustimmung der Mitarbeiter erforderlich sein.
• Reduzieren Sie die Erfassung und Aufbewahrung personenbezogener Daten auf das wirklich Notwendige. Überprüfen Sie Systeme und Standardformulare (z. B. Bewerbungsformulare) und entfernen Sie Fragen, in denen Informationen abgefragt werden, die nicht verwendet werden oder die nicht notwendig sind. Wenn Sie etwa die Vielfalt nicht überwachen, fragen Sie nicht nach Informationen zur Vielfalt.
• Überprüfen und aktualisieren Sie mindestens einmal im Jahr die Mitarbeiterinformationen, um sicherzustellen, dass die Daten korrekt sind. Viele Personalsysteme verfügen bereits über die Mittel zur Erleichterung jährlicher Überprüfungen oder können so konfiguriert werden, dass sie jährliche Überprüfungen erleichtern.
• Überprüfen Sie regelmäßig die Sicherheitsmaßnahmen, um sicherzustellen, dass nur diejenigen auf die Mitarbeiterdaten zugreifen können, die sie kennen müssen. Hilfreich sind Protokolle, in denen die Zugriffsrechte, die zulässige Nutzung und andere Maßnahmen zur Einhaltung der Datenschutzgrundsätze festgelegt sind. Zu den wesentlichen Sicherheitsmaßnahmen gehören die Verwendung von Zugangskontrollen, Passwörtern, Anonymisierung, Pseudonymisierung, Verschlüsselung und sichere Entsorgung.
• Führungskräfte, die ihre eigenen Aufzeichnungen oder Kopien von Dokumenten wie Lebensläufen, Leistungsbeurteilungen und ärztlichen Bescheinigungen aufbewahren, riskieren schwerwiegende Sicherheitsverletzungen, die die Bemühungen der Personalabteilung, die Sicherheit und Integrität der Mitarbeiterdaten zu gewährleisten, leicht untergraben können.
• Die Personalabteilungen sollten jedoch die Datenschutzerklärungen überprüfen, um Transparenz zu gewährleisten, und die Vereinbarungen über die gemeinsame Nutzung von Daten mit Anbietern wie Lohnbuchhaltern, Leistungsanbietern und arbeitsmedizinischen Beratern überprüfen, um sicherzustellen, dass angemessene Bedingungen für die Verwendung, Sicherheit und Aufbewahrung von Mitarbeiterdaten gelten.
• Bei der Einführung eines neuen Personalsystems, einer Initiative oder einer neuen Arbeitsweise, bei der Mitarbeiterdaten verwendet werden, ist eine Datenschutz-Folgenabschätzung eine gute Praxis und ein guter Beweis dafür, dass der Arbeitgeber die Einhaltung des Datenschutzes und die Rechenschaftspflicht berücksichtigt hat. Eine Folgenabschätzung hilft bei der Ermittlung von Risiken und Maßnahmen zur Behebung dieser Risiken.
• Entwickeln Sie einen Reaktionsplan in Bezug auf potenzielle Sicherheitsverletzungen. Verstöße gegen den Schutz personenbezogener Daten müssen normalerweise innerhalb von 72 Stunden gemeldet werden, sodass ein fester Reaktionsplan wertvolle Zeit sparen kann.
• Arbeitnehmer:innen machen häufig im Rahmen von Beschwerden oder Streitigkeiten von ihrem Recht auf Auskunft Gebrauch. Stellen Sie sicher, dass Sie über ein Verfahren verfügen, mit dem Sie effektiv und zeitnah (in der Regel innerhalb eines Monats) auf Auskunftsersuchen der Betroffenen reagieren können.

Abschließende Gedanken

Wie Sie sehen, haben Personalabteilungen etliche Dinge im Auge zu behalten, wenn es um Mitarbeitende und deren Datenschutz geht. Damit Ihre Mitarbeitenden immer auf dem neuesten Stand der datenschutzrechtlichen Vorgaben sind, empfehlen wir Ihnen, Ihr Team immer wieder schulen zu lassen.

Wenn Sie weiterführende Informationen haben möchten oder sich über ein Engagement von dedata in Ihrem Unternehmen interessieren, kontaktieren Sie uns. Gerne werden unsere Expert:innen Sie in einem kostenlosen Erstgespräch darüber informieren, was wir für Sie unternehmen können.