Grundlegendes Wissen zum Datenschutz in der Personalabteilung

In der Personalabteilung ist der Umgang mit personenbezogenen Daten an der Tagesordnung. Welche Verpflichtungen sind dabei einzuhalten?

Grundlegendes Wissen zum Datenschutz in der Personalabteilung

Jeder Datenverarbeitung bedarf einer Rechtsgrundlage. In der Personalabteilung findet die Verarbeitung personenbezogener Daten in der Regel auf Grundlage von § 26 BDSG, der wichtigsten Vorschrift zum Beschäftigtendatenschutz, statt.

Betroffene von der Datenverarbeitung in der Personalabteilung sind z.B. Arbeitnehmer, Leiharbeitnehmer, Auszubildende, Bewerber, Praktikanten, ehemalige Beschäftigte etc. Verarbeitet werden neben den „normalen“ Daten, wie Name und Anschrift, teilweise auch besondere Kategorien von personenbezogenen Daten, wie z.B. Gesundheitsdaten, Daten zur Gewerkschaftszugehörigkeit etc. Die Betroffenen müssen natürlich über die Datenverarbeitung informiert werden, indem entsprechende Datenschutzhinweise ausgegeben werden.

Die Verarbeitung dieser Daten ist in der Regel zur Begründung, Durchführung und Beendigung eines Beschäftigungsverhältnisses zulässig. Einer besonderen Rechtfertigung bedarf allerdings eine darüberhinausgehende Verarbeitung von Beschäftigtendaten, z.B. die Veröffentlichung eines Mitarbeiterfotos oder die Produktion von Unternehmensvideos, in denen auch Mitarbeiter zu sehen sind. Derartige Verarbeitungen sind nur mit Einwilligung des Mitarbeiters zulässig. An die Einwilligung werden besonders im Bereich des Beschäftigtendatenschutzes besonders hohe Anforderungen gestellt.

Der Umgang mit Bewerberdaten

Ein wichtiges Thema, mit welchem sich jede Personalabteilung auseinandersetzen sollte, ist der Umgang mit Bewerberdaten. Es sollte ein DSGVO-konformer Bewerbungsprozess eingerichtet werden, in dessen Verlauf der Bewerber z.B. standardmäßig die erforderlichen Datenschutzinformationen erhält. Es sollte auch eine eigene E-Mail-Adresse für Bewerbungen geben, die nicht von einer etwa vorhandenen revisionssicheren E-Mail-Archivierung erfasst wird, weil ansonsten die Bewerbungen nach Abschluss des Bewerbungsverfahrens nicht gesetzeskonform gelöscht werden können.

Auch der Einsatz einer Software zur Personaldatenverwaltung sollte datenschutzrechtlich geprüft werden. Besondere Schwierigkeiten bereiten dabei Softwarelösungen, die auf Cloudanbieter außerhalb der EU setzen.

Zum Datenaustauch in Konzernen

Immer wieder problematisch ist auch der Austausch von Personaldaten im Konzern. Es hat sich noch nicht bis in die letzte Führungsetage herumgesprochen, dass auch ein Datentransfer innerhalb eines Konzerns immer einer datenschutzrechtlichen Rechtfertigung bedarf, die gerade im Bereich Personaldaten gar nicht so leicht zu finden ist. Ganz zu schweigen von Übermittlungen von Personaldaten in ein Land außerhalb des Anwendungsbereichs der DSGVO, also z.B. an die in den USA ansässige Konzernmutter.

Daneben gibt es noch zahlreiche Einzelfragen, die in der Personalabteilung immer wieder auftauchen. Beispielsweise ist der Einsatz einer Videoüberwachungsanlage auch ein Thema für die Personalabteilung, wenn Mitarbeiter aufgenommen werden. Gedanken sollte man sich auch machen, wenn Ortungssysteme in der Firmenfahrzeugflotte einsetzt. Darf man eigentlich Daten eines Bewerbers in sozialen Netzwerken recherchieren?

In Unternehmen mit einem Betriebsrat sollte immer daran gedacht werden, dass Betriebsvereinbarungen, die (auch) datenschutzrechtliche Fragen betreffen, an den Anforderungen der Datenschutzgesetze zu messen sind. Bestehende Vereinbarungen müssen ggf. angepasst werden.

Dr. Werner, Fachanwalt für IT-Recht und Datenschutzbeauftragter (TÜV)

Dr. Dennis Werner

Fachanwalt für IT-Recht
TÜV-zertifizierter Datenschutz­beauftragter

TÜV-Siegel als externer Datenschutzbeauftragter Dr. Dennis Werner

Fragen zum Datenschutz?

Schreiben Sie uns
info@jurando.de

Mehr zum Thema Datenschutz