Grundlegendes Wissen zum Datenschutz in der Personalabteilung
In der Personalabteilung ist der Umgang mit personenbezogenen Daten an der Tagesordnung. Welche Verpflichtungen sind dabei einzuhalten?
Jeder Datenverarbeitung bedarf einer Rechtsgrundlage. In der Personalabteilung findet die Verarbeitung
personenbezogener Daten in der Regel auf Grundlage von § 26 BDSG, der wichtigsten Vorschrift zum
Beschäftigtendatenschutz, statt.
Betroffene von der Datenverarbeitung in der Personalabteilung sind z.B. Arbeitnehmer, Leiharbeitnehmer,
Auszubildende, Bewerber, Praktikanten, ehemalige Beschäftigte etc. Verarbeitet werden neben den „normalen“ Daten,
wie Name und Anschrift, teilweise auch besondere Kategorien von personenbezogenen
Daten, wie z.B. Gesundheitsdaten, Daten zur Gewerkschaftszugehörigkeit etc. Die Betroffenen müssen natürlich
über die Datenverarbeitung informiert werden, indem entsprechende Datenschutzhinweise ausgegeben werden.
Die Verarbeitung dieser Daten ist in der Regel zur Begründung,
Durchführung und Beendigung eines Beschäftigungsverhältnisses zulässig. Einer besonderen Rechtfertigung bedarf
allerdings eine darüberhinausgehende Verarbeitung von Beschäftigtendaten, z.B. die Veröffentlichung eines Mitarbeiterfotos oder die
Produktion von Unternehmensvideos, in denen auch Mitarbeiter zu sehen sind. Derartige Verarbeitungen sind nur mit
Einwilligung des Mitarbeiters zulässig. An die Einwilligung werden besonders im Bereich des
Beschäftigtendatenschutzes besonders hohe Anforderungen gestellt.
Der Umgang mit Bewerberdaten
Ein wichtiges Thema, mit welchem sich jede Personalabteilung auseinandersetzen sollte, ist der Umgang mit
Bewerberdaten. Es sollte ein DSGVO-konformer Bewerbungsprozess eingerichtet werden, in dessen Verlauf der Bewerber
z.B. standardmäßig die erforderlichen Datenschutzinformationen erhält. Es sollte auch eine eigene E-Mail-Adresse für
Bewerbungen geben, die nicht von einer etwa vorhandenen revisionssicheren E-Mail-Archivierung erfasst wird, weil
ansonsten die Bewerbungen nach Abschluss des Bewerbungsverfahrens nicht gesetzeskonform gelöscht werden können.
Auch der Einsatz einer Software zur Personaldatenverwaltung sollte datenschutzrechtlich geprüft werden. Besondere
Schwierigkeiten bereiten dabei Softwarelösungen, die auf Cloudanbieter außerhalb der EU setzen.
Zum Datenaustauch in Konzernen
Immer wieder problematisch ist auch der Austausch von Personaldaten im Konzern. Es hat sich noch nicht bis in die
letzte Führungsetage herumgesprochen, dass auch ein Datentransfer innerhalb eines Konzerns immer einer
datenschutzrechtlichen Rechtfertigung bedarf, die gerade im Bereich Personaldaten gar nicht so leicht zu finden ist.
Ganz zu schweigen von Übermittlungen von Personaldaten in ein Land außerhalb des Anwendungsbereichs der DSGVO, also
z.B. an die in den USA ansässige Konzernmutter.
Daneben gibt es noch zahlreiche Einzelfragen, die in der Personalabteilung immer wieder auftauchen. Beispielsweise
ist der Einsatz einer Videoüberwachungsanlage auch ein Thema für die Personalabteilung, wenn Mitarbeiter aufgenommen
werden. Gedanken sollte man sich auch machen, wenn Ortungssysteme in der Firmenfahrzeugflotte einsetzt. Darf man
eigentlich Daten eines Bewerbers in sozialen Netzwerken recherchieren?
In Unternehmen mit einem Betriebsrat sollte immer daran gedacht werden, dass Betriebsvereinbarungen, die (auch)
datenschutzrechtliche Fragen betreffen, an den Anforderungen der Datenschutzgesetze zu messen sind. Bestehende
Vereinbarungen müssen ggf. angepasst werden.