In der HR-Abteilung müssen nicht nur persönliche Informationen wie Krankmeldungen und Gehaltsunterlagen von Beschäftigten rechtssicher behandelt und gespeichert werden, sondern auch die von Bewerbern oder ehemaligen Angestellten. Auch bei der täglichen Arbeit produzieren Mitarbeiter in Unternehmen ständig neue personenbezogene Daten, die sicher an ihren Speicherort verschickt und aufbewahrt werden müssen. Beispielsweise, wenn sie ihren E-Mail-Account nutzen oder ein Dienstplan erstellt wird. Das Datenschutzrecht im Rahmen des Arbeitsrechts macht für den Umgang mit Informationen mit Personenbezug genaue Vorgaben und definiert genau, welche Angaben darunter fallen.
Was sind personenbezogene Daten?
Personenbezogene Daten sind Angaben über gewisse Personen, die eindeutig einer bestimmten Person zugeordnet werden können. Bei solchen Daten kann es sich beispielsweise um Merkmale wie Körpergröße, Geschlecht, Wohnort, Geburtsdatum oder auch Details zu Besitztümern handeln. Wenn eine Person ein rotes Motorrad besitzt, ist zum Beispiel „rotes Motorrad“ eine personenbezogene Information dadurch, dass sie diesem einen bestimmten Menschen zugeordnet werden kann.
Es gibt daneben personenbezogene Daten, die zunächst allein stehen, über die sich aber ein Personenbezug herstellen lässt. Das heißt, die Informationen lassen sich mit relativ geringem Aufwand zuordnen. Ein allgemein gegenwärtiges Beispiel sind Nummernschilder von Fahrzeugen. Sie haben zunächst für den Betrachter keinen Bezug zum Fahrzeughalter. Wer aber Zugang zur entsprechenden Datenbank hat, kann das Kennzeichen dem Fahrzeughalter zuordnen. In diese Kategorie fallen auch Daten wie Sozialversicherungsnummern, Personalnummern, Ausweisnummern oder Antworten in nicht anonymisierten Fragebögen. Bei all diesen Beispielen wird eine simple Nummer durch Zuordnung ein persönliches Merkmal.
Wie sind personenbezogene Daten gesetzlich definiert?
Wie personenbezogene Daten rechtlich abgegrenzt sind, ist von Land zu Land verschieden. In Deutschland regelt dies das Bundesdatenschutzgesetz (BDSG). Darin lautet die Definition:
Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Bundesdatenschutzgesetz
Besonders in Deutschland ist, dass nur Daten natürlicher Personen unter diesen Begriff fallen. In anderen europäischen Ländern wird das teilweise unterschiedlich gehandhabt. Hierzulande sind grundsätzlich personenbezogene Daten also nur solche, die man einem Menschen als juristischer Person zuordnen kann. Nicht aber Körperschaften, Vereinen oder Gesellschaften.
Seit einigen Jahren sieht dies die Rechtsprechung in manchen Fällen anders. So entschied das Verwaltungsgericht Wiesbaden, dass die datenschutzrechtlichen Vorgaben auch auf juristische Personen anzuwenden seien, wenn ein grundrechtlich verbürgtes Recht auf informationelle Selbstbestimmung nach Art. 14 GG gegeben wäre. Diese Entscheidung hat zwar keine bundesweiten Auswirkungen, aber zeigt zumindest eine Tendenz hin zur Aufweichung des Grundsatzes.
Was sind schutzbedürftige Daten?
Einen speziellen Stellenwert nehmen in Deutschland besonders schutzbedürftige Daten, die „besonderen Arten personenbezogener Daten“, nach § 46 Abs. 14 BDSG und § 48 Abs. 1 BDSG ein. Um stärkeren Schutz zu gewährleisten, müssen diese Informationen unter strengeren Voraussetzungen aufbewahrt und verarbeitet werden als sonstige persönliche Daten.
Zu den besonderen Arten zählen zum Beispiel Gesundheitsdaten, sexuelle Orientierung, Religionszugehörigkeit, politische Einstellung oder ethnische Herkunft. In der Personalarbeit fallen solchen Informationen häufig an. Beispielsweise Angaben zur Religion eines Mitarbeiters in den Steuerunterlagen oder, wenn für den Job regelmäßige Drogen- oder Gesundheitstests nötig sind.
Welche personenbezogenen Daten fallen bei Arbeitgebern an?
In Arbeitsverhältnissen entstehen laufend Daten mit Bezug zu bestimmten Mitarbeitern oder Unternehmensangehörigen. Das beginnt bei den Angaben im Lebenslauf bei einer Bewerbung und geht weiter im Arbeitsalltag. Beispielsweise beim E-Mail-Verkehr, Fahrtkostenabrechnungen, Standortdaten von Dienstfahrzeugen oder der Bestellung von Berufskleidung für bestimmte Personen.
All diese Daten – von Geburtsdatum über Adresse bis Kleidergröße – müssen vor unbefugtem Zugriff geschützt und gesetzeskonform aufbewahrt und verarbeitet werden. Der firmeninterne Ansprechpartner dafür ist der Datenschutzbeauftragte. Wichtigste Grundlage dabei ist: Mitarbeiterdaten, die von Unternehmen gespeichert werden, müssen immer einen bestimmten Zweck erfüllen.
Dürfen personenbezogene Daten der Mitarbeiter gespeichert werden?
Die Speicherung persönlicher Informationen des Personals in Unternehmen muss nach den Vorgaben des Bundesdatenschutzgesetzes (BDSG) und der Datenschutzgrundverordnung (DSGVO) erfolgen. Gespeichert werden sollen ausschließlich für das Arbeitsverhältnis angemessene und erforderliche, zweckgebundene personenbezogene Daten. Wichtig ist, dass nur im notwendigen Umfang Informationen aufbewahrt werden. Also solche, die wirklich gebraucht werden. Vorgegeben wird dies im „Grundsatz der Datenminimierung“ in Art. 5 Abs. 1 der DSGVO.
Weitere Vorgaben zur Datenspeicherung macht die DSGVO in Art. 5 Abs. 1 Buchstabe d). Hier geht es um das „Prinzip der Richtigkeit“ der gespeicherten und verarbeiteten Daten. Die Informationen müssen sachlich richtig sowie auf dem neuesten Stand sein. Fehlerhafte Angaben müssen sofort gelöscht oder korrigiert werden.
Wann müssen personenbezogene Daten gelöscht werden?
Auch zur Dauer der Datenspeicherung sowie zum Löschen gibt es gesetzliche Vorgaben. Grundsätzlich sollten Unternehmen so viele Bewerber- und Mitarbeiterdaten speichern wie nötig und diese löschen, wenn möglich. Daten, die nicht vorhanden sind, können keine rechtlichen Probleme nach sich ziehen. Deshalb ist weniger mehr.
Die Aufbewahrung von Bewerberdaten ist eine Gratwanderung. Einerseits sollte ein Unternehmen Bewerbungsunterlagen eine Zeit lang aufheben, um beispielsweise bei Diskriminierungsvorwürfen beweisen zu können, dass keine Diskriminierung eines abgelehnten Bewerbers vorlag. Andererseits müssen Bewerberdaten von nicht eingestellten Interessenten möglichst zeitnah nach Abschluss des Einstellungsprozesses gelöscht werden. Verschiedene Quellen empfehlen daher eine Aufbewahrung der Bewerbungsunterlagen von etwa sechs Monaten nach Ablehnung des Interessenten. Nach § 15 Abs. 4 des Allgemeinen Gleichstellungsgesetzes (AGG) muss bei einem Diskriminierungsvorwurf der Kläger innerhalb von zwei Monaten seinen Anspruch auf den Arbeitsplatz geltend machen.
Innerhalb weiterer drei Monate kann er auf Entschädigung klagen. Sechs Monate sind daher ein ausreichender Zeitraum zur Aufbewahrung der Unterlagen. Danach sollten sie gelöscht werden. Nach Einwilligung des Jobinteressenten ist es möglich, die Bewerbung länger aufzubewahren. Das macht zum Beispiel Sinn, wenn es Aussicht auf eine später frei werdende Stelle im Unternehmen gibt. Praktisch empfiehlt es sich, das Einverständnis dazu etwa schon zu Beginn über ein elektronisches Bewerbungsverfahren einzuholen.
Personenbezogene Daten ehemaligen Personals löschen
Unternehmen dürfen Personaldaten speichern, solange dies für das Arbeitsverhältnis notwendig ist. Scheidet ein Mitarbeiter aus, müssen nach DSGVO auch seine Daten – nach der gesetzlichen Aufbewahrungsfrist – gelöscht werden. Dieses Prinzip wird in Art. 17 Abs. 1 das „Recht auf Vergessenwerden“ genannt. Ausnahmen gelten nur, wenn es noch ein berechtigtes Interesse gibt die Informationen zu behalten. Dies kann beispielsweise vorkommen, wenn noch Anspruch auf Vergütungen besteht oder der ehemalige Mitarbeiter eine Betriebsrente erhält.
Wie lange müssen personenbezogene Daten aufbewahrt werden?
| Dokument | Zeitraum |
| Gehaltsunterlagen | 6 bis 10 Jahre |
| Arbeitszeitnachweise | 6 Jahre |
| Arbeitszeitnachweise nach dem Arbeitszeit- und Mindestlohngesetz und für Minijobber | 2 Jahre rückwirkend |
| Daten, die für mögliche Schadenersatzansprüche bedeutsam sind | 3 Jahre |
Seit einem Grundsatzurteil des Bundesverfassungsgerichtes von 2018 empfiehlt es sich außerdem, die Namen ehemaliger Mitarbeiter zu speichern. Das Gericht hatte nämlich erklärt, dass sachgrundlose Befristungen bei Arbeitsverträgen nur einmal und nur bei der ersten Einstellung erlaubt sind. Um Probleme zu vermeiden, sollten Arbeitgeber also feststellen können, wer schon im Unternehmen angestellt war. Eine Alternative ist es, Bewerber im Bewerbungsprozess zu fragen, ob sie bereits in der Firma beschäftigt waren.
Wie wird mit personenbezogenen Daten in E-Mails umgegangen?
Die Nutzung eines E-Mail-Accounts am Arbeitsplatz spannt einige Stolperdrähte beim Schutz persönlicher Informationen. Bereits, wenn ein Nutzerkonto wie name.vorname@firma.de angelegt wird, entsteht ein Personenbezug zum jeweiligen Mitarbeiter. Bei jeder Nutzung, Einstellung entstehen so auf einen Mitarbeiter beziehbare Daten, die nach DSGVO sowie Datenschutzgesetz behandelt werden müssen. Dafür ist als erster Schritt das Einverständnis des betroffenen Personals nötig.
Noch komplizierter wird es, wenn der Mitarbeiter den E-Mail-Account auch privat nutzen darf. Dienstlichen Kommunikation unterliegt dem Organisationsrecht des Arbeitgebers. Bei privaten E-Mails über den Geschäfts-Account ist das nicht per se so. Unternehmen, die ihren Mitarbeitern die private Nutzung des Accounts ermöglichen wollen, sollten deshalb mit der Belegschaft Vereinbarungen treffen, wie private und dienstliche E-Mails getrennt und deutlich gekennzeichnet werden sollen. Beispielsweise in unterschiedlich benannten Ordnern.
Der private Anteil der Kommunikation über E-Mail ist nicht zum „Zwecke des Beschäftigungsverhältnisses“ nötig. Trotzdem fallen dabei personenbezogene Daten an, die elektronisch beim Unternehmen gespeichert werden. Das heißt, die Datenverarbeitung muss gesondert vereinbart und durch die betreffende Person genehmigt werden. Sie ist in diesem Fall nicht durch die rechtlichen, rein dienstlichen Vereinbarungen abgedeckt.
Praktisch empfiehlt es sich heutzutage, die private Nutzung der Unternehmens-E-Mail-Accounts für Angestellte zu verbieten. Das verschafft datenschutzrechtlich einen besseren Überblick und verhindert Komplikationen durch die Vermischung privater und geschäftlicher Informationen, die datenschutzrechtlich unterschiedlich behandelt werden müssten. Praktisch sollte das für die meisten Arbeitnehmer kein Problem sein, da Smartphones für die private Kommunikation weit verbreitet sind.
Technische Anforderungen an den Datenschutz bei E-Mails
Nach Art. 32 der DSGVO muss ein Unternehmen „technische und organisatorische Maßnahmen“ ergreifen, um E-Mails seiner Mitarbeiter gegen Ausspähen zu schützen. Das Mittel der Wahl ist die Verschlüsselung. Diese sollte 2448 Bit oder mehr umfassen, über einen RSA- oder Elgamal-Algorythmus laufen und als asynchrone „Public Key“-Verschlüsselung gestaltet sein.
Wie müssen personenbezogene Daten beim Dienstplan und der Urlaubsplanung geschützt werden?
Öffentlich im Betrieb aushängende Dienstpläne oder von mehreren Angestellten einsehbare Exceltabellen sind durch die aktuelle Datenschutzgrundverordnung eine heikle Angelegenheit. Sie sind rechtlich gesehen Dokumente, die personenbezogene Daten enthalten. Wann welcher Kollege Dienst oder Urlaub hat, gehört zu den persönlichen Informationen. Einsehbare Pläne sollten deshalb so gestaltet sein, dass für relevante Personen – beispielsweise Mitarbeiter der gleichen Abteilung oder Vorgesetzte der betreffenden Angestellten – sichtbar ist, wann jemand an- oder abwesend ist. Die Gründe dafür sollten aber nicht aus öffentlichen Dienstplänen hervorgehen. Des Weiteren sollten keine zusätzlichen persönlichen Informationen über die jeweiligen Mitarbeiter wie beispielsweise das Geburtsdatum, die Adresse oder private Telefonnummer für andere Personen einsehbar sein.
- Wenn Abwesenheitslisten erstellt werden, sollten diese nur für die zuständigen Mitarbeiter im Personalmanagement sowie im Arbeitsalltag davon betroffene Personen einsehbar sein.
- Auf Abwesenheitslisten sollte nicht der Grund für die Abwesenheit angegeben sein. Dieser ist für das Dienstverhältnis sowie den Arbeitsalltag der anderen Angestellten nicht relevant. Das gilt auch bei Krankheiten.
- Nach Ablauf des umfassenden Zeitrahmens sollte die Liste vernichtet werden. Das gilt für Papierlisten genauso wie für digitale Varianten.
- Online- oder über den Firmen-Account einsehbare Dienstpläne sollte man so gestalten, dass nur der jeweils eigene Schichtplan der Angestellten für sie sichtbar ist.
- Bei im Betrieb online oder in Papierform einsehbaren Informationen über einen Dienst- oder Urlaubsplan ist wie bei anderen personenbezogenen Daten eine Einwilligung für dessen Veröffentlichung von jedem betroffenen Angestellten nötig.
Dürfen Mitarbeiterdaten in der Cloud gespeichert werden?
Daten werden heutzutage häufig ausgelagert. Das hat viele Vorteile, denn für den Betrieb entfallen Kosten und Arbeitsaufwand für eigene Server. Cloudbasierte Speicher ermöglichen außerdem den Zugriff von überall, beispielsweise aus dem Homeoffice oder vom Laptop eines Außendienstlers. Zudem sind die Daten sicher vor Feuer oder anderen Katastrophen vor Ort. Doch auch Nachteile gibt es. Vielen Menschen ist unwohl dabei zu wissen, dass ihre persönlichen Informationen auf Serverfarmen im Ausland gelagert werden. Grundsätzlich müssen bei Verarbeitung über Clouds die gleichen Datenschutzstandards eingehalten werden wie vor Ort. Da die Daten an einen externen Anbieter übermittelt werden, muss mit ihm eine Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO) geschlossen werden. Dass ein Unternehmen selbst die geforderten Maßnahmen ergreift, muss es dokumentieren und jederzeit beweisen können.
4 Anforderungen an Cloud-Anbieter nach Abs. 1 DSGVO:
- Der Anbieter kann garantieren, dass er ausreichende technische und organisatorische Mittel einsetzt und die Datenverarbeitung so durchführt, dass sie der DSGVO entspricht.
- Der Anbieter muss zudem sicherstellen, dass er den Anforderungen für „besondere Kategorien personenbezogener Daten“ (Art. 9 DSGVO und § 22 Abs. 2 BDSG) gerecht wird, da Personaldaten in diese Kategorie gehören.
- Bei Datenverkehr über die Grenzen der EU hinweg müssen Anbieter und Unternehmen des Weiteren den besonderen Bestimmungen des Art. 44 ff. DSGVO nachkommen.
- Für das Personalmanagement gibt es cloudbasierte HR-Software. Diese muss ebenfalls DSGVO-konform sein und über rechtssicher aufgebaute Systeme betrieben werden.
Gibt es Muster für Datenschutzerklärungen?
Es könnte so einfach sein: Einen Vordruck oder Muster herunterladen, ausfüllen und fertig. In Sachen Datenschutzrecht ist das selten möglich. Denn immer wieder taucht das Stichwort „zweckgebunden“ in den Verordnungen und Gesetzen auf. Ein pauschales Muster für Datenschutzerklärungen oder Einwilligungen zur Nutzung personenbezogener Daten gibt es nicht.
Einwilligungserklärungen und Datenschutzerklärungen sollten immer genau der Situation angepasst werden, für die sie gebraucht werden. Pauschal gehaltene, rhetorische Rundumschläge widersprechen meist dem Prinzip der Datenminimierung, da sie möglichst viele Fälle und Situationen abdecken sollen. Für Unternehmen empfiehlt es sich daher, einen Datenschutzexperten oder Juristen zurate zu ziehen, um Dokumente und Einverständniserklärungen für Datenschutzvorgänge individuell und rechtssicher anzufertigen. Damit bei der Datenverarbeitung im Personalmanagement alles DSGVO-konform abläuft, empfiehlt es sich zudem, eng mit dem Datenschutzbeauftragten des Unternehmens zusammenzuarbeiten.
Autor: Redaktion Personalwissen
