Datenschutz: Personenbezogene Daten im Personalmanagement

Datenschutz: Personenbezogene Daten im Personalmanagement

Papierkram, Einwilligungserklärungen und komplexe Datenverarbeitung – Die Grundverordnung für Datenschutz hat den Arbeitsalltag in allen Branchen an vielen Stellen kniffliger gemacht. Ganz besonders gilt das für die Personalarbeit.

In der HR-Abteilung müssen nicht nur persönliche Informationen wie Krankmeldungen und Gehaltsunterlagen von Beschäftigten rechtssicher behandelt und gespeichert werden, sondern auch die von Bewerbern oder ehemaligen Angestellten. Auch bei der täglichen Arbeit produzieren Mitarbeiter in Unternehmen ständig neue personenbezogene Daten, die sicher an ihren Speicherort verschickt und aufbewahrt werden müssen. Beispielsweise, wenn sie ihren E-Mail-Account nutzen oder ein Dienstplan erstellt wird. Das Datenschutzrecht im Rahmen des Arbeitsrechts macht für den Umgang mit Informationen mit Personenbezug genaue Vorgaben und definiert genau, welche Angaben darunter fallen.

    Definition: Was sind personenbezogene Daten?

    Personenbezogene Daten sind Angaben über gewisse Personen. Sie können eindeutig einer bestimmten Person zugeordnet werden. Bei solchen Daten kann es sich beispielsweise um Merkmale wie Körpergröße, Geschlecht, Wohnort, Geburtsdatum oder auch Details zu Besitztümern handeln. Wenn eine Person ein rotes Motorrad besitzt, ist zum Beispiel „rotes Motorrad“ eine personenbezogene Information dadurch, dass sie diesem einen bestimmten Menschen zugeordnet werden kann.

    Es gibt daneben personenbezogene Daten, die zunächst allein stehen, über die sich aber ein Personenbezug herstellen lässt. Das heißt, die Informationen lassen sich mit relativ geringem Aufwand zuordnen. Ein allgemein gegenwärtiges Beispiel sind Nummernschilder von Fahrzeugen. Sie haben zunächst für den Betrachter keinen Bezug zum Fahrzeughalter. Wer aber Zugang zur entsprechenden Datenbank hat, kann das Kennzeichen dem Fahrzeughalter zuordnen. In diese Kategorie fallen auch Daten wie Sozialversicherungsnummern, Personalnummern, Ausweisnummern oder Antworten in nicht anonymisierten Fragebögen. Bei all diesen Beispielen wird eine simple Nummer durch Zuordnung ein persönliches Merkmal.

    Wie sind personenbezogene Daten gesetzlich definiert?

    Wie personenbezogene Daten rechtlich abgegrenzt sind, ist von Land zu Land verschieden. In Deutschland regelt dies das Bundesdatenschutzgesetz (BDSG). Darin lautet die Definition:

    Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

    Bundesdatenschutzgesetz

    Besonders in Deutschland ist, dass nur Daten natürlicher Personen unter diesen Begriff fallen. In anderen europäischen Ländern wird das teilweise unterschiedlich gehandhabt. Hierzulande sind grundsätzlich personenbezogene Daten also nur solche, die man einem Menschen als juristischer Person zuordnen kann. Nicht aber Körperschaften, Vereinen oder Gesellschaften.

    Seit einigen Jahren sieht dies die Rechtsprechung in manchen Fällen anders. So entschied das Verwaltungsgericht Wiesbaden, dass die datenschutzrechtlichen Vorgaben auch auf juristische Personen anzuwenden seien, wenn ein grundrechtlich verbürgtes Recht auf informationelle Selbstbestimmung nach Art. 14 GG gegeben wäre. Diese Entscheidung hat zwar keine bundesweiten Auswirkungen, aber zeigt zumindest eine Tendenz hin zur Aufweichung des Grundsatzes.

    Einen speziellen Stellenwert nehmen in Deutschland besonders schutzbedürftige Daten, die „besonderen Arten personenbezogener Daten“, nach § 46 Abs. 14 BDSG und § 48 Abs. 1 BDSG ein. Um stärkeren Schutz zu gewährleisten, müssen diese Informationen unter strengeren Voraussetzungen aufbewahrt und verarbeitet werden als sonstige persönliche Daten. Zu den besonderen Arten zählen zum Beispiel Gesundheitsdaten, sexuelle Orientierung, Religionszugehörigkeit, politische Einstellung oder ethnische Herkunft. In der Personalarbeit fallen solchen Informationen häufig an. Beispielsweise Angaben zur Religion eines Mitarbeiters in den Steuerunterlagen oder, wenn für den Job regelmäßige Drogen- oder Gesundheitstests nötig sind.

    Datenschutz: Personenbezogene Daten, die bei Arbeitgebern anfallen

    In Arbeitsverhältnissen entstehen laufend Daten mit Bezug zu bestimmten Mitarbeitern oder Unternehmensangehörigen. Das beginnt bei den Angaben im Lebenslauf bei einer Bewerbung und geht weiter im Arbeitsalltag. Beispielsweise beim E-Mail-Verkehr, Fahrtkostenabrechnungen, Standortdaten von Dienstfahrzeugen oder der Bestellung von Berufskleidung für bestimmte Personen.

    Arbeitgeber müssen alle personenbezogenen Daten schützen © thodonal – Adobe Stock

    All diese Daten – von Geburtsdatum über Adresse bis Kleidergröße – müssen vor unbefugtem Zugriff geschützt und gesetzeskonform aufbewahrt und verarbeitet werden. Der firmeninterne Ansprechpartner dafür ist der Datenschutzbeauftragte. Wichtigste Grundlage dabei ist: Mitarbeiterdaten, die von Unternehmen gespeichert werden, müssen immer einen bestimmten Zweck erfüllen.

    Personenbezogene Daten der Mitarbeiter speichern

    Die Speicherung persönlicher Informationen des Personals in Unternehmen muss nach den Vorgaben des Bundesdatenschutzgesetzes (BDSG) und der Datenschutzgrundverordnung (DSGVO) erfolgen. Gespeichert werden sollen ausschließlich für das Arbeitsverhältnis angemessene und erforderliche, zweckgebundene personenbezogene Daten. Wichtig ist, dass nur im notwendigen Umfang Informationen aufbewahrt werden. Also solche, die wirklich gebraucht werden. Vorgegeben wird dies im „Grundsatz der Datenminimierung“ in Art. 5 Abs. 1 der DSGVO.

    Beispiel: Ein Unternehmen hat eine Position für einen Werbegrafiker ausgeschrieben. Interessenten haben dazu ihre Bewerbungen eingeschickt. Ein Kandidat hat in seinem Lebenslauf freiwillig Angaben zu seiner ehrenamtlichen Arbeit in einer Tierschutzorganisation gemacht. Im späteren Verlauf wird er eingestellt. Die Arbeit in der wohltätigen Organisation ist für die Ausübung des Jobs nicht relevant. Die Mitarbeiter der Personalabteilung müssen daher solches Zusatzwissen aus dem Privatleben des betroffenen neuen Beschäftigten einzeln aus der Personalakte entfernen oder die gesamte Bewerbung vernichten.

    Weitere Vorgaben zur Datenspeicherung macht die DSGVO in Art. 5 Abs. 1 Buchstabe d). Hier geht es um das „Prinzip der Richtigkeit“ der gespeicherten und verarbeiteten Daten. Die Informationen müssen sachlich richtig sowie auf dem neuesten Stand sein. Fehlerhafte Angaben müssen sofort gelöscht oder korrigiert werden.

    Personenbezogene Daten der Bewerber löschen

    Auch zur Dauer der Datenspeicherung sowie zum Löschen gibt es gesetzliche Vorgaben. Grundsätzlich sollten Unternehmen so viele Bewerber- und Mitarbeiterdaten speichern wie nötig und diese löschen, wenn möglich. Daten, die nicht vorhanden sind, können keine rechtlichen Probleme nach sich ziehen. Deshalb ist weniger mehr.

    Die Aufbewahrung von Bewerberdaten ist eine Gratwanderung. Einerseits sollte ein Unternehmen Bewerbungsunterlagen eine Zeit lang aufheben, um beispielsweise bei Diskriminierungsvorwürfen beweisen zu können, dass keine Diskriminierung eines abgelehnten Bewerbers vorlag. Andererseits müssen Bewerberdaten von nicht eingestellten Interessenten möglichst zeitnah nach Abschluss des Einstellungsprozesses gelöscht werden. Verschiedene Quellen empfehlen daher eine Aufbewahrung der Bewerbungsunterlagen von etwa sechs Monaten nach Ablehnung des Interessenten. Nach § 15 Abs. 4 des Allgemeinen Gleichstellungsgesetzes (AGG) muss bei einem Diskriminierungsvorwurf der Kläger innerhalb von zwei Monaten seinen Anspruch auf den Arbeitsplatz geltend machen.

    Innerhalb weiterer drei Monate kann er auf Entschädigung klagen. Sechs Monate sind daher ein ausreichender Zeitraum zur Aufbewahrung der Unterlagen. Danach sollten sie gelöscht werden. Nach Einwilligung des Jobinteressenten ist es möglich, die Bewerbung länger aufzubewahren. Das macht zum Beispiel Sinn, wenn es Aussicht auf eine später frei werdende Stelle im Unternehmen gibt. Praktisch empfiehlt es sich, das Einverständnis dazu etwa schon zu Beginn über ein elektronisches Bewerbungsverfahren einzuholen.

    Personenbezogene Daten ehemaligen Personals löschen: Das sollten Sie beachten

    Unternehmen dürfen Personaldaten speichern, solange dies für das Arbeitsverhältnis notwendig ist. Scheidet ein Mitarbeiter aus, müssen nach DSGVO auch seine Daten – nach der gesetzlichen Aufbewahrungsfrist – gelöscht werden. Dieses Prinzip wird in Art. 17 Abs. 1 das „Recht auf Vergessenwerden“ genannt. Ausnahmen gelten nur, wenn es noch ein berechtigtes Interesse gibt die Informationen zu behalten. Dies kann beispielsweise vorkommen, wenn noch Anspruch auf Vergütungen besteht oder der ehemalige Mitarbeiter eine Betriebsrente erhält.

    Tabelle: Alle Aufbewahrungsfristen auf einen Blick

    DokumentZeitraum
    Gehaltsunterlagen6 bis 10 Jahre
    Arbeitszeitnachweise6 Jahre
    Arbeitszeitnachweise nach dem Arbeitszeit- und Mindestlohngesetz und für Minijobber2 Jahre rückwirkend
    Daten, die für mögliche Schadenersatzansprüche bedeutsam sind3 Jahre
    Aufbewahrungsfrist, Data Managment, DSGVO, Datenschutz, Data Security, personenbezogene Daten
    Die Aufbewahrungsfristen personenbezogener Daten sind gesetzlich geregelt © jirsak – Adobe Stock

    Seit einem Grundsatzurteil des Bundesverfassungsgerichtes von 2018 empfiehlt es sich außerdem, die Namen ehemaliger Mitarbeiter zu speichern. Das Gericht hatte nämlich erklärt, dass sachgrundlose Befristungen bei Arbeitsverträgen nur einmal und nur bei der ersten Einstellung erlaubt sind. Um Probleme zu vermeiden, sollten Arbeitgeber also feststellen können, wer schon im Unternehmen angestellt war. Eine Alternative ist es, Bewerber im Bewerbungsprozess zu fragen, ob sie bereits in der Firma beschäftigt waren.

    Datenschutz personenbezogener Daten in E-Mails

    Die Nutzung eines E-Mail-Accounts am Arbeitsplatz spannt einige Stolperdrähte beim Schutz persönlicher Informationen. Bereits, wenn ein Nutzerkonto wie name.vorname@firma.de angelegt wird, entsteht ein Personenbezug zum jeweiligen Mitarbeiter. Bei jeder Nutzung, Einstellung entstehen so auf einen Mitarbeiter beziehbare Daten, die nach DSGVO sowie Datenschutzgesetz behandelt werden müssen. Dafür ist als erster Schritt das Einverständnis des betroffenen Personals nötig.

    Noch komplizierter wird es, wenn der Mitarbeiter den E-Mail-Account auch privat nutzen darf. Dienstlichen Kommunikation unterliegt dem Organisationsrecht des Arbeitgebers. Bei privaten E-Mails über den Geschäfts-Account ist das nicht per se so. Unternehmen, die ihren Mitarbeitern die private Nutzung des Accounts ermöglichen wollen, sollten deshalb mit der Belegschaft Vereinbarungen treffen, wie private und dienstliche E-Mails getrennt und deutlich gekennzeichnet werden sollen. Beispielsweise in unterschiedlich benannten Ordnern.

    Der private Anteil der Kommunikation über E-Mail ist nicht zum „Zwecke des Beschäftigungsverhältnisses“ nötig. Trotzdem fallen dabei personenbezogene Daten an, die elektronisch beim Unternehmen gespeichert werden. Das heißt, die Datenverarbeitung muss gesondert vereinbart und durch die betreffende Person genehmigt werden. Sie ist in diesem Fall nicht durch die rechtlichen, rein dienstlichen Vereinbarungen abgedeckt.

    Praktisch empfiehlt es sich heutzutage, die private Nutzung der Unternehmens-E-Mail-Accounts für Angestellte zu verbieten. Das verschafft datenschutzrechtlich einen besseren Überblick und verhindert Komplikationen durch die Vermischung privater und geschäftlicher Informationen, die datenschutzrechtlich unterschiedlich behandelt werden müssten. Praktisch sollte das für die meisten Arbeitnehmer kein Problem sein, da Smartphones für die private Kommunikation weit verbreitet sind.

    Technische Anforderungen an den Datenschutz bei E-Mails

    Nach Art. 32 der DSGVO muss ein Unternehmen „technische und organisatorische Maßnahmen“ ergreifen, um E-Mails seiner Mitarbeiter gegen Ausspähen zu schützen. Das Mittel der Wahl ist die Verschlüsselung. Diese sollte 2448 Bit oder mehr umfassen, über einen RSA- oder Elgamal-Algorythmus laufen und als asynchrone „Public Key“-Verschlüsselung gestaltet sein.

    Datenschutz bei Dienstplan und Urlaubsplanung

    Öffentlich im Betrieb aushängende Dienstpläne oder von mehreren Angestellten einsehbare Exceltabellen sind durch die aktuelle Datenschutzgrundverordnung eine heikle Angelegenheit. Sie sind rechtlich gesehen Dokumente, die personenbezogene Daten enthalten. Wann welcher Kollege Dienst oder Urlaub hat, gehört zu den persönlichen Informationen. Einsehbare Pläne sollten deshalb so gestaltet sein, dass für relevante Personen – beispielsweise Mitarbeiter der gleichen Abteilung oder Vorgesetzte der betreffenden Angestellten – sichtbar ist, wann jemand an- oder abwesend ist. Die Gründe dafür sollten aber nicht aus öffentlichen Dienstplänen hervorgehen. Des Weiteren sollten keine zusätzlichen persönlichen Informationen über die jeweiligen Mitarbeiter wie beispielsweise das Geburtsdatum, die Adresse oder private Telefonnummer für andere Personen einsehbar sein.

    Praxistipps für unternehmensintern einsehbare Urlaubs- und Dienstpläne: So klappt’s

    • Wenn Abwesenheitslisten erstellt werden, sollten diese nur für die zuständigen Mitarbeiter im Personalmanagement sowie im Arbeitsalltag davon betroffene Personen einsehbar sein.
    • Auf Abwesenheitslisten sollte nicht der Grund für die Abwesenheit angegeben sein. Dieser ist für das Dienstverhältnis sowie den Arbeitsalltag der anderen Angestellten nicht relevant. Das gilt auch bei Krankheiten.
    • Nach Ablauf des umfassenden Zeitrahmens sollte die Liste vernichtet werden. Das gilt für Papierlisten genauso wie für digitale Varianten.
    • Online- oder über den Firmen-Account einsehbare Dienstpläne sollte man so gestalten, dass nur der jeweils eigene Schichtplan der Angestellten für sie sichtbar ist.
    • Bei im Betrieb online oder in Papierform einsehbaren Informationen über einen Dienst- oder Urlaubsplan ist wie bei anderen personenbezogenen Daten eine Einwilligung für dessen Veröffentlichung von jedem betroffenen Angestellten nötig.

    Mitarbeiterdaten in der Cloud speichern: Ist das erlaubt?

    Daten werden heutzutage häufig ausgelagert. Das hat viele Vorteile, denn für den Betrieb entfallen Kosten und Arbeitsaufwand für eigene Server. Cloudbasierte Speicher ermöglichen außerdem den Zugriff von überall, beispielsweise aus dem Homeoffice oder vom Laptop eines Außendienstlers. Zudem sind die Daten sicher vor Feuer oder anderen Katastrophen vor Ort. Doch auch Nachteile gibt es. Vielen Menschen ist unwohl dabei zu wissen, dass ihre persönlichen Informationen auf Serverfarmen im Ausland gelagert werden. Grundsätzlich müssen bei Verarbeitung über Clouds die gleichen Datenschutzstandards eingehalten werden wie vor Ort. Da die Daten an einen externen Anbieter übermittelt werden, muss mit ihm eine Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO) geschlossen werden. Dass ein Unternehmen selbst die geforderten Maßnahmen ergreift, muss es dokumentieren und jederzeit beweisen können.

    4 Anforderungen an Cloud-Anbieter nach Abs. 1 DSGVO:

    1. Der Anbieter kann garantieren, dass er ausreichende technische und organisatorische Mittel einsetzt und die Datenverarbeitung so durchführt, dass sie der DSGVO entspricht.
    2. Der Anbieter muss zudem sicherstellen, dass er den Anforderungen für „besondere Kategorien personenbezogener Daten“ (Art. 9 DSGVO und § 22 Abs. 2 BDSG) gerecht wird, da Personaldaten in diese Kategorie gehören.
    3. Bei Datenverkehr über die Grenzen der EU hinweg müssen Anbieter und Unternehmen des Weiteren den besonderen Bestimmungen des Art. 44 ff. DSGVO nachkommen.
    4. Für das Personalmanagement gibt es cloudbasierte HR-Software. Diese muss ebenfalls DSGVO-konform sein und über rechtssicher aufgebaute Systeme betrieben werden.

    Datenschutz personenbezogener Daten – Muster für Erklärungen

    Es könnte so einfach sein: Einen Vordruck oder Muster herunterladen, ausfüllen und fertig. In Sachen Datenschutzrecht ist das selten möglich. Denn immer wieder taucht das Stichwort „zweckgebunden“ in den Verordnungen und Gesetzen auf. Ein pauschales Muster für Datenschutzerklärungen oder Einwilligungen zur Nutzung personenbezogener Daten gibt es nicht. Einwilligungserklärungen und Datenschutzerklärungen sollten immer genau der Situation angepasst werden, für die sie gebraucht werden. Pauschal gehaltene, rhetorische Rundumschläge widersprechen meist dem Prinzip der Datenminimierung, da sie möglichst viele Fälle und Situationen abdecken sollen. Für Unternehmen empfiehlt es sich daher, einen Datenschutzexperten oder Juristen zurate zu ziehen, um Dokumente und Einverständniserklärungen für Datenschutzvorgänge individuell und rechtssicher anzufertigen. Damit bei der Datenverarbeitung im Personalmanagement alles DSGVO-konform abläuft, empfiehlt es sich zudem, eng mit dem Datenschutzbeauftragten des Unternehmens zusammenzuarbeiten.

    Autor: Redaktion Personalwissen