Mit Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) im Mai 2018 begann auch in den Personalabteilungen der Datenschutz an Bedeutung zu gewinnen.
Für die gemeinsame tägliche Arbeit sind eine ganze Reihe von Daten erforderlich, zum Beispiel um miteinander kommunizieren zu können, aber auch für Gehaltszahlungen, Krankschreibungen, Beurteilungen und aus Haftungsgründen. Nicht alles, was einen Arbeitgeber interessiert, und auch nicht alles, was ein Arbeitgeber erfährt, darf dieser auch speichern.
Grundsätzlich dürfen nur die für die Durchführung des Vertragsverhältnisses erforderlichen Daten abgefragt und gespeichert werden. Erfasste und gespeicherte personenbezogene Daten unterliegen dann dem Schutz nach den jeweiligen Vorschriften.
Erhebung von personenbezogenen Daten durch HR
Die Erhebung von personenbezogenen Daten beginnt in den Unternehmen bereits beim Recruiting: Anschrift, persönliche Kontaktdaten, Fähigkeiten und speziell für die ausgeschriebene Stelle notwendige Zusatzangaben, wie zum Beispiel vorhandene Führerscheinklasse bei Berufskraftfahrern, sind in dem Stadium üblich.
Arbeitgeber sind berechtigt, personenbezogene Daten in dem Umfang zu erheben und zu speichern, wie es für die Durchführung des Vertragsverhältnisses erforderlich ist.
Die Verarbeitung der gespeicherten Daten unterliegt dann dem Grundsatz der Zweckgebundenheit. Beispielsweise darf eine für den Notfall hinterlegte Telefonnummer eines Familien- oder Haushaltsangehörigen nicht dazu verwendet werden, wegen Arbeitsbelangen anzurufen.
Der Arbeitgeber hat bereits bei der Erfassung darauf zu achten, dass nur notwendige Daten erfasst werden und dass die Zweckbindung miterfasst wird und nachweisbar ist.
In vielen Betrieben übernimmt der Betriebsrat hier eine Kontrollfunktion, indem nicht zulässige Erfassungen bereits technisch unterbunden werden.
Verwendung von Mitarbeiterdaten im Personalwesen
HR darf erfasste personenbezogene Daten zwar speichern und auch für die notwendigen Zwecke verwenden. Aber diese Daten müssen permanent geschützt sein. Für die elektronische Speicherung bedeutet dies, dass die Daten nur mit einer Zugangsbeschränkung wie einem Login aufrufbar sein dürfen und in einer verschlüsselten Datenbank liegen müssen. Für die haptische Speicherung auf Papier bedeutet es, dass die Unterlagen in einem verschlossenen Schrank aufzubewahren sind.
Eine unberechtigte Herausgabe von Daten an andere Mitarbeiter darf nicht erfolgen.
Für Kollegen untereinander empfiehlt sich daher, Adressen oder Telefonnummern eigenständig auszutauschen, wenn sie einen Genesungsgruß innerhalb der Abteilung erhalten oder versenden wollen.
Eine zentrale Verwaltung aller vorliegenden personenbezogenen Angaben sollte nicht erfolgen. Die Finanzbuchhaltung sollte die Kontodaten und die Anschrift haben, die übrigen Abteilungen sollten dagegen höchstens die Daten haben, die dort tatsächlich benötigt werden.
Arbeitgeberpflichten zum Datenschutz in HR
Im Umgang mit personenbezogenen Daten bestehen im Personalwesen insbesondere folgende Pflichten:
– Personenbezogene Daten dürften nur auf gesicherten Wegen übertragen werden. Besonders schutzwürdige Informationen dürfen nur in verschlüsselten E-Mails versendet werden.
– Der Arbeitgeber hat die Pflicht, personenbezogene Daten bei Beendigung des Arbeitsverhältnisses unverzüglich zu löschen, soweit nicht andere Aufbewahrungsfristen bestehen. Abrechnungsrelevante Vorgänge müssen für die Dauer von zehn vollen Kalenderjahren verwahrt werden.
– Über die gespeicherten Daten muss der Arbeitgeber dem Betroffenen auf Verlangen Auskunft geben.
– Auf Antrag des Betroffenen hin muss der Arbeitgeber veraltete Daten, falsche sowie ohne rechtliche Grundlage gespeicherte Daten sperren, berichtigen oder löschen.
Zu den Pflichten des Arbeitgebers gehört es ebenso, dafür Sorge zu tragen, dass nur notwendige erfasst und gespeichert werden. Wenn beispielsweise der Betriebseingang videoüberwacht wird, kann davon ausgegangen werden, dass die Ankunftszeiten und Autokennzeichen einzelner Mitarbeiter nach drei Monaten keinen legalen Zweck im Unternehmen mehr erfüllen. Sie sind entsprechend dem tatsächlichen Überwachungszweck erheblich früher zu löschen.
Besonderheiten im Recruiting
Von jedem Mitarbeitenden werden schon vor dem Eintritt ins Unternehmen Daten erfasst und verwendet, spätestens bei der Vertragsanbahnung. Umgekehrt wird nicht jeder eingestellt, von dem Bewerberdaten erfasst werden.
Das ist die Besonderheit im Recruiting, denn dadurch, dass kein gültiges Vertragsverhältnis besteht, ist hier auch die Löschfrist für erhobene Daten erheblich kürzer. Bewerberdaten müssen nach bereits sechs Monaten gelöscht werden.
Gerade Initiativbewerbungen, Bewerber und Bewerberinnen mit hochspezialisiertem Fachwissen, Interessenten in ungekündigten Arbeitsverhältnissen sowie Personen in Elternpause sind zum Teil nicht bereits innerhalb dieser sechs Monate passend eingesetzt. Eine umfangreiche Bewerberdatenbank mit persönlichen Skills als Filterkriterien und mit einer hohen Anzahl an geeigneten Interessenten zum Beispiel auch zum Aufbau neuer Abteilungen kann nicht mehr über lange Dauer mit gesammelten Daten gefüllt sein.
Es muss ein ausdrückliches Einverständnis der Interessenten vorliegen, die Daten für eine spätere Vermittlung länger zu speichern.