Im Umgang mit personenbezogenen Daten kommt der Personalabteilung innerhalb eines Unternehmens besondere Bedeutung zu, denn die Personalabteilung ist ein vertraulicher Raum, in dem besonders schützenswerte personenbezogene Daten verarbeitet werden. Die Reputation eines Unternehmens kann unter Berücksichtigung des Employer Brandings erheblich leiden, wenn hier kein verantwortungsbewusster Umgang mit personenbezogenen Daten von Beschäftigten stattfinden würde. Deshalb werden in diesem Zusammenhang nachfolgend wichtige Grundlagen dargelegt.
Praxistipp
Basiswissen zum Datenschutz in der Personalabteilung
Typische personenbezogene Daten in der Personalabteilung
Welche personenbezogenen Daten werden in einer Personalabteilung in typischer Weise verarbeitet? Neben dem Namen und der Anschrift der Mitarbeitenden zählen zu den personenbezogenen Daten auch die Zusammensetzung und die Höhe des Gehalts/Lohns, die Religionszugehörigkeit, die Steuerklasse, die Sozialversicherungsnummer, aber z.B. auch Zeugnisse. Daneben können natürlich zahlreiche weitere individuelle personenbezogene Daten in der Personalabteilung verarbeitet werden, die vorstehend nicht ausdrücklich erwähnt wurden. Bereits die genannten Daten belegen jedoch, wie sensibel die verarbeiteten Daten innerhalb von Personalabteilungen sind.
Welche Daten dürfen in der Personalabteilung verarbeitet werden?
Nach den Grundsätzen der DSGVO dürfen auch Personalabteilungen nur so viele Daten verarbeiten Komma wie dies zur Durchführung des Arbeitsverhältnisses erforderlich ist. Eine solche Verarbeitung ist dann durch Artikel 6 Abs 1 b DSGVO rechtmäßig. Sofern weitere personenbezogene Daten, die zur Erfüllung des Arbeitsvertrages nicht zwingend notwendig sind, in eine Verarbeitungstätigkeit einbezogen werden sollen, kann dies nur auf Basis einer rechtmäßigen Grundlage stattfinden. Infrage käme dann beispielsweise eine Einwilligung der betroffenen Person im Sinne von Artikel 6 Absatz 1 a DSGVO.
Informations- und Dokumentationspflichten in der Personalabteilung
wie bei jeder sonstigen Verarbeitung gilt auch für die Personalabteilung Komma das Verarbeitungsprozesse zu dokumentieren sind Punkt jede Verarbeitung in der Personalabteilung und muss sich somit im Verarbeitungsverzeichnis des Unternehmens wiederfinden. Gleichzeitig ist die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten hinreichend zu informieren.
Löschfristen der personenbezogenen Daten
Ich Bewerbungsprozess sind personenbezogene Daten zu löschen, sobald der Bewerbungsprozess abgeschlossen ist. Über diesen Zeitraum hinaus dürfte eine Verarbeitung nur dann stattfinden, wenn die betroffene Person eine Einwilligung für eine längere Verarbeitung ihrer personenbezogenen Daten aus dem Bewerbungsprozess erteilt hätte.
Bei Beendigung von Arbeitsverhältnissen müsste auch grundsätzlich eine Löschung der verarbeiteten personenbezogenen Daten stattfinden, jedoch gibt es in diesem Zusammenhang zahlreiche gesetzliche aufbewahrungsfristen Komma die einer sofortigen Löschung entgegenstehen. So sind etwa Emails oder Gehaltsabrechnungen für 11 Jahre aufzubewahren. Es ist also stets zu prüfen, ob einer zeitnahe Löschung bei Beendigung des Arbeitsverhältnisses gesetzliche Aufbewahrungsfristen entgegenstehen. Sollte dies der Fall sein Komma sind diese gesetzlichen Fristen zu berücksichtigen.
Auskunftsanspruch
Gemäß Art 15 DSGVO hat jede betroffene Person das recht, von dem für die Verarbeitung Verantwortlichen zu erfahren, welche sie betreffenden personenbezogenen Daten verarbeitet werden. Dieses Auskunftsrecht kann folglich auch ein Arbeitnehmer oder eine Arbeitnehmerin gegenüber der Arbeitgeberseite geltend machen. Sofern ein solches Auskunftsrecht geltend gemacht wird Komma was häufig in bereits belasteten Arbeitsverhältnissen geschieht, empfiehlt es sich Komma den Datenschutzbeauftragten des Unternehmens mit einzubeziehen, denn durch die DSGVO ist der präzise vorgegeben, welchen Inhalt eine entsprechende Antwort auf einen Auskunftsanspruch verpflichtend haben muss. Überdies muss die Antwort gegenüber der Arbeitnehmerin oder des Arbeitnehmers unverzüglich, wie jedoch jedenfalls innerhalb eines Monats nach Eingang des Antrags stattfinden. Diese Frist lässt sich nur in wenigen Ausnahmefällen verlängern.
Einführung einer Datenschutzrichtlinie
Von besonderer Bedeutung für Unternehmen ist die Einführung einer Unternehmensrichtlinie zum Datenschutz. Die Einführung einer solchen Richtlinie ist zwar nicht verpflichtend, aber dennoch dringend zu empfehlen.
Dies geht deshalb, weil Arbeitnehmerinnen und Arbeitnehmer meist erst durch eine entsprechende Unternehmensrichtlinie konkret zur Einhaltung des Datenschutzes im Zuge ihrer Arbeitstätigkeit angewiesen werden. Findet eine solche Anweisung durch die Arbeitgeberseite nicht statt, fehlt es unter Umständen bereits an der Pflicht eines Arbeitnehmers oder einer Arbeitnehmerin zur Einhaltung des Datenschutzes. Ein Arbeitgeber könnte seinem Personal dann auch nur schwer eine mit arbeitsrechtlichen Sanktionen verknüpfte Pflichtverletzung vorwerfen.
Verpflichtung zur Vertraulichkeit
Die Beschäftigten von Unternehmen sind zur Vertraulichkeit zu verpflichten. Damit ist gemeint, dass den Beschäftigten bei Begründung ihres jeweiligen Arbeitsverhältnisses das Formular einer Verpflichtungserklärung zur Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Daten präsentiert wird und diese sich mit ihrer Unterschrift entsprechend zur Wahrung der Vertraulichkeit der personenbezogenen Daten verpflichten, von denen sie im Rahmen ihrer Arbeitstätigkeit Kenntnis erlangen. Ein entsprechendes Formular sollte regelmäßig zusammen mit einem Merkblatt zur Erläuterung der Vertraulichkeitspflichten an Beschäftigte ausgegeben werden.
Datenschutz im betrieblichen Eingliederungsmanagement (BEM)
Besonders erwähnenswert an dieser Stelle ist das betriebliche Eingliederungsmanagement, da an dieser Stelle in der Praxis häufig Fehler im Umgang mit dem Datenschutz passieren. Da im Zuge des betrieblichen Eingliederungsmanagements regelmäßig Gesundheitsdaten und somit besonders sensible personenbezogene Daten verarbeitet werden, besteht bereits mit dem Einladungsschreiben zum BEM die Notwendigkeit zur Erteilung von Datenschutzhinweisen. Im Zuge des betrieblichen Eingliederungsmanagements selbst, dürfen darüber hinaus nur erforderliche personenbezogene Daten verarbeitet werden.
Einem Unternehmen, welches sich hieran nicht hält und in Bezug auf den Datenschutz fehlerhaft agiert, kann unter Umständen ein nicht ordnungsgemäßes betriebliches Eingliederungsmanagement vorgeworfen werden. Da das BEM jedoch üblicherweise Wirksamkeitsvoraussetzung für eine personenbezogene Kündigung ist, kann eine Kündigung des Arbeitsverhältnisses an einem datenschutzrechtlich fehlerhaften BEM scheitern. Es empfiehlt sich deshalb aus Unternehmensperspektive, im Falle eines beabsichtigten betrieblichen Eingliederungsmanagements auch auf datenschutzrechtlicher Ebene fachkundige Unterstützung wahrzunehmen.
Zusammenfassung
Die vorstehenden Informationen dienen selbstverständlich nur als erste kompakte Informationen. Der Datenschutz in der Personalabteilung ist in aller Regel weitaus tiefergehender und umfassender. Es empfiehlt sich deshalb, Leitlinien und Checklisten in Unternehmen zu integrieren Zuständigkeiten zu vergeben, um hiermit die Umsetzung des Datenschutzes in der Personalabteilung umfassend sicherzustellen.