DSGVO im Jahres-Check: Worauf achten in Human Resources?

  • Martina
  • Mai 3, 2019
  • 10 min

Man sagt, dass Daten das neue Öl seien. Sie sind schwer umkämpft, heiß begehrt und stehen unter besonderem Schutz. Unternehmen fördern zutage, was die Daten-Bohrungen hergeben. Kaum an der Erdoberfläche angekommen, landen die Schätze in Speicherdepots, Clouds und in Ordnern. Dass dies auch im Sinn des Datenschutzes geschehen muss, haben wir spätestens seit der Datenschutz-Grundverordnung 2016 – der DSGVO – verstanden. Ja, klar! Aber steckt der Teufel nicht oft auch im Detail? Wir waren in der HR-Abteilung und haben uns mit allgemeinen, aber auch mit speziellen Fragen auseinandergesetzt.

Datenverkehr: Ein Geben und Nehmen

In unserem Alltag treffen wir viele Vorkehrungen, die uns und unsere Lieben vor unterschiedlichen Gefahren schützen sollen: vor Krankheiten, Einbrüchen, Bränden oder vor Schäden. Auf Daten zu achten, kam erst mit der Digitalisierung „in Mode“. Klingt irgendwie logisch. Ist es aber nicht. Denn: Daten waren auch schon vor dem Computer da. In Form von Urkunden, Zeugnissen und Arbeitsverträgen. Überschaubar und lokal waren sie, und nicht unsichtbar wie die Nullen und Einsen in einer Arbeitswelt 4.0. Damals waren sie Zahlen und Buchstaben auf Papier in einem Aktenschrank. Übrigens: Auch die Verarbeitung analoger Mitarbeiterdaten fällt wie ihre digitalen Verwandten unter die DSGVO!

Bevor wir uns die markantesten Merkmale der DSGVO in Erinnerung rufen, wenden wir uns kurz dem Begriff der „Daten“ zu. Er stammt aus dem Lateinischen dare und bedeutet „geben“ bzw. „gegeben“ (datum). Und wir geben in der Tat viel! Bewusst oder auch unbewusst! Im Privatleben wie auch im Beruf!

Was mit den Daten passieren darf, wenn wir zum Beispiel eine Bewerbung erhalten oder einen neuen Mitarbeiter anstellen, das bestimmt u. a. auch die seit dem 25. Mai 2018 geltende DSGVO (seit 2016 in Kraft). Nicht zu vergessen, dass in jedem EU-Land noch die nationalen arbeits-, sozial- und datenschutzrechtlichen Bestimmungen zur Anwendung kommen. In Deutschland etwa ist das Arbeitsrecht in vielen Rechtsverordnungen und Gesetzen aufgesplittet und auch in Österreich wird diese DSGVO vom ArbVG, AVRAG oder dem nationalen Datenschutzgesetz (DSG) begleitet. Gemeinsam mit den jeweiligen nationalen Gesetzgebungen stellt daher die DSGVO auch im HR-Bereich sicher, dass die permanent steigende Datenmenge einer Kontrolle unterzogen und der Mensch in Europa nicht „gläsern“ wird.

dsgvo human recources kununu engage blog

DSGVO: Der Mensch soll nicht „gläsern“ werden.

Datenschutz „for Dummies“

Wir möchten darauf hinweisen, dass dieser Beitrag keinen Anspruch auf Richtig- und Vollständigkeit hat und keine Rechtsberatung ersetzt. Wir sind keine Rechtsanwälte und übernehmen keine Gewähr. Dennoch haben wir unsere Köpfe zusammengesteckt und uns einzelne (!) Merkmale der DSGVO genauer angesehen und sie für dich hier zusammengetragen. Möge dir der eine oder andere Punkt helfen, Dinge im HR-Alltag zu hinterfragen.

Also legen wir los: Im Artikel 1, Ziffer 1 der DSGVO ist vom „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ die Rede. Der Artikel 4, Ziffer 1 besagt weiter, dass zu personenbezogenen Daten „alle Informationen zählen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen“.

Namen, Adressen, Telefonnummern, Geburtsdaten, Versicherungsnummern, etc. fallen darunter. In den Verarbeitungsgrundsätzen im Artikel 5 wird geregelt, wie ein Unternehmen als Daten-Gesamtverantwortlicher personenbezogene Daten gesetzeskonform verarbeitet: also erhebt, erfasst, organisiert, ordnet, speichert, ausliest, abfragt, etc.

Wie das vonstattengehen soll, führen wir hier stichwortartig auf:
  • Rechtmäßig
  • Transparent
  • Nach Treu und Glauben
  • Nachvollziehbar
  • Datenminimierend
  • Zweckgebunden
  • Sachlich richtig
  • Vertraulich

Wir haben verstanden, dass wir als verantwortliches Unternehmen personenbezogene Daten stets rechtmäßig und zweckgebunden verarbeiten müssen. Kurzum: Die Rechtsgrundlagen sollten gegeben und die Speicherung an den gemeinsam vereinbarten Zweck gebunden sein! Was bedeutet das?

Die Daten, die sich uns im Recruiting-Prozess, im Arbeitsvertrag oder beim Mitarbeitergespräch offenbaren, verfolgen immer nur diesen einen bestimmten Zweck und dürfen nicht für andere Zwecke, wie beispielsweise für eine Aussendung verwendet werden. Außer (!) es liegt eine schriftliche und von den Betroffenen unterzeichnete Einwilligungserklärung, ein Vertrag, eine gesetzliche Verpflichtung und/oder eine generelle Betriebsvereinbarung vor. Dazu gleich mehr, nachdem wir uns den besonders schützenswerten Daten gewidmet haben.

Wichtig ist, dass Verantwortliche (Unternehmer) auskunftspflichtig sind, ob Daten verarbeitet werden! Hier wird eine Frist von einem Monat (bis zu drei Monaten) angeführt.

Welche Daten im HR-Bereich besonders schützenswert sind

Die Verarbeitung bzw. die Speicherung von sensiblen Daten – wie die folgenden – bedürfen einem besonderen Schutz. Sie werden in den Erwägungsgründen Nr. 51 – besonderer Schutz sensibler Daten genannt:

  • Ethnische Herkunft
  • Religiöse oder weltanschauliche Überzeugung
  • Gesundheitsdaten
  • Strafrechtlich relevante Daten
  • Biometrische Daten
  • Etc.

Achtung: Besonders schützenswert bedeutet nicht, dass alle anderen Daten etwa nicht zu schützen wären!!! In jedem Fall gilt: Eine unbeabsichtigte, unberechtigte oder unbefugte Offenlegung ist eine Verletzung! Siehe Artikel 4, Ziffer 12.

Wie bereits angeführt, hängt es vom jeweiligen Zweck ab, ob ein Mitarbeiterfoto nach der DSGVO als besonders schützenswert gilt. Wenn beispielsweise ein Foto eines Bewerbers/einer Bewerberin im Recruiting-Prozess gespeichert wird, dann ist dieses nach derzeitigem Stand nicht „besonders schützenswert“. Sollte das Bild jedoch eindeutig zeigen, welcher Religion er oder sie angehört, dann fällt dieses unter dem besonderen Schutz. Auch wenn ich darin erkenne, wie es um ihn oder um sie gesundheitlich bestellt ist. Das gilt übrigens für alle Fotos von meinen Mitarbeitern und Mitarbeiterinnen.

Neben dem Recht auf Löschung, dem Vergessenwerden oder auf Berichtigung, gibt es natürlich noch das Recht auf Widerspruch uvm. Klingt kompliziert und ist es im Einzelfall vielleicht auch. Mehr zum Foto gleich.

Datenschutzkonform denken: Fragen, die helfen

Neben den Verantwortlichen (Unternehmen), den Betroffenen und denjenigen, die in unserem Auftrag Daten weiterverarbeiten (Auftragsverarbeiter), sind es noch die am Geschäft unbeteiligte Dritte, die mit unseren Daten in Berührung kommen, und im unternehmenseigenen Datenschutzkonzept berücksichtigt werden sollten.
Prinzipielle Fragen, die mir im beruflichen Alltag dabei helfen können, datenschutzkonform zu handeln:

  • Welchen Zweck verfolgt die Verarbeitung der Daten?
  • Habe ich eine schriftliche Einwilligung der betroffenen Person?
  • Gibt es einen Vertrag?
  • Gibt es gesetzliche Verpflichtungen?
  • Sind lebenswichtige Interessen der Person zu schützen?
  • Liegen überwiegende berechtigte Interessen des Unternehmens vor?
  • Etc.

Nehmen wir einmal das Beispiel der Lohnverrechnung oder das bereits erwähnte Mitarbeitergespräch. Für die Datenverarbeitung dieser Personaldaten bräuchte ich nach der DSGVO keine zusätzliche Einwilligungserklärung, weil sie zur Durchführung vertraglicher Maßnahmen erforderlich sind.

Ebenso verhält sich das bei gesetzlichen Verpflichtungen. Hier können beispielsweise Betriebsvereinbarungen, Arbeitszeit- und Urlaubsaufzeichnungen und/oder einzelne Meldepflichten schlagend werden, wo keine eigene Einwilligungserklärung erforderlich ist.

Auch ärztliche Aufzeichnungen, Krankenhausaufenthalte oder Arbeitsunfälle fallen demnach in den Bereich der lebenswichtigen Interessen.

Achtung: Bitte stets auf die jeweiligen nationalen Bestimmungen und Gesetze sowie auf die betrieblichen Vereinbarungen achten!

Daten- vs. Brandschutz: Löschen bevor´s brennt!

Wir sehen, dass die Umsetzung der DSGVO nicht so einfach ist und sind damit nicht allein. Es gibt Studien, die belegen, dass es an der Umsetzung in vielen Unternehmen noch hapert. Für viele steht dabei die IT-Sicherheit und nicht unbedingt der Schutz der Daten im Vordergrund. Es würde den Rahmen dieses Beitrags sprengen und wohl auch unseren Wissensstand über die DSGVO, auf die einzelnen datenschutzkonformen Schritte einzugehen. Dennoch möchten wir hier kurz anführen, dass es bei der DSGVO nicht nur auf die Informations- und Betroffenenrechte (Löschung der Daten!), sondern auch auf die technischen und organisatorischen Maßnahmen (Verschlüsselungen, etc.) ankommt. Von den hohen Strafen der Datenschutzbehörde bei einer Verletzung ganz zu schweigen.

Natürlich kann immer etwas passieren: Daten können gehackt oder unbewusst nach außen dringen. Dann „empfiehlt“ sich oder – eher – sollte ein durchdachter und organisierter Datenschutz-Notfallsplan her, der alle notwendigen Schritte (inkl. fristgerechte Meldung bei der Behörde) beinhaltet und worauf alle Mitarbeiter/Mitarbeiterinnen im Unternehmen im Vorhinein geschult sein sollten. Dafür gibt es für jedes Unternehmen eigene Datenschutzkonzepte, die überprüft und auch immer wieder nachjustiert werden müssen. Hier ist vor allem auch der/die Datenschutzbeauftragte im Unternehmen gefordert. So ähnlich wie beim Brandschutz! Mit dem feinen Unterschied, dass wir beim Datenschutz löschen sollten, bevor´s brennt!

Das Löschen von Daten ist im Artikel 5, Absatz 1 geregelt: Daten dürfen bloß solange gespeichert werden, wie es die gemeinsam vereinbarten Zwecke verlangen. Bei einer Bewerbung wären das sechs bis sieben Monate ab der Ablehnung.

Im Zweifelsfall: Schriftliche Einwilligung einholen!

Um ganz sicher zu gehen, sollten wir uns stets fragen: Zu welchem Zweck haben wir das Bild, die Bankverbindung oder das Geburtsdatum gespeichert? Und zu welchem Zweck recherchieren oder verwenden wir personenbezogene Informationen im Recruiting-Prozess? Bei Letzteren wird es wohl eher der Fall sein, dass wir diese Informationen als Entscheidungsgrundlage für eine mögliche Einstellung, etc. heranziehen. Das Nachfragen beim ehemaligen Arbeitgeber könnte da ohne Einwilligung allerdings rechtlich schon problematischer werden.

Sollten sich zum Beispiel diese ursprünglich vereinbarten Zwecke ändern, so empfiehlt die Verordnung als mögliche Rechtsgrundlage eine schriftliche Einwilligung des Mitarbeiters/der Mitarbeiterin einzuholen.

Im Artikel 4, Ziffer 11 oder im Artikel 7 der DSGVO findest du zur Einwilligung folgendes und ein nicht unwesentliches Detail: die Freiwilligkeit! Und als solche ist sie nach der DSGVO auch zu verstehen.

Für den Betroffenen/die Betroffene dürfen keinerlei Konsequenzen entstehen, wenn diese Einwilligung nicht erteilt wird. Natürlich spielen dabei die gesetzlichen Bestimmungen auf der einen und das Verhalten des Managements auf der anderen Seite wesentliche Rollen.

Hinzukommt, dass er oder sie darüber aufgeklärt wurde und dass dies in einer einfachen Sprache passiert ist, die alle im Unternehmen verstehen können. Siehe dazu Artikel 6, Absatz 1.

Bei der Einwilligung geht es daher um die Freiwilligkeit und um eine einfache Sprache, die alle verstehen!

Außerdem muss jedem/jeder klar sein, dass sie oder er diese Erklärung auch jederzeit widerrufen können!

Achtung: „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen“

Beispiele: Mitarbeiterfoto, Dienstplan oder Notfallkontakt

Bleiben wir beim Foto: Wir haben verstanden, dass – wenn wir ein Mitarbeiterfoto auf die Firmen-Website stellen möchten – eine Einwilligung benötigen. Brauchen wir das Bild für den Firmenausweis, dann überwiegen die berechtigten Interessen unseres Unternehmens und eine schriftliche Einwilligung wäre demnach nicht nötig.

dsgvo mitarbeiterfotos kununu engage blog

Die Verwendung von Mitarbeiterfotos ist nur bei berechtigtem Interesse ohne schriftliche Einwilligung möglich.

Wie ist das beim Dienstplan? Auch hier müsste das berechtigte Interesse des Unternehmens überwiegen, wenn wir den Plan aushängen. Wir wollen sehen können, wer im Haus ist und wer nicht. Wenn wir uns an die besonders schützenswerten Daten erinnern, dann sollte es rechtens sein, Urlaube oder Krankenstände zu vermerken. Wichtig dabei ist jedoch, dass darauf nicht ersichtlich ist, wohin der Mitarbeiter/die Mitarbeiterin gefahren ist oder welche Krankheiten dieser/diese hat.

Nehmen wir an, wir haben einen Notfall im Unternehmen. Darf die Telefonnummer und der Namen eines/einer Angehörigen gespeichert und verwendet werden? Auch in diesem Fall nehmen wir das an. Die Speicherung verfolgt den Zweck zur Kontaktaufnahme im Notfall. Auch hier ist keine gesonderte Einwilligung erforderlich, weil das berechtigte Interesse des Unternehmens überwiegt.

Viele Antworten auf interessante FAQs im Hinblick auf Mitarbeiterdaten hat auch die Wirtschaftskammer Österreich (!) unter wko.at veröffentlicht.

Angemessene Beziehungen und vernünftige Erwartungen

Zusammenfassend sagen wir, dass der Schutz dieser sogenannten „Informationen, die sich auf eine identifizierbare natürliche Person beziehen,“ für unser nachhaltiges Datenbewusstsein wichtig ist. Umstritten oder nicht.

Für Human Resources-Verantwortliche macht es den Anschein, dass die berechtigten Interessen eines Unternehmens überwiegen. Ob das wirklich so ist, bleibt nur eine Vermutung.

Im Artikel 47 der Erwägungsgründe ist die rechtmäßige Verarbeitung durch diese Interessen begründet und „dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.“

Neben dem Passus des „nach Treu und Glauben“ kommt es daher stets auf eine angemessene Beziehung der beiden und auf die vernünftigen Erwartungen des/der zu Schützenden an. Wir geben zu, an dieser Stelle ein wenig erleichtert zu sein. Auch bei einer Verordnung wie der DSGVO spielt die Beziehung zwischen dem Mitarbeiter und der Mitarbeiterin zu seinem Chef/seiner Chefin eine wichtige Rolle.

Datenschutz in einer funktionierenden Feedback-Kultur sollte demnach einfacher umzusetzen sein als dort, wo man nicht viel miteinander redet. Und damit wollen wir unseren Datenschutz-Jahres-Check schließen, bevor wir am 25. Mai die erste Kerze der DSGVO-EU-Torte auspusten!

Dem Datenschutz verpflichtet,

euer kununu engage Team

Kostenlos Testen

kununu engage ist ein HR Feedback-Tool, das dir dabei hilft, ein besserer Arbeitgeber zu werden. Durch kontinuierliches und anonymes Feedback der Mitarbeiter, erhältst du wertvolle Einblicke in die aktuelle Stimmung, und die gelebte Transparenz hilft dabei, eine starke Unternehmenskultur aufzubauen.

engage kennenlernen

Newsletter (de)

Keine Neuigkeiten mehr verpassen

Abonniere unseren Newsletter und erhalte regelmäßig Insights zum Thema Mitarbeiter-Engagement, Company Culture und Co.