Datenschutz nach der DSGVO: Weshalb Personaler jetzt weiterlesen sollten!
Datenschutz, Recht auf informationelle Selbstbestimmung, Informationspflichten und Transparenz sind nur einige der zentralen Begriffe und Rechtsgedanken, die mit der neuen Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018 auch in Deutschland Geltung beanspruchen. Diese Grundsätze wie auch die übrigen Regelungen der DSGVO sind dabei von Unternehmen einerseits gegenüber Kunden und sonstigen Außenstehenden, aber gerade auch gegenüber den eigenen Mitarbeitern oder Bewerbern zu wahren. Die Einhaltung der datenschutzrechtlichen Vorgaben wird dabei vor allem durch den „Risikofaktor Mensch“ gefährdet. Insbesondere der HR-Bereich von Unternehmen hat fast bei jeder Tätigkeit mit der Verarbeitung personenbezogener Daten zu tun. Egal ob Bewerbungen, Urlaubsplanung, Talentpool, Fortbildungen, alle verarbeiteten Daten sind personenbezogen. Der HR-Bereich von Unternehmen rückt daher bei der Umsetzung der Vorgaben der DSGVO besonders in den Mittelpunkt. In diesem Artikel soll ein besonderes Augenmerk auf die Bedeutung von Mitarbeitern im Personalwesen oder HR für den innerbetrieblichen Datenschutz liegen.
Weshalb sind gerade Personaler so wichtig für den Datenschutz?
HR-Mitarbeiter haben insbesondere deshalb eine herausgehobene Bedeutung für die Umsetzung der Vorgaben der DSGVO, da sie einerseits Personaldaten und andererseits durch die Verarbeitung von Bewerbungen auch mit einer Vielzahl von personenbezogenen Daten von Externen in Verbindung kommen. Diese Tätigkeit an der Schnittstelle von externen und internen personenbezogenen Daten und die Vielzahl von Daten, mit denen HR-Mitarbeiter täglich arbeiten, macht die Rolle des HR-Mitarbeiters für den Datenschutz zu einer Besonderen. Um die hohen Bußgelder zu vermeiden, die mit der neuen DSGVO für datenschutzrechtliche Verstöße einhergehen, sollten daher insbesondere HR-Mitarbeiter nach den neuen Vorgaben der DSGVO geschult werden.
Bei Verletzung datenschutzrechtlicher Vorschriften in Bezug auf Personal- oder Bewerberdaten, z.B. bei Veröffentlichung von Personaldaten infolge von Datenpannen, drohen dem Unternehmen zudem große Image- und Reputationsschäden. Personal- und Bewerberdaten gelten in der öffentlichen Wahrnehmung als besonders schutzwürdig. Um diese Schäden zu vermeiden, sollten HR-Mitarbeiter, v.a. Leiter von Personalabteilungen, daher auf eine genaue Dokumentation der Einhaltung der datenschutzrechtlichen Vorschriften achten, um bei entsprechenden Vorwürfen zeitnah reagieren und das Gegenteil beweisen zu können.
Worauf müssen HR-Mitarbeiter besonders achten?
Wegen des häufigen Umgangs mit Personal- und Bewerberdaten kommt es zudem vor, dass Unternehmensverantwortliche die Einhaltung von datenschutzrechtlichen Vorgaben primär mit dem HR-Department verbinden und deren Einhaltung entsprechend von HR-Mitarbeitern einfordern. HR-Mitarbeiter, v.a. der HR-Manager, haben in der Regel den besten Überblick über die datenschutzrechtlichen Prozesse (v.a. Software, Cloud-Systeme), die die Einhaltung der Vorgaben der DSGVO absichern sollen. Diese beziehen sich zum einen auf die Speicherung von Personaldaten und zum anderen auf den Umgang mit Löschungspflichten (Ablehnung eines Bewerbers, Beendigung des Arbeitsverhältnisses), Löschungsrechten, Anonymisierungspflichten usw. Gleichzeitig müssen Personaler auch wissen, wann Daten trotz grundsätzlicher Löschpflichten gespeichert werden dürfen (etwa, wenn sie zur Einhaltung eines Vertragszwecks wie der Auszahlung von Rentenansprüchen notwendig sind) und wann eine zusätzliche Einwilligung (z.B. Speicherung der Daten von abgelehnten Bewerbern in einem Talentpool) des Betroffenen erforderlich ist.
Daneben trifft die Personalabteilung auch die Pflicht, die Umsetzung der übrigen Betroffenenrechte zu gewährleisten, beispielsweise das Recht auf Auskunft (hier ist vor allem eine zeitnahe Reaktion erforderlich), das Recht auf Berichtigung und das durch die DSGVO neu geschaffene Recht auf Datenübertragbarkeit gemäß Artikel 20 DSGVO. Beim Wechsel eines Mitarbeiters von einem Unternehmen zu einem anderen, kann angenommen werden, dass er grundsätzlich das Recht hat, seine Daten von einer HR-Datenbank auf die HR-Datenbank des neuen Unternehmens zu übertragen oder automatisch übertragen zu lassen. Bisher ist nicht ganz geklärt ob dieses grundsätzlich für den Wechsel von Anbietern sozialer Medien geschaffene Recht auf Datenübertragbarkeit auch für den Wechsel des Arbeitgebers gelten soll, jedoch spricht aktuell vieles dafür. In diesem Fall hat auch die Personalabteilung dafür Sorge zu tragen, dass die Daten in einem einfachen, maschinenlesbaren Format auf die HR-Datenbank des neuen Arbeitgebers übertragen werden (vgl. Artikel 20 DSGVO). HR-Verantwortliche sollten auch die Installation und das Updaten dieser Prozesse genau dokumentieren um die Einhaltung der DSGVO-Vorgaben durch das Unternehmen nachweisen zu können.
Welche Aufgaben haben HR-Manager dabei?
Zudem kommen vor allem dem HR-Manager weitere Aufgaben zu, die die Einhaltung der Vorgaben der DSGVO sichern sollen. Insbesondere kann er die Information und Schulung von Mitarbeitern im Bereich des Datenschutzes vorantreiben und somit auch die Pflicht des Unternehmens erfüllen, den Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben gemäß Artikel 39 Abs. 1 lit. b) DSGVO (Pflicht, Mitarbeiter bezüglich Datenschutz zu schulen) zu unterstützen. Zudem kann durch vom HR-Bereich angeregte Schulungen gewährleistet werden, dass die Mitarbeiter über die Meldepflichten nach der DSGVO gemäß Artikel 33 und 34 informiert sind und diese daher bei Datenpannen rechtzeitig und zügig umsetzen können.
Wichtig ist auch, dass sich einige der Kernprinzipien der DSGVO, wie die Grundsätze der Datensparsamkeit und Transparenz, scheinbar gerade auch an Personaler zu richten scheinen. Ihnen obliegt es trotz eventueller Vorteile für die Analyse innerbetrieblicher Vorgänge oder möglicher Talentpools, diese Grundsätze gerade auch im täglichen Umgang mit Daten zu wahren. Der Grundsatz der Datensicherheit gebietet es zudem besonders auf die Verschlüsselung von Personaldaten zu achten, so sollte Mehrfachauthentifizierung zu einem Must-Have bei der Verarbeitung von Personaldaten erklärt werden.
Welche Rolle spielen HR-Mitarbeiter bei der neuen Beweislastverteilung durch die DSGVO?
Im Unterschied zur bisherigen Rechtslage müssen Unternehmen die Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO proaktiv nachweisen und nicht erst dann reagieren, wenn ein Mangel festgestellt wurde. Die damit einhergehende Beweislastumkehr gerade im Umgang mit unzufriedenen Mitarbeitern, die Verletzungen datenschutzrechtlicher Vorschriften behaupten, erfordert einigen Aufwand, um im Falle des Falles vorbereitet zu sein. Regelmäßige Informationen gegenüber den Aufsichtsbehörden und den Mitarbeitern sowie die Dokumentation aller durchgeführten Schritte, fallen daher ebenfalls in den zentralen Aufgabenbereich der HR-Mitarbeiter.
Datenschutz-Schulungen sind auch für Personaler notwendig!
Da HR-Mitarbeiter in einem besonderen Fokus bei der Einhaltung datenschutzrechtlicher Vorgaben stehen, sollten sie neben den allgemein zu empfehlenden Mitarbeiterschulungen im Bereich des Datenschutzes, speziellen Schulungen für HR-Mitarbeiter unterzogen werden. Dabei sollte ein Problembewusstsein für die sensiblen Bereiche des Umgangs mit personenbezogenen Daten geschaffen werden, ebenso wie die Fähigkeit und Bereitschaft, die Vorgaben der DSGVO umzusetzen.
Ebenfalls zu beachten ist, dass Personaldaten oftmals zu den gemäß Artikel 9 DSGVO besonders schützenswerten personenbezogenen Daten gehören können, was etwa für die ethnische Herkunft oder Religionszugehörigkeit zutrifft. Hier ist ein besonderes Augenmerkt der HR-Mitarbeiter darauf zu legen, dass die Verarbeitung dieser speziellen Kategorie personenbezogener Daten nur unter den Voraussetzungen des Artikels 9 Abs.2 (z.B. bei Einwilligung oder zum Gesundheitsschutz des Mitarbeiters) zulässig ist.
Was gilt für den Beschäftigtendatenschutz?
Die DSGVO ermöglicht es den Mitgliedstaaten der EU durch sog. Öffnungsklauseln bestimmte Bereiche des Datenschutzes selbst zu regeln. Einer dieser Bereiche ist der Beschäftigtendatenschutz. Er ist in § 26 BDSG neu für Deutschland geregelt worden. Grundsätzlich dürfen demnach personenbezogene Daten von Beschäftigten verarbeitet werden, wenn sie der Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses oder der Aufdeckung von Straftaten dienen, für die ein konkreter Verdacht besteht. Zudem ist eine Verarbeitung der Daten von Beschäftigten zulässig, wenn sie aus Gesetz, Tarifvertrag o.ä folgt um die Interessen der Beschäftigten zu schützen. Hierfür ist jedoch immer zu prüfen, ob die Datenverarbeitung für das Erreichen dieses Zweckes wirklich erforderlich ist.
Wird für die Verarbeitung personenbezogener Daten eine Einwilligung der Beschäftigten eingeholt, so muss diese freiwillig erteilt werden. Dabei ist eine mögliche Abhängigkeit der Beschäftigten vom Arbeitgeber zu berücksichtigen, jedoch ebenso mögliche rechtliche oder wirtschaftliche Vorteile einer möglichen Einwilligung.
HR-Mitarbeiter fallen dabei nicht nur unter den Schutzbereich des § 26 BDSG neu, sondern sind auch für die Einhaltung seiner Vorgaben gegenüber den übrigen Beschäftigen verantwortlich. Neben den genannten Inhalten, kann dies auch die Verarbeitung besonders sensibler Daten oder Daten im Zusammenhang mit Tarifverträgen betreffen.
Fazit und Handlungsempfehlung
HR-Mitarbeiter, v.a. der HR-Manager stehen im unmittelbaren Fokus bei der Umsetzung zentraler Vorgaben der DSGVO. Die hohen Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4% des Umsatzes können daher vor allem durch eine gezielte Schulung von HR-Mitarbeitern vermieden werden.
Die Autoren:
lawpilots bietet innovative und besonders praxisnahe Online-Kurse für die rechtlichen Fragen der Digitalisierung an. Kurse: Datenschutz im Personalwesen, Datenschutz für alle Mitarbeiter, IT-Sicherheit für alle Mitarbeiter. Die Devise von lawpilots: Recht.Einfach.Verstehen!
Dr. Dieter Kerkfeld ist CEO und Co-Founder von lawpilots hat im Anschluss an seine Zeit als Berater bei McKinsey & Company umfangreiche Erfahrung im Aufbau von E-Learning-Plattformen gesammelt.
Kathrin Schürmann ist Rechtsanwältin bei Schürmann Rosenthal Dreyer und Co-Founder von lawpilots. Für ein optimales Lernerlebnis kooperiert die Rechtsexpertin eng mit den Lernpsychologen und E-Learningspezialisten von lawpilots.