Personaldaten: Datenschutzregeln und Tipps für die Verwaltung
Egal, wie groß oder klein: Um den Datenschutz kommt kein Unternehmen herum. Arbeitgeber wissen eine Menge über ihre Beschäftigten und tragen damit eine große Verantwortung. Die EU und in Deutschland legen hohe Maßstäbe fest für alle, die personenbezogene Daten speichern und verwenden.
Personaldaten in Unternehmen bilden da keine Ausnahme. Welche Daten fallen darunter? An welche Regeln und Grundsätze müssen sich Arbeitgeber halten? Und wie setzen sie den Datenschutz im Alltag am besten um? Dieser Ratgeber erklärt die Details und gibt praktische Tipps.
Mit Personio Personaldaten rechtssicher speichern und verwalten.
Definition: Was sind Personaldaten?
Personaldaten sind personenbezogene Daten (Personendaten) von Beschäftigten und Bewerbenden, die in Unternehmen gespeichert und verarbeitet werden.
Zu den Personaldaten gehören:
Name, Adresse und Kontaktdaten
Höhe und Zusammensetzung von Lohn oder Gehalt, Entgeltabrechnungen
Steuerklasse und -merkmale, Religionszugehörigkeit
Bankverbindung
Angaben zu Ausbildung, Qualifikation und beruflichem Werdegang (Lebenslauf), Zeugnisse, Zertifikate
Angaben zu Weiterbildungen, Beförderungen oder Veränderungen der Tätigkeit
Leistungsbewertungen, Zielvereinbarungen, Feedback aus Personalgesprächen
Urlaubsanträge, Arbeits- und Abwesenheitszeiten
Foto- oder Videoaufnahmen, auf denen Mitarbeitende identifizierbar sind
Gesundheitsdaten
biometrische Daten, wie Fingerabdrücke
Der Begriff Personaldaten (oder Mitarbeiterdaten) ist gesetzlich nicht definiert; darunter können praktisch alle personenbezogenen Daten im Unternehmenskontext fallen.
Datenschutzregeln für Personaldaten
Für Mitarbeiterdaten gelten die Datenschutzregeln, die allgemein für Personendaten in der DSGVO (Europäische Datenschutzgrundverordnung) und dem BDSG (Bundesdatenschutzgesetz) festgelegt sind. Der Umgang speziell mit Personendaten von Beschäftigten oder Bewerber:innen wird im Wesentlichen nur in zwei Paragraphen erwähnt:
§26 BDSG: Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
§88 BDSG: Datenverarbeitung im Beschäftigungskontext
Welche Grundsätze und Regeln gelten für die Erhebung und Verarbeitung von personenbezogenen Daten (und damit auch von Personaldaten)?
Grundsatz der Erforderlichkeit
Gemäß § 6 DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich verboten, solange sie nicht ausdrücklich erlaubt ist (Verbot mit Erlaubnisvorbehalt). Sie kann erlaubt werden, sofern eine von drei Bedingungen erfüllt ist:
Die Betreffenden haben eingewilligt.
Die Datenerhebung ist notwendig, um einen Vertrag zu erfüllen.
Die Datenerhebung ist gesetzlich vorgeschrieben.
§26 Abs. 1 BDSG spezifiziert diese Regelung und erlaubt die Verarbeitung von Personaldaten für Zwecke des Beschäftigungsverhältnisses, etwa für:
Entscheidung über die Begründung eines Beschäftigungsverhältnisses
Durchführung oder Beendigung eines Beschäftigungsverhältnisses
Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung
§88 BDSG führt weitere Zwecke aus, nämlich Management, Planung und Organisation
der Arbeit,
der Gleichheit und Diversität am Arbeitsplatz,
der Gesundheit und Sicherheit am Arbeitsplatz,
des Schutzes des Eigentums der Arbeitgeber oder der Kunden.
Zusammengefasst kann gesagt werden, dass Unternehmen Personaldaten verarbeiten dürfen, um den regulären Arbeitsbetrieb organisieren und ihre Pflichten als Arbeitgeber erfüllen zu können.
Abwägung
Allerdings erlaubt diese Regel Arbeitgebern nicht, grundsätzlich alle Daten ihrer Beschäftigten und Bewerbenden zu erheben und zu nutzen. Für jedes einzelne Datum muss jeweils abgewogen werden, ob die Verarbeitung erforderlich ist. Drei Kriterien müssen erfüllt sein:
Eine Maßnahme muss den verfolgten Zweck erfüllen oder zumindest fördern.
Es muss die Maßnahme gewählt werden, die (mit gleichem Erfolg) am wenigsten in die Persönlichkeitsrechte von Personen eingreift.
Der Erfolg einer Maßnahme muss in einem vernünftigen Verhältnis zum Eingriff in die Persönlichkeitsrechte stehen.
Besondere Kategorien
§ 9 BDSG zählt eine Reihe von besonders schutzwürdigen Daten auf, nämlich
Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
genetische Daten,
biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten,
Daten zum Sexualleben oder der sexuellen Orientierung.
Die Verarbeitung solcher Daten ist untersagt und kann wiederum in bestimmten Fällen erlaubt werden. Die Hürden dafür sind hoch: Der Zweck der Verarbeitung muss deutlich wichtiger sein als der Schutz der Persönlichkeit der einzelnen Personen.
Grundsatz der Datenminimierung
§ 5 DSGVO schreibt vor, dass möglichst wenige personenbezogene Daten verarbeitet werden sollen: nur so viele wie nötig, um den angestrebten Zweck zu erreichen.
Angaben zum Familienstand etwa oder zu Hobbys sind für ein Arbeitsverhältnis irrelevant; Personalabteilungen dürfen solche Informationen also nicht verlangen und ohne Einwilligung speichern.
Grundsatz der Zweckbindung
Personenbezogene Daten dürfen nur für die Zwecke verarbeitet werden, für die sie zuvor erhoben worden sind. Der Zweck darf nachträglich nur verändert werden, wenn der neue Zweck mit dem ursprünglichen vereinbar ist, wenn die Betreffenden einwilligen oder wenn es gesetzlich vorgeschrieben wird.
Wenn etwa Videoaufnahmen ausdrücklich zum Schutz vor Einbruch und Diebstahl gemacht werden, dürfen die Aufnahmen später nicht verwendet werden, um die Leistung der Beschäftigten zu beurteilen.
Informations- und Auskunftspflicht
Sobald Arbeitgeber Daten von Beschäftigten und Bewerbenden verarbeiten, müssen sie diese über Folgendes informieren:
Verarbeitete Daten
Zweck der Verarbeitung
Rechtsgrundlage der Verarbeitung (berechtigte Interessen, Einwilligung, vertragliche oder gesetzliche Pflichten)
Dauer der Speicherung
Rechte der Betroffenen
Widerrufbarkeit von Einwilligungen
Beschwerderecht bei der Aufsichtsbehörde
Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden)
Beschäftigte und Bewerbende können darüber hinaus jederzeit Auskunft über die oben genannten Angaben sowie Einsicht in alle über sie gespeicherten Daten verlangen.
Einwilligung als Rechtsgrundlage
Wenn für die Datenverarbeitung eine Einwilligung erforderlich ist, müssen laut § 26 Abs. 2 BDSG folgende Kriterien erfüllt sein:
Die Einwilligung muss freiwillig erfolgen,
in Schriftform erfolgen und
zweckgebunden sein.
Die Person muss über ihr Widerrufsrecht informiert werden.
Aufbewahrungs- und Löschpflichten
Laut § 17 DSGVO dürfen Daten nur solange gespeichert werden, sofern es für die vorgesehenen Zwecke erforderlich ist. Danach müssen sie gelöscht werden. Wenn der Gesetzgeber jedoch vorschreibt, dass gewisse Daten für eine Zeit aufbewahrt werden müssen, setzt diese Regel das Löschgebot außer Kraft. (Die gesetzlichen Aufbewahrungsfristen sind jeweils von der Art der Daten abhängig, zudem existieren branchenspezifische Vorschriften.)
Nach der Ablehnung einer Bewerberin muss ein Unternehmen deren Daten etwa aus der Recruiting-Software löschen. (Es sei denn, die Bewerberin willigt freiwillig in die Speicherung ein.) Da E-Mails per Gesetz bis zu 11 Jahre archiviert werden müssen, bleiben in E-Mails gespeicherte Daten der Bewerberin erhalten.
Mit Personaldaten von Beschäftigten ist es ähnlich. Leistungsbeurteilungen werden nicht mehr benötigt, nachdem Mitarbeitende aus einem Unternehmen ausgeschieden sind und das Zeugnis erstellt wurde. Sie müssen gelöscht werden. Gehaltsabrechnungen dagegen müssen für Nachprüfungen in jedem Fall bis zu 11 Jahre aufbewahrt werden.
Wer hat Zugriff auf Personaldaten?
Selbst wenn Arbeitgeber Personaldaten verarbeiten dürfen, dürfen sie diese nicht unbegrenzt nutzen oder intern jedem Zugriff darauf zu gewähren. Der Grundsatz der Zweckbindung gilt auch hier. Personaldaten dürfen nur von bestimmten Personen zu bestimmten Anlässen genutzt werden, wenn es für den vorgesehenen Zweck notwendig ist.
Personalabteilung
Nur zuständige Mitarbeitende der Personalabteilung dürfen auf Personaldaten zugreifen, etwa um die Entgeltabrechnung zu erstellen oder um Mitarbeitende zu beraten.
Vorgesetzte und Geschäftsführung
Vorgesetzte dürfen nur dann auf Personaldaten (oder die Personalakte) zugreifen, wenn sie sie für Entscheidungen oder im Rahmen ihrer Führungsarbeit benötigen, etwa für die Vorbereitung und Durchführung eines Personalgesprächs oder für die Planung von Neueinstellungen.
Betriebsrat
Der Betriebsrat hat keine besonderen Ansprüche auf Einsicht in Mitarbeiterdaten. Er bekommt nur dann Zugriff, wenn er Daten für bestimmte Aufgaben benötigt, etwa für die Entscheidung über Abmahnungen oder Kündigungen. In bestimmten Fällen ist zudem erst eine Einwilligung der Beschäftigten erforderlich. Arbeitgeber sollten Beschäftigte grundsätzlich darüber informieren, wenn der Betriebsrat Einsicht in Personaldaten oder die Personalakte nehmen möchte.
Welche Daten darf der Arbeitgeber veröffentlichen?
Dürfen Arbeitgeber Daten Ihrer Mitarbeitenden auf der Website oder in einer Broschüre veröffentlichen? Hier lässt sich der Grundsatz der Erforderlichkeit anwenden: Gerichte haben bestätigt, dass Arbeitgeber Daten wie Name, Tätigkeit, (dienstliche) E-Mail-Adresse und Telefonnummer der Beschäftigten ohne deren Einwilligung veröffentlichen dürfen. Dies ist erforderlich, damit Kolleg:innen und Geschäftspartner Kontakt mit ihnen aufnehmen können. Fotos oder Angaben zum Lebenslauf sind dafür jedoch nicht erforderlich; solche Daten dürfen nur mit Einwilligung veröffentlicht werden.
Datenschutzkonforme Personaldatenverwaltung durch Arbeitgeber
Wie gehen Unternehmen verantwortungsvoll mit den Daten Ihrer Beschäftigten und Bewerbenden um? Wie stellen sie sicher, dass alle Datenschutzvorschriften im HR-Kontext eingehalten werden?
Mitarbeitende auf Datenschutz verpflichten und dafür schulen
Alle Mitarbeitende, die Personaldaten (anderer) verarbeiten, müssen verpflichtet werden, den Datenschutz einzuhalten und
Daten nur für die vorgesehenen Zwecke zu nutzen,
nicht an unbefugte Personen weiterzugeben und
alle vorgeschriebenen Maßnahmen für die Wahrung des Datenschutzes wahrzunehmen.
Arbeitgeber müssen Mitarbeitende eine entsprechende Erklärung unterschreiben lassen. Zudem sollten Mitarbeitende intensiv geschult werden, wie sie Datenschutzregeln am Arbeitsplatz anwenden und mit Personaldaten umgehen müssen.
Personalprozesse datenschutzkonform gestalten
Als Nächstes müssen Unternehmen alle Prozesse datenschutzkonform gestalten: Sie müssen definieren, welche Daten erhoben und verarbeitet werden, für welche Zwecke, wie lange sie gespeichert und wann sie gelöscht werden. Sie müssen festlegen, wie und wo die Daten erhoben und gespeichert werden und wer Zugriff hat. All dies wird am besten in einem Verfahrensverzeichnis beschrieben und, sofern vorhanden, von Betriebsrat und Datenschutzbeauftragten geprüft.
Daten technisch und organisatorisch schützen
Zuletzt müssen die Prozesse technisch und organisatorisch umgesetzt werden. Im Alltag muss gesichert sein, dass alles nach den Datenschutzregeln abläuft. Wenn Personaldaten auf Papier erfasst und abgelegt werden, ist das kaum und nur mit extrem hohem Aufwand möglich. Formulare etwa, die offen auf dem Schreibtisch liegen oder in den Müll geworfen werden, sind nicht datenschutzkonform. Praktisch jeder könnte im Vorbeigehen die Angaben darauf lesen und für eigene Zwecke missbrauchen. Dasselbe gilt für Personalakten aus Papier, die mit ins Homeoffice genommen werden.
Deutlich besser sieht es aus, wenn Mitarbeiterdaten konsequent digital in einer Personalsoftware erfasst und verwendet werden. Alle Nutzende haben einen eigenen, geschützten Zugang. Mit einem Rechtesystem kann genau festgelegt werden, wer welche Daten einsehen und nutzen darf. Jeder Zugriff wird protokolliert. Über Automatisierungsregeln kann eingestellt werden, welche Daten wie lange gespeichert und wann sie gelöscht werden. Die Personalakten und -daten sind digital sicher gespeichert und geschützt.
Kostenloser Ratgeber: Welche Personalsoftware ist die richtige für Sie?
Personaldatenverwaltung: Excel vs. Personio
Dass Personaldaten besser digital verwaltet werden, ist klar. Aber reicht dafür nicht eine Excel-Tabelle? Wie schneiden Excel und die Software Personio in Sachen Datenschutz ab?
| Excel-Tabelle | Personio |
|---|---|
| Wer die Tabelle öffnen kann, hat Zugriff auf alle Daten und kann alles damit machen. | Nutzende haben jeweils nur Zugriff auf Daten, für die sie die Berechtigung haben. |
| Daten werden oft auf schlecht gesicherten Systemen gespeichert, etwa auf dem persönlichen Computer. | Daten werden zentral gespeichert und nur über die Software abgerufen, auch zum Beispiel im Homeoffice. |
| Es gibt keine Kontrolle über Kopien, die im Umlauf sind. | Die Personaldaten sind verschlüsselt in hochsicheren Rechenzentren gespeichert. |
| Der Versand per E-Mail ist potenziell unsicher. | HR Herr:in über den Daten: Mitarbeitende machen Änderungen in ihrer digitalen Personalakte zwar selbst, aber nur mit Vorbehalt. Erst wenn HR oder die Führungskraft die Änderungen bestätigt, werden sie gespeichert. |
| Jeder kann Daten verändern. | Die Einhaltung des Datenschutzes kann leicht nachgewiesen werden. Mitarbeitende können selbst die Daten einsehen, die über sie gespeichert sind. |
| Es ist schwer nachvollziehbar, wer die Tabelle wann geöffnet und Daten verändert hat. | Für die Aufbewahrung und Löschung von Daten können feste Regeln definiert werden. |
| Unternehmen können gegenüber Beschäftigten und Behörden nicht nachweisen, was genau sie mit den Daten machen. | |
| Es geht leicht der Überblick verloren, welche Daten wie lange gespeichert und welche gelöscht werden müssen. |
Hier finden Sie weitere Informationen zu Personio: zur digitalen Personalakte sowie zum Rollen- und Rechtesystem.
