Datenschutz im Unternehmen – der Umgang mit Personaldaten in der Personalabteilung

Im Jahre 2018 machte die Europäische Union (EU) ernst.

Die fortschreitende Digitalisierung, das Ansteigen des bargeldlosen Zahlungsverkehrs sowie die zunehmende Attraktivität des E-Commerce verursachten einen noch nie dagewesenen Datenfluss. Ohne eine entsprechende Verordnung konnten die Persönlichkeitsrechte der Bürger nicht mehr geschützt werden, wodurch sich dem Datenmissbrauch und der Cyberkriminalität Tür und Tor öffneten.

Daraufhin wurde auf EU-Ebene die Datenschutz-Grundverordnung (DSGVO) erlassen. Für Unternehmen und deren Personalabteilungen sind dadurch einige Pflichten entstanden, da der Schutz von sensiblen Arbeitnehmerdaten in den Vordergrund gerückt ist. 

Schutz personenbezogener Daten im Beschäftigtenverhältnis

Ohne die Speicherung bestimmter personenbezogener Daten ist kein geregeltes Arbeitsverhältnis möglich. Ansonsten könnte weder eine Personalakte geführt noch eine Lohn- und Gehaltsabrechnung erstellt werden. Allerdings besitzen Arbeitnehmer und Arbeitnehmerinnen das Recht, Einblick auf ihre gespeicherten Daten zu erhalten. Zudem müssen sie über die Gründe der Speicherung informiert werden.

Der Datenschutz reguliert diesen sensiblen Part und bestimmt, warum und wie lange diese Daten gespeichert werden. Obendrein gibt er klare Regelungen vor, welche Daten nicht erfasst und gespeichert werden dürfen. Verantwortlich für die Einhaltung der Vorgaben der DSGVO ist dabei entweder ein interner oder ein externer Datenschutzbeauftragter.

Welche Personaldaten können Eingang in die Personalakte finden?

Bisher existiert noch keine allgemeingültige Definition für den Begriff der Personaldaten. Bei den zu schützenden Informationen handelt es sich um Informationen, mit denen Rückschlüsse auf die jeweilige natürliche Person und deren Lebensführung gezogen werden können.

Für Betroffene kann es schwerwiegende Folgen nach sich ziehen, wenn beispielsweise die Krankengeschichte, Bankdaten, private Chatverläufe oder auch nur die E-Mail-Adresse öffentlich gemacht werden. Je nach Arbeitsverhältnis können die folgenden Informationen als Personaldaten gelten:

• Name und Anschrift
• Geburtsdatum
• Telefonnummer
• Steuerklasse
• Versicherungsnummern
• Zeugnisse und Qualifikationen
• Beförderungen
• Biometrische Daten
• Gesundheitsdaten
• Religionszugehörigkeit
• Leistungseinschätzungen.
• Fotos und Videos
• Fehltage
• Urlaubsanträge

Datenschutz als Wettbewerbsvorteil

Der Datenschutz hat heutzutage im öffentlichen Interesse einen hohen Stellenwert eingenommen. Unternehmen werden danach bewertet, wie sie mit ihren Kunden- und Mitarbeiterdaten umgehen. Dies gilt sowohl im B2B- als auch im B2C-Bereich. Damit bringt eine rechtskonforme Vorgehensweise einen harten Wettbewerbsvorteil mit sich.

Datenschutz in der Personalabteilung

Auch wenn die Art der Daten, welche die Personalabteilung speichern und weiterverarbeiten darf, nicht genau definiert ist, gibt die DSGVO klare Vorgaben, wie ein Unternehmen damit umzugehen hat.

Löschung personenbezogener Daten aus der Personalakte

Personenbezogene Daten, die keine Relevanz für die Ausübung der Arbeit oder die Führung des Unternehmens mehr haben, müssen gelöscht werden. Die Einhaltung dieser Vorgabe wird in der Regel von den verantwortlichen Behörden kontrolliert. Wird eine Nichteinhaltung nachgewiesen, kann dieses Verhalten zu hohen Bußgeldern führen.

Beweispflicht liegt beim Unternehmen

Mit der Einführung der DSGVO wird das Unternehmen in die Beweispflicht genommen. Dieser Umstand bringt es mit sich, dass die Personalabteilung ihre Prozesse hinsichtlich Datenspeicherung und -verarbeitung im Detail dokumentieren muss. Unter Umständen muss dies in einem sogenannten Löschkonzept festgehalten werden. Nur so kann bei einer Kontrolle seitens der Behörden jederzeit nachgewiesen werden, dass die Vorgaben der DSGVO eingehalten wurden. Auch hier sind bei Verstößen hohe Strafzahlungen zu erwarten.

Informationspflicht

Alle Unternehmen werden durch die DSGVO verpflichtet, ihre Beschäftigten transparent darüber zu informieren, welche personenbezogene Daten in der Personalakte enthalten sind. In Fällen von Datenpannen oder Cyberkriminalität müssen die Betroffenen innerhalb von 72 Stunden in Kenntnis gesetzt werden.

Härtere Strafen

Besonders schmerzhaft erweist sich für Unternehmen die drastische Erhöhung der Strafen, die mit der DSGVO einhergehen, wenn die Personalabteilung gegen deren Vorgaben verstößt. Jedes gravierende Vergehen wird mit Bußgeldern bis zu 20 Millionen Euro belegt, aber auch weniger schwere Vergehen können mit bis zu 10 Millionen Euro sanktioniert werden. Alternativ können bei Unternehmen 2 bis 4 Prozent des weltweiten Vorjahresumsatzes geltend gemacht werden.

Die Strafen können vor allem für kleine und mittlere Unternehmen (KMU) existenzbedrohend sein. Daher sind die Vorschriften unabhängig von der Unternehmensgröße unbedingt einzuhalten. Obendrein kann eine Nichtbeachtung zu einem erheblichen Imageverlust führen, welcher in der Regel zu einer Abwanderung der Kundschaft führt.

Pflicht zur Benennung eines Datenschutzbeauftragten

Damit die Vorgaben der DSGVO in der Personalabteilung berücksichtigt werden, empfiehlt sich die Ernennung eines oder einer Datenschutzbeauftragten. Bei Unternehmen, die in ihrer Personalabteilung mehr als 20 Personen beschäftigen, ist die Ernennung einer solchen Kontrollinstanz verpflichtend.

Das Aufgabengebiet eines Datenschutzbeauftragten

Der Schutz von personenbezogenen Daten im Unternehmen beinhaltet ein breites Aufgabenspektrum. In den wenigsten Fällen ist ein Mitarbeiter mit all diesen Kenntnissen ausgestattet. Daher ist es empfehlenswert, auf einen externen Dienstleister zurückzugreifen.

Der Datenschutzexperte ist dafür verantwortlich, dass sich das beauftragende Unternehmen einschließlich Personalabteilung an die gesetzlichen Vorgaben hält. Dabei ist er dazu ermächtigt, die Richtlinien im Betrieb durchzusetzen. Er delegiert Aufgaben und kontrolliert deren Ausführung. Im Wesentlichen handelt es sich dabei um die folgenden Problemstellungen:

• Ausführliche Beratung der Geschäftsführung
• Regelmäßige Erstellung von Gutachten
• Einführung und Überwachung von Maßnahmen zur Datensicherung
• Kontrolle von Arbeitseinsätzen in der Datenverarbeitung
• Sichtung von Protokolldaten
• Bewertung von Maßnahmen, die der Profilbildung dienen
• Kontrolle der Datenübermittlung in außereuropäische Drittstaaten
• Informationsaustausch mit den verantwortlichen Behörden
• Erteilung von datenbezogenen Auskünften
• Monitoring der Datenverwendung in der Marketingabteilung
• Zulässigkeit von innerbetrieblichen Videoüberwachungen

Interner versus externer Datenschutzbeauftragter

Unternehmen, die zur Berufung eines Datenschutzbeauftragten verpflichtet sind, können zwischen zwei Varianten wählen. Der vornehmlich einfachere Weg ist dabei, auf einen verdienten Mitarbeiter zurückzugreifen, der ein hohes Vertrauenspotenzial besitzt. Die innerbetrieblichen Abläufe sind ihm bekannt und die Einarbeitungszeit kann reduziert werden.

Für die Benennung eines externen Datenschutzbeauftragten sprechen dagegen dessen Unabhängigkeit und Neutralität. Externe befinden sich im Gegensatz zur internen Lösung nicht im Spannungsfeld zwischen Unternehmensinteressen und den Vorgaben der DSGVO und können daher frei entscheiden.

Überdies wird gewünscht, dass sich die Beauftragten in der Materie auskennen. Während diese Bedingung bei einem externen Dienstleister als gegeben angesehen werden kann, müssen die infrage kommenden Mitarbeiter erst durch kostenpflichtige Schulungsmaßnahmen auf ihre Aufgabe vorbereitet werden.

Was macht einen guten externen Datenschutzbeauftragten aus?

Bei einem externen Datenschutzbeauftragten ist darauf zu achten, dass dessen Fachkompetenz gesichert ist. Ersichtlich wird dieser Umstand durch entsprechende Zertifikate, die entweder vom TÜV oder von der Industrie- und Handelskammer (IHK) ausgestellt sind.

-------------------

Bildquelle https://pixabay.com/de/photos/datenschutz-it-computer-sicherheit-2117996/