Die Mitarbeiter:innen in der Personalabteilung – vielen auch unter dem Kürzel HR (Human Resources) bekannt – haben tagtäglich mit Personaldaten zu tun; sei es im Bereich der monatlichen Gehaltsabrechnung oder beim Einpflegen aktualisierter Daten ins System. Dabei spielt der Datenschutz eine zentrale Rolle. Dieser Artikel erklärt, was Personaldaten sind, welche rechtlichen Vorgaben eingehalten werden müssen und welche Maßnahmen Unternehmen umsetzen sollten.
Der Inhalt im Überblick
Was sind Personaldaten?
Wer meint, im breiten Begriffskatalog des Art. 4 der Datenschutz-Grundverordnung (DSGVO) oder im § 2 des Bundesdatenschutzgesetzes (BDSG) eine Definition für den Begriff des Personaldatums zu finden, wird enttäuscht. Dem Teilbegriff Personal entnehmend, lässt sich aber auf Daten von Beschäftigten schließen. Zu beachten ist, dass der Beschäftigtenbegriff im Datenschutzrecht aufgrund von § 26 Abs. 8 BDSG sehr weit gefasst ist. Dieser umfasst nämlich auch Leiharbeitnehmer:innen im Verhältnis zum Entleihenden (s. § 26 Abs. 8 S. 1 Nr. 1 zweite Variante), Bewerber:innen (s. S. 2 erste Variante) oder bereits ausgeschiedene Beschäftigte (s. S. 2 zweite Variante). Der Begriff des Arbeitnehmers/Arbeitnehmerin i.S.v. § 611a Abs. 1 des Bürgerlichen Gesetzesbuches (BGB), des § 5 Abs. 1 S. 1 des Arbeitsgerichtsgesetzes (AGG) oder des § 5 Abs. 1 des Betriebsverfassungsgesetzes (BetrVG) ist dagegen enger gefasst.
Damit lässt sich argumentieren, dass Personaldaten im datenschutzrechtlichen Kontext all jene personenbezogenen Daten i.S.v. Art. 4 Nr. 1 DSGVO i.V.m. § 26 Abs. 8 BDSG sind, die im Zuge der Anbahnung, Durchführung oder Beendigung eines Arbeitsverhältnisses durch den Verantwortlichen (das Unternehmen) verarbeitet werden.
Beispiele für Personaldaten in der Personalabteilung
Solche Daten finden sich zumeist in der (elektronischen) Personalakte des Unternehmens. Dementsprechend sind Personaldaten z. B.:
- Personal- oder Bewerberstammdaten, wie etwa der Vor- und Zuname, die Personalnummer oder die Kostenstelle
- Kommunikationsdaten, wie die Anschrift, die E-Mail-Adresse oder die Handynummer
- Andere Daten aus dem HR, wie weitere Informationen aus der Personalakte. Das sind etwa der Arbeitsvertrag, sonstige Vereinbarungen hierzu, ein Personalfragebogen, Urlaubsanträge, (Arbeits-)Zeugnisse etc.
- Urlaubs- und Fehlzeiten
- Auch können die Steuerklasse, Krankenkasseninformationen oder die Zugehörigkeit zu einer Religionsgemeinschaft mitumfasst sein.
Rechtsgrundlagen für die Verarbeitung von Personaldaten
Bei der Verarbeitung von Personaldaten bilden die Vorschriften der DSGVO und des BDSG (neben möglichen Landesdatenschutzgesetzen) den rechtlichen Rahmen, den es einzuhalten gilt. Die wichtigsten Normen dabei sind:
Verarbeitung zur Erfüllung eines Arbeitsvertrags:
Art. 6 Abs. 1 S. 1 b) DSGVO erlaubt die Verarbeitung, wenn sie zur Erfüllung eines Arbeitsvertrages erforderlich ist. Dies gilt auch bereits in einem Anbahnungs- also vorvertraglichem Verhältnis, wie etwa beim Bewerbungsverfahren. Diese Rechtsgrundlage umfasst damit z. B. die Verarbeitung von personenbezogenen Daten zur Arbeitszeiterfassung, Gehaltsabrechnung oder Bearbeitung von Urlaubsanträgen.
Seit dem Urteil des Europäischen Gerichtshofes (EuGH) vom 30. März 2023 (Az. C-34/21) sollte auf die alleinige Nennung von § 26 Abs. 1 S. 1 BDSG als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten verzichtet werden. Stattdessen sollte nunmehr die Datenverarbeitung für die Zwecke des Beschäftigungsverhältnisses auf Art. 6 Abs. 1 S. 1 lit. b) DSGVO gestützt werden. Nähere Informationen zum EuGH-Urteil finden Sie in unserem Blogbeitrag „EuGH: Kritik am deutschen Beschäftigtendatenschutz“.
Berechtigtes Interesse
Nach Art. 6 Abs. 1 S. 1 f) DSGVO ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung des berechtigten Interesses des Verantwortlichen erforderlich ist und dieses gegenüber den Interessen der betroffenen Person, überwiegt. Diese Rechtsgrundlage erfordert stets einen intensiveren Begründungsaufwand, warum welches Interesse des Unternehmens höher zu gewichten sein sollte als das des betroffenen Personenkreises.
Besondere Kategorien personenbezogener Daten
Der Art. 9 Abs. 2 DSGVO weist eine gewisse Parallelität zu Art. 6 DSGVO auf, jedoch sind die Ausnahmeregelungen strenger. Dieser regelt, wann ausnahmsweise eine Verarbeitung sensibler (besondere Kategorien) personenbezogener Daten rechtmäßig ist und zählt einige Tatbestände auf. Dies sind etwa die ausdrückliche Einwilligung (lit. a) oder zur Gesundheitsvorsorge (lit. h). Zu beachten ist, dass eine irgendwie geartete Interessenabwägung, wie sie es Art. 6 Abs. 1 S. 1 f) DSGVO vorsieht, hier nicht vorhanden ist und damit nicht als Genehmigungstatbestand angeführt werden kann.
Aufdeckung von Straftaten
Nach § 26 Abs. 1 S. 2 BDSG dürfen obige personenbezogene Daten auch verarbeitet werden, wenn dies zur Aufdeckung von Straftaten erforderlich ist. Allerdings müssen hierfür auch die weiteren Voraussetzungen aus der Norm erfüllt sein. Dazu zählen, dass tatsächliche Anhaltspunkte vorliegen, die den Verdacht erhärten, dass eine solche Tat durch den Betroffenen/ die Betroffene begangen sein worden könnte, die Verarbeitung diesbezüglich notwendig zur Aufdeckung ist und dass das schutzwürdige Interesse derselben am Ausschluss der Verarbeitung gegenüber dem Aufdeckungsinteresse des Arbeitgebers nicht überwiegt, wobei hierbei eine Verhältnismäßigkeitsprüfung im Einzelfall zu tätigen ist. Es müssen also auch der legitime Zweck, die Geeignetheit, die Erforderlichkeit und die Angemessenheit geprüft werden.
Einwilligung des Beschäftigten
Die Datenverarbeitung kann auch auf einer ausdrücklichen Einwilligung beruhen. Grundsätzlicher Maßstab für eine solche Einwilligung ist zunächst bei Art. 6 Abs. 1 S. 1 a) DSGVO. Die Mindestvoraussetzungen finden sich in Art. 7 DSGVO und werden um die in § 26 Abs. 2 BDSG aufgeführten Anforderungen ergänzt. Insb. ist nach § 26 Abs. 2 S. 1 BDSG der Umstand zu berücksichtigen, dass ein omnipräsentes Abhängigkeitsverhältnis besteht und dass stets die weiteren Umstände des Einzelfalls entsprechend mitbedacht werden müssen (z. B. die Rahmenbedingungen und der Zeitpunkt der Einwilligung).
Betriebsvereinbarung
Die zweite Alternative des Art. 88 Abs. 1 DSGVO benennt Kollektivvereinbarungen (Betriebsvereinbarungen, Dienstvereinbarungen und Tarifverträge) als weitere Möglichkeit spezifischere Normen zur Gewährleistung des Datenschutzes bei der Datenverarbeitung im Beschäftigungsumfeld zu regeln. Nach § 26 Abs. 4 S. 1 BDSG ist eine Datenverarbeitung von Beschäftigtendaten auf einer solchen Grundlage zulässig. Zu beachten ist dabei, dass das datenschutzrechtliche Schutzniveau hierbei genauso hoch anzusehen ist, vgl. Art. 88 Abs. 2 DSGVO:
„Diese Vorschriften [damit auch die Kollektivvereinbarungen] umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person […]“.
Wichtige Datenschutzgrundsätze beim Umgang mit Personaldaten
Bei der Verarbeitung von Personaldaten müssen die datenschutzrechtlichen Grundsätze eingehalten werden, Art. 5 DSGVO (i. V. m. § 26 Abs. 5 BDSG). Als Grundsätze gelten sie für alle personenbezogenen Daten und damit unabhängig davon, ob es sich im spezifischen um Personaldaten handelt.
Rechtmäßigkeit und Transparenz beim Umgang mit Beschäftigtendaten:
Personenbezogene Daten müssen nach Art. 5 Abs. 1 a) DSGVO auf rechtmäßige Weise, nach Treu und Glauben und in einer für den Beschäftigten nachvollziehbaren Weise verarbeitet werden.
Bei der Verarbeitung von Personaldaten ist damit gemeint, dass diese nur rechtmäßig ist, wenn sie auf einer Rechtsgrundlage (siehe oben) beruht. Beispielsweise das Verwenden der E-Mail-Adresse eines Bewerbers, um diesem eine Einladung zu einem Vorstellungsgespräch zu senden (Art. 6 Abs. 1 S. 1 b) DSGVO).
Das Begriffspaar Treu und Glauben ist ein unbestimmter Rechtsbegriff und in diesem Kontext europarechtlich auszulegen. Treu und Glauben meint in etwa, dass die beabsichtigte Datenverarbeitung angemessen und für die betroffene Person auch vorhersehbar sein sollte. Für die Mitarbeitenden in der Personalabteilung lässt sich eine Annäherung zum englischen „fair“, also gerecht oder eben fair argumentieren. So ist es für einen Bewerber oder eine Bewerberin selbstredend, dass er/sie eine Antwort auf eine Bewerbung erwartet und hierfür auch die entsprechenden personenbezogenen Daten, wie Geschlecht, Name und E-Mail-Adresse verarbeitet werden (insb. für die Anrede). Fair kann aber auch bedeuten, dass die zur Verfügung gestellten Daten nicht dergestalt verwendet werden sollten, dass sie zum ungerechtfertigten Nachteil des Betroffenen gereichen, z. B. bei einer nicht laut ausgesprochenen Altersdiskriminierung, wenn stattdessen Scheinargumente herangezogen werden.
Zuletzt muss auch die Transparenz gewährleistet sein, d. h., dass die betroffenen Personen stets wissen, warum und wie ihre Daten verarbeitet werden. Konkretere Informationen, wie die Transparenz ausgestaltet sein muss, finden sich in den Art. 12 – 14 DSGVO.
Zweckbindung bei der Verarbeitung von Personaldaten:
Der Grundsatz der Zweckbindung besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Außerdem darf es keine Weiterverarbeitung zu einem anderen, mit diesem Zweck nicht zu vereinbarenden Weise geben, Art. 5 Abs. 1 b) DSGVO. Die Datenverarbeitung lediglich auf den in § 26 BDSG erwähnten Zweck des Beschäftigungsverhältnisses abzustellen, wäre nicht zulässig, weil dies nur eine allgemeine Konkretisierung nach Art. 88 Abs. 1 DSGVO darstellt und damit seinerseits einer näheren Umschreibung bedarf, um der Anforderung eines festgelegten, eindeutigen und legitimen Zwecks zu entsprechen. Oder kurz gesagt: Es darf keine Verarbeitung ins Blaue hinein erfolgen. Dies wird aber regelmäßig der Fall sein, wenn lediglich als Zweck der weitreichende Begriff des Beschäftigungsverhältnisses verwendet wird.
Datenminimierung in der Personalabteilung:
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sein. Zudem hat sich der Umfang auf das für die Verarbeitung notwendige Maß zu beschränken. Der Grundsatz der Datenminimierung, Art. 5 Abs. 1 c) DSGVO, besagt also, dass sich die Verarbeitung auf das unbedingt zur Zweckerfüllung notwendige beschränken soll. Für die Personalabteilung bedeutet dies, dass vor jeder Verarbeitung geprüft werden sollte, ob der damit verfolgte Zweck nicht auch mit weniger Dateneinsatz erreicht werden kann, also mit einem weniger an verwendeten Informationen.
Beispielsweise werden nicht alle Informationen eines Beschäftigten nötig sein, wenn es um die Auswahl zur Besetzung einer bestimmten Stelle geht. Hierbei wird es schwer zu begründen sein, weshalb ein Foto des Beschäftigten für die Auswahl erforderlich sein sollte. Außerdem sollte stets auf einen strukturierten und organisierten Ablauf bei der Weitergabe von Daten geachtet werden. So sollte z. B. auf das mehrfache Abspeichern von Daten auf verschiedene Bereiche verzichtet werden, weil dies jeweils eine Duplizierung des Datums darstellt.
Richtigkeit der verarbeiteten Daten:
Der Grundsatz der Richtigkeit besagt, dass personenbezogene Daten sachlich richtig sein und ggf. auch aktualisiert werden müssen, Art. 5 Abs. 1 d) Halbsatz 1 DSGVO. Nach Halbsatz 2 sind insb. personenbezogenen Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich zu löschen oder zu berichtigen. Konsequenz hat dies in der Personalabteilung z. B. dann, wenn eine Abmahnung, vgl. § 314 Abs. 2 BGB, unrichtige personenbezogenen Daten enthält. Theoretisch könnte dies im ungünstigsten Fall dazu führen, dass eine ausgesprochene und abgelegte Abmahnung später aus der Personalakte entfernt (gelöscht) werden müsste.
Speicherbegrenzung:
Hiernach müssen personenbezogene Daten so gespeichert werden, dass die Identifizierung der betroffenen Person nur so lange möglich ist, wie es für den Zweck der Verarbeitung erforderlich ist. Dies bedeutet beispielsweise für vielversprechende (Initiativ-)Bewerbungen, für die aber keine entsprechende Vakanz zur Verfügung steht, dass das HR beim Bewerbenden nachfragen sollte, ob die Bewerbung z. B. für ein Jahr gespeichert werden darf. Einen weiteren Themenkomplex, den wir in diesem Zusammenhang schon behandelt hatten, wären „Sperrlisten für Bewerber – Ist das datenschutzrechtlich möglich?“. Zur Einhaltung dieses Grundsatzes bietet sich das Führen eines Löschkonzepts an.
Integrität und Vertraulichkeit:
Der Grundsatz der Integrität und Vertraulichkeit besagt, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, Art. 5 Abs. 1 f) DSGVO. Dies hat der Verantwortliche insb. durch technische und organisatorische Maßnahmen (TOM) sicherzustellen. Konkrete Hinweise, wie dies aussehen könnte, ergeben sich aus Art. 24 und 32 DSGVO und aus unserem Blogbeitrag zu „Was sind Technisch und organisatorische Maßnahmen (TOM)?„.
In diesem Zusammenhang spielt auch das Need-to-Know-Prinzip eine wichtige Rolle. Nach diesem Prinzip sollten nur Personen auf die jeweils einschlägigen personenbezogenen Daten zugreifen dürfen, die diese auch zur Erfüllung ihrer Aufgaben benötigen. Hierbei hilft ein Berechtigungskonzept, welches klar regelt, wer auf welche Prozesse mit welchen Rechten Zugriff hat.
Es schützt vor Datenlecks und Missbrauch, insb. wenn die Zugriffe und Abflüsse dokumentiert werden. Für die Personalabteilung gilt daher, dass sie zwar die Herrin der überwiegenden Personaldaten sein wird, diese Befugnisse aber klar voneinander getrennt sein sollten. Beispielsweise sollte bei der Gehaltsabrechnung nur die für die Lohnbuchhaltung zuständige Abteilung Zugriff auf die Gehaltsdaten der Mitarbeitenden haben. Beim Bewerbungsprozess sollten nur diejenigen Personen die entsprechenden personenbezogenen Daten einsehen, die für die jeweilige Stelle erforderlich sind. Bei Krankmeldungen gilt, dass zwar die Personalabteilung von der betroffenen Person über den Krankheitsstatus informiert wird, allerdings die verarbeitende Person dies nicht weiterzutragen hat, sodass andere Kolleg:innen oder Kund:innen, soweit relevant, nur über die Abwesenheit informiert werden.
IT-Grundschutz-Kompendium: Datensicherheit in der Personalabteilung
Beim IT-Grundschutz-Kompendium handelt es sich um ein Standardwerk des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Unterstützung, ein angemessenes Sicherheitsniveau beim Einsatz von IT-Systemen zu gewährleisten. Hier bietet es um Empfehlungen, wie TOM umgesetzt werden können. Da in der Personalabteilung zum Teil auch besondere Kategorien personenbezogener Daten (sensible Daten) verarbeitet werden, gilt es solche TOM auch dort einzusetzen.
Dazu zählen:
- Das bereits erwähnte Need-to-Know-Prinzip, das mit einem Berechtigungskonzept realisiert werden sollte. Hierbei empfiehlt das IT-Grundschutz-Kompendium die Umsetzung des Prinzips der geringsten Berechtigung („Least-Privilege“), das im Baustein „OPR.4 Identitäts- und Berechtigungsmanagement“ beschrieben ist. Wie erwähnt, kann hierdurch verhindert werden, dass unbefugte Personen Einblicke z. B. auf Krankmelde- oder Gehaltsdaten bekommen.
- dass regelmäßig Überprüfungen der Zugriffsrechte erfolgen und kritisch hinterfragt werden sollten, um sicherzustellen, dass die Zugriffsrechte dem tatsächlichen Bedarf gerecht werden.
- außerdem, dass stets auf eine starke Methode zur Authentifizierung und Identifizierung geachtet werden sollte, um den Zugang zu den Personaldaten entsprechend abzusichern. Beispielsweise sollte eine Zwei-Faktor-Authentifizierung (2FA) eingesetzt werden. Damit wird insb. die Vertraulichkeit und Integrität der Personaldaten gestärkt.
Datenschutzkonformes Handeln in der Personalabteilung
Bei der Verarbeitung von Personaldaten im HR spielt der Datenschutz schon aufgrund der Vielzahl der Daten eine sehr wichtige Rolle. Stets sollten sich die Mitarbeiter:innen in der Personalabteilung vor Augen halten, dass jedes Weiterleiten einer E-Mail eine Verarbeitung i. S. v. Art. 4 Nr. 2 DSGVO darstellt und dies den obigen Anforderungen zu entsprechen hat. Da sich viele Prozesse wiederholen, lohnt es sich standardisierte Prozesse einzuführen und ein Berechtigungskonzept zu erstellen. Dies führt zum einen zur Sensibilisierung des Themas an sich, zum anderen zu einem sichereren Umgang mit Personaldaten.