Grundsätze der DSGVO und ihre Relevanz im HR-Bereich
Im digitalen Zeitalter ist der Schutz persönlicher Daten im Unternehmen wichtiger denn je. Vor allem in Personalabteilungen werden täglich sensible Informationen verarbeitet, die streng geschützt werden müssen. Aber wie schaffen es Unternehmen, die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten?
Zu den wichtigsten Grundsätzen der DSGVO zählen:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz - Personenbezogene Daten müssen rechtmäßig verarbeitet werden, wobei die betroffenen Personen klar informiert werden müssen, wie ihre Daten verwendet werden.
Zweckbindung - Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.
Datenminimierung - es dürfen nur die für den jeweiligen Zweck erforderlichen Daten erhoben werden.
Richtigkeit - personenbezogene Daten müssen sachlich richtig und bei Bedarf auf dem neuesten Stand sein.
Speicherbegrenzung - Daten dürfen nicht länger als nötig aufbewahrt werden.
Integrität und Vertraulichkeit - es sind geeignete technische und organisatorische Maßnahmen zu treffen, um die Sicherheit der Daten zu gewährleisten und unbefugte Zugriffe sowie Datenverluste zu verhindern.
Rechenschaftspflicht- die verantwortliche Stelle muss nachweisen können, dass sie die Grundsätze der DSGVO einhält.
Weniger ist mehr: Die Pflicht zur Datenminimierung
Die DSGVO fordert, dass nur die Daten gesammelt werden, die für einen bestimmten Zweck wirklich notwendig sind. Besonders im HR-Bereich, wo es oft um sensible Informationen wie Krankheitsdaten oder Abwesenheiten geht, müssen wir darauf achten, dass Daten nicht länger als nötig aufbewahrt werden.
💡 Beispiel:
Ein Unternehmen sucht eine Marketingmanagerin und speichert nur relevante Daten wie Lebenslauf und Zeugnisse. Unnötige Informationen wie Hobbys werden ignoriert. Nach 6 Monaten werden die Daten abgelehnter Bewerber gelöscht, sofern keine Einwilligung für die Evidenzhaltung vorliegt.
Zugriff nur für die, die ihn brauchen
Nicht jeder im Unternehmen sollte alle Daten einsehen können. Im HR-Bereich ist es wichtig, dass nur die Personen, die mit bestimmten Informationen arbeiten müssen, darauf zugreifen dürfen. Moderne Sicherheitsmaßnahmen, wie Zugangsbeschränkungen, können helfen.
💡 Beispiel:
Es haben nur die Mitarbeiter der Personalabteilung Zugriff auf den Personalakt.
Beweise sammeln – aber im richtigen Maß
Manchmal müssen Unternehmen Beweise sammeln, etwa im Fall von Rechtsstreitigkeiten. Das können Informationen über Krankheitszeiten oder Fehlverhalten sein.
Dabei gilt aber: Es darf nur das gesammelt werden, was wirklich notwendig ist, um die eigene Position zu verteidigen.
💡 Beispiel:
Ein Unternehmen vermutet Arbeitszeitmanipulation. Die HR-Abteilung sammelt nur relevante Beweise, wie Zeiterfassungsdaten und Kameraaufnahmen vom Eingangsbereich der fraglichen Tage. Unverhältnismäßige Überwachung wird vermieden. Nach Klärung des Vorfalls werden die Daten gelöscht.
Einwilligung – nicht immer der beste Weg
Viele Unternehmen holen die Zustimmung ihrer Mitarbeiter ein, um Daten zu verarbeiten. Das klingt gut, funktioniert in der Praxis aber oft nicht optimal.
Es gibt bessere Wege: Daten können auch auf Basis eines berechtigten Interesses des Unternehmens oder zur Erfüllung eines Vertrags verarbeitet werden – und das ist sicherer.
💡 Beispiel:
Anstatt die Einwilligung eines Mitarbeiters einzuholen, verarbeitet das Unternehmen die Daten wie Geburtsdatum, Adresse usw. zur Erfüllung des Dienstvertrags.
Wie lange dürfen Daten gespeichert werden?
Die DSGVO legt fest, dass personenbezogene Daten nach einer bestimmten Zeit gelöscht werden müssen. In der Regel müssen Personaldaten spätestens nach sieben Jahren gelöscht werden, es sei denn, es gibt Gründe, sie länger aufzubewahren, z. B. bei offenen arbeitsrechtlichen Ansprüchen oder um ein Dienstzeugnis ausstellen zu können. Dienstzeugnisse können 30 Jahre rückwirkend beantragt werden!
💡 Beispiel:
Ein Unternehmen bewahrt die Daten eines ehemaligen Mitarbeiters sieben Jahre lang auf, um auf mögliche Ansprüche aus einer Prüfung vorbereitet zu sein. Danach werden alle Daten gelöscht bis auf die Informationen für ein einfaches Dienstzeugnis.
Diese Rechte haben Mitarbeiter
Es gibt die Informationspflicht - Arbeitgeber sind verpflichtet, ihre Mitarbeiter umfassend zu informieren, wenn personenbezogene Daten erhoben werden:
- den Zweck der Datenerhebung erläutern,
- wer hat Zugang zu den Daten,
- wie lange werden sie gespeichert und
- welche Rechte hat der Mitarbeiter.
Diese Information muss in klarer, verständlicher Sprache und unaufgefordert zur Verfügung gestellt werden – etwa durch Datenschutzhinweise bei der Einstellung oder bei Änderungen in der Datenverarbeitung.
Hier die Rechte im Einzelnen:
Auskunftsrecht - Mitarbeiter dürfen sehen, welche persönlichen Daten vom Unternehmen gespeichert und verarbeitet werden (inkl.Personalakt)
Berichtigungsrecht - falsche oder unvollständige Daten? Mitarbeiter haben das Recht, Korrekturen an ihren gespeicherten Daten zu verlangen
Löschrecht (Recht auf Vergessen werden) - wenn Daten nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden, können Mitarbeiter die Löschung beantragen. Außerdem sind Unternehmen gefordert ein Löschkonzept zu entwickeln und umzusetzen.
Recht auf Einschränkung der Verarbeitung – wenn beispielsweise die Richtigkeit der Daten strittig ist, können Mitarbeiter verlangen, dass ihre Daten bis zur Klärung nur eingeschränkt verarbeitet werden
Widerspruchsrecht - Mitarbeiter können Widerspruch einlegen und die Verarbeitung stoppen lassen. Das führt dann zu einer Interessenabwägung und das Unternehmen muss Gründe nachweisen, dass die eigenen Interessen überwiegen
Recht auf Datenübertragbarkeit - auf Wunsch können Mitarbeiter ihre Daten in einem maschinenlesbaren Format anfordern, um sie bei Bedarf weiterzugeben
Videoüberwachung
Wenn ein Unternehmen Kameras installiert, die auch Mitarbeiter filmen, müssen nicht nur die Datenschutzgesetze beachtet werden, sondern auch der Schutz der persönlichen Rechte der Mitarbeiter und arbeitsrechtliche Regelungen.
Was gilt in Betrieben mit Betriebsrat?
In Betrieben mit einem Betriebsrat ist eine Betriebsvereinbarung notwendig, wenn
- die Kameras personenbezogene Daten speichern, also zumBeispiel Bilder, auf denen Mitarbeiter zu erkennen sind
und/oder
- die Videoüberwachung die Würde der Mitarbeiter berührt, zum Beispiel wenn die Kameras ständig die Arbeitsplätze überwachen.
Diese Vereinbarung wird zwischen dem Arbeitgeber und dem Betriebsrat geschlossen und regelt, wie die Überwachung durchgeführt wird.
Was gilt in Betrieben ohne Betriebsrat?
In Unternehmen ohne Betriebsrat muss jeder einzelneMitarbeiter zustimmen, wenn eine Videoüberwachung personenbezogene Daten speichert oder die Überwachung die Würde der Mitarbeiter beeinträchtigen könnte. Ohne diese Zustimmung ist die Überwachung nicht erlaubt.
Auf jeden Fall informieren Sie die Mitarbeiter immer klar und rechtzeitig darüber, dass eine Überwachung geplant ist.
Fazit
Datenschutz geht weit über gesetzliche Vorgaben hinaus – er ist eine Frage des Vertrauens. Wenn Unternehmen die DSGVO ernst nehmen und den Datenschutz aktiv in ihre Prozesse integrieren, sorgen sie nicht nur für Sicherheit, sondern auch für ein positives Arbeitsumfeld. Mit klaren Regeln,Schulungen und dem bewussten Umgang mit sensiblen Daten kann jedes Unternehmenden Datenschutz erfolgreich umsetzen.
Das HR-Team ist nur ein Teil des gesamten Datenschutzprozesses und sollte daher eng mit den Datenschutzverantwortlichen, den Fachbereichen IT, Recht und Compliance zusammenarbeiten. Diese enge Zusammenarbeit stellt sicher, dass alle datenschutzrechtlichen Vorgaben erfüllt werden, die sensiblen Daten der Mitarbeiter umfassend geschützt und rechtliche Risiken minimiert sind.
Datenschutz ist machbar – mit den richtigen Schritten, einem klaren Fokus auf das Wesentliche und modernen Sicherheitslösungen.
→ Sie wollen mehr zum Datenschutz erfahren?
Hier geht’s zu den 6 Schritten für die erfolgreiche Umsetzung.