Datenschutz rund um die Personalabteilung - Rechts- und Patentanwälte

Deutsch / English

Datenschutz rund um die Personalabteilung

Gerade in der Personalabteilung werden überdurchschnittlich viele personenbezogene Daten verarbeitet. Dabei ist Unternehmen in der Regel nicht bewusst, dass bei dieser „internen“ Verarbeitung dieselben datenschutzrechtlichen Vorgaben einzuhalten sind wie im externen Geschäftsverkehr. Wir beleuchten in diesem Artikel die wesentlichen praxisrelevanten Anforderungen.

Verarbeitung von Beschäftigtendaten

Mit Blick auf § 26 BDSG dürfen Beschäftigtendaten insbesondere – aber nicht ausschließlich – zu Zwecken „des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist“. Dies ist jedoch kein Freibrief für die unbeschränkte Verarbeitung, denn Schranken und Rechtfertigungstatbestände müssen stets beachtet werden.

Löschung von Bewerberdaten

Nicht selten werden beispielsweise Bewerberdaten nicht oder nicht rechtzeitig gelöscht. Sofern keine Einwilligung des Bewerbers über die Speicherung seiner Unterlagen „auf Vorrat“ vorliegt, dürfen die Unterlagen allerdings nur maximal sechs Monate aufgehoben werden.

Daher sollten Sie ein entsprechendes Löschkonzept einführen.

Abrechnungsunterlagen per E-Mail

Bei unverschlüsselter Zusendung von Gehaltsnachweisen schreiten Datenschutzbehörden regelmäßig ein. Verarbeitet werden hierbei sensible Daten, die eine Versendung per einfacher E-Mail aufgrund der damit einhergehenden Sicherheitsrisiken unzulässig machen.

Nutzen Sie daher eher verschlüsselte E-Mails, gesicherte Plattformen oder schlichtweg den klassischen Briefversand.

Verarbeitung von Gesundheitsdaten

Den umgekehrten Weg der Abrechnungsunterlagen gehen Krankmeldungen. Auch hier ist auf ein hinreichendes Datenschutzniveau zu achten, sofern der Arbeitgeber Einfluss hierauf hat. Vorgaben wie die Vorab-Übersendung per E-Mail dürften unzulässig sein.

Überlassen Sie daher dem Arbeitnehmer das Mittel der Zusendung oder bitten Sie um Übersendung per Post.

Zeiterfassung / Biometrische Daten

Die Zeiterfassung ist nach einem Urteil des EuGH (Az. C-55/18) und entsprechender Gesetzesinitiativen im Wandel. Immer mehr Unternehmen werden künftig verpflichtet sein, die Arbeitszeit ihrer Mitarbeiter zu erfassen. Hiermit einher geht jedoch eine nicht unsensible Verarbeitung personenbezogener Daten. Wichtig ist hierbei, für eine hinreichende Sicherung der Daten Sorge zu tragen. Dies über biometrische Sicherungseinrichtungen zu lösen, schießt nach Ansicht einer Aufsichtsbehörde jedoch über das Ziel hinaus. Solche Maßnahmen seien in der Regel nur bei Zugriffsbeschränkungen zulässig, die zum Schutze von Unternehmensinterna erforderlich sind, nicht jedoch zur Vereinfachung der Nutzung der „Stechuhr“.

Aufzeichnung von Kundengesprächen

Unabhängig davon, dass eine Aufzeichnung von Kundengesprächen zur Vermeidung einer Strafbarkeit stets die Einwilligung des Kunden voraussetzt, ist das Aufzeichnen selbst mit Einwilligung des Kunden zu Zwecken der Mitarbeiterschulung in der Regel nicht zulässig. Auch seitens des Mitarbeiters ist nämlich eine Einwilligung erforderlich, die nach § 26 Abs. 2 BDSG schriftlich und – unter Abwägung der gegenseitigen Interessen – freiwillig zu erfolgen hat.

Empfehlung für die Praxis

Seien Sie sich daher bewusst, dass auch die Verarbeitung von Mitarbeiterdaten datenschutzrechtliche Pflichten nach sich zieht, die teilweise über die Vorgaben an eine Verarbeitung „externer“ Daten hinausgehen.

Sprechen Sie uns gerne an, wenn Sie Fragen zu konkreten Datenverarbeitungsvorgängen im Bereich Ihrer Personalabteilung haben. Gerne zeigen wir Ihnen praktikable Lösungen, mit denen Sie den datenschutzrechtlichen Anforderungen gerecht werden können.

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189