RGPD in der HR: Verarbeitung von Mitarbeiterdaten

Die Verwaltung von Humanressourcen erzeugt täglich ein erhebliches Volumen an personenbezogenen Daten: Arbeitsverträge, Gehaltsabrechnungen, Gesundheitsdaten, Leistungsbewertungen, Bankdaten … Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 sind HR-Abteilungen zu zentralen Akteuren der Compliance innerhalb von Organisationen geworden. Dennoch bleibt laut dem Tätigkeitsbericht 2024 der CNIL der Sektor Personalwesen einer der drei am häufigsten bei Kontrollen beanstandeten Bereiche. Dieser Artikel führt Sie durch die wichtigsten Verpflichtungen, bewährten Praktiken und verfügbaren Tools, um die Daten Ihrer Mitarbeiter in vollständiger Konformität zu verarbeiten.

Welche personenbezogenen Daten verarbeiten die HR-Abteilungen?

Die gängigen Datenkategorien

HR-Abteilungen verarbeiten ein sehr breites Spektrum personenbezogener Daten. Man unterscheidet zwei große Familien:

Gewöhnliche Daten, die im Rahmen des Arbeitsvertrags erhoben werden: Name, Vorname, Adresse, Sozialversicherungsnummer, Bankverbindung, Lebenslauf, Abschlüsse, berufliche Laufbahn, jährliche Bewertungen, Arbeitszeiten, Anwesenheits- und Abwesenheitsdaten.

Sensible Daten, die gemäß Artikel 9 der DSGVO verstärkte Einschränkungen unterliegen: Gesundheitsdaten (Krankheitsausfälle, Anmeldungen von Arbeitsunfällen, medizinische Einschränkungen), Gewerkschaftsdaten (Gewerkschaftszugehörigkeit, Vertretermandaten), Daten zu Strafverurteilungen in bestimmten Rekrutierungskontexten.

Diese können nur unter Vorbehalt einer ausdrücklichen Ausnahme in der Verordnung verarbeitet werden – wie die Erfüllung von Rechtsverpflichtungen im Arbeitsrecht oder die ausdrückliche Zustimmung der betroffenen Person.

Der Besonderheit der Rekrutierung

Die Rekrutierungsphase generiert spezifische, oft schlecht geregelte Verarbeitungsprozesse. Die Erhebung von Lebensläufen, Anschreiben und Testergebnissen impliziert präzise Aufbewahrungsfristen: Nach den Empfehlungen der CNIL müssen Daten nicht ausgewählter Kandidaten innerhalb einer maximalen Frist von zwei Jahren nach dem letzten Kontakt gelöscht oder anonymisiert werden. Die unbegrenzte Aufbewahrung von Lebensläufen in einem unsicheren gemeinsamen Verzeichnis stellt eine charakterisierte Verletzung dar.

Die Verwendung von Tracking-Tools in ATS-Systemen (Applicant Tracking Systems) oder Algorithmen zur Verhaltensanalyse muss in der den Kandidaten übermittelten Datenschutzrichtlinie gemäß den Artikeln 13 und 14 der DSGVO ausdrücklich erwähnt werden.

Rechtsgrundlagen für die Verarbeitung im HR-Kontext

Die richtige Rechtsgrundlage identifizieren

Die DSGVO schreibt vor, dass jede Verarbeitung personenbezogener Daten auf einer der sechs in Artikel 6 definierten Rechtsgrundlagen beruht. Im HR-Kontext werden hauptsächlich drei Rechtsgrundlagen herangezogen:

• Erfüllung eines Vertrags (Art. 6.1.b): rechtfertigt die Verarbeitung der Daten, die für die Verwaltung von Gehalt, Urlaub oder Schulung erforderlich sind.

• Rechtliche Verpflichtung (Art. 6.1.c): gilt für obligatorische Sozialdeklarationen (DSN), Personalregister oder die Überwachung von Arbeitsunfällen.

• Berechtigtes Interesse (Art. 6.1.f): kann für Verarbeitungen wie die Verwaltung von Zugangsausweisen oder Videoüberwachung angeführt werden, vorbehaltlich einer rigorosen Interessenabwägung.

Zustimmung (Art. 6.1.a) ist dagegen eine fragile Rechtsgrundlage im Arbeitskontext: Die CNIL und der Europäische Datenschutzausschuss (EDSA) erinnern daran, dass das strukturelle Ungleichgewicht zwischen Arbeitgeber und Arbeitnehmer die Nachweisbarkeit einer freien Zustimmung erschwert. Sie sollte nur als letztes Mittel verwendet werden.

Das Verarbeitungsverzeichnis, eine unverzichtbare Pflicht

Jede Organisation, die mindestens 250 Personen beschäftigt – oder Sensible Daten im kleineren Maßstab verarbeitet – muss ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 der DSGVO) führen. Im HR-Bereich muss dieses Verzeichnis für jede Verarbeitung dokumentieren: den Zweck, die Datenkategorien, die Empfänger, die Aufbewahrungsfristen und die implementierten Sicherheitsmaßnahmen.

Dieses Dokument, das im Falle einer CNIL-Kontrolle verfügbar ist, ist auch ein wertvoll Steuerungsinstrument. In Kombination mit einer Elektronischen-Signaturlösung speziell für HR ermöglicht es, jede Phase des Lebenszyklus eines HR-Dokuments zu verfolgen und zu protokollieren, wodurch die Nachvollziehbarkeit der Prozesse gestärkt wird.

Rechte der Mitarbeiter und Verpflichtungen des Arbeitgebers

Mitarbeiter informieren: eine unmittelbare Verpflichtung

Artikel 13 der DSGVO schreibt vor, betroffene Personen zum Zeitpunkt der Datenerhebung zu informieren. In der Praxis müssen die HR-Abteilungen den Mitarbeitern – idealerweise bei der Unterzeichnung des Arbeitsvertrags – eine DSGVO-Datenschutzmitteilung zur Verfügung stellen, die folgendes detailliert: die Identität des Verantwortlichen, die Zwecke und Rechtsgrundlagen, die Aufbewahrungsdauer, die verfügbaren Rechte und die Kontaktdaten des Datenschutzbeauftragten (DPO), falls das Unternehmen über einen verfügt.

Die Digitalisierung und Sicherung dieses Austauschs ist unverzichtbar. Die Verwendung der elektronischen Signatur im Unternehmen für die Übergabe dieser Mitteilung garantiert einen zeitgestempelten und unbestreitbaren Zustellungsnachweis, der mit den Anforderungen der eIDAS-Verordnung übereinstimmt.

Die Rechte der Mitarbeiter, die zwingend zu respektieren sind

Die Arbeitnehmer verfügen über erweiterte Rechte bezüglich ihrer Daten:

• Auskunftsrecht (Art. 15): Jeder Mitarbeiter kann eine Kopie aller ihn betreffenden vom Arbeitgeber verarbeiteten Daten anfordern.

• Recht auf Berichtigung (Art. 16): Korrektur einer ungenauen Angabe (z. B. Postadresse, Bankverbindung).

• Recht auf Löschung (Art. 17): anwendbar in bestimmten Fällen, insbesondere nach Beendigung des Vertrags und Ablauf der gesetzlichen Aufbewahrungsfristen.

• Widerspruchsrecht (Art. 21): Der Mitarbeiter kann der auf berechtigtem Interesse basierenden Verarbeitung widersprechen.

• Recht auf Einschränkung (Art. 18): vorübergehendes Einfrieren einer angefochtenen Verarbeitung.

Der Arbeitgeber hat eine Frist von einem Monat, um auf eine Anfrage zur Ausübung von Rechten zu antworten, verlängerbar auf drei Monate bei Komplexität (Art. 12 der DSGVO).

Sicherheit von HR-Daten und Verwaltung von Auftragsverarbeitern

Technische und organisatorische Maßnahmen

Artikel 32 der DSGVO schreibt die Implementierung von Sicherheitsmaßnahmen vor, die „dem Risiko angemessen" sind. Für HR-Daten beinhalten bewährte Praktiken:

• Verschlüsselung von Dateien mit sensiblen Daten (Gehaltsabrechnungen, Krankheitsunterlagen).

• Zugriffskontrolle: Prinzip der geringsten Berechtigung – ein Gehaltsabrechner hat keinen Zugriff auf Disziplinarakten.

• Protokollierung von Zugriffen auf HR-Systeme (HRIS, Abrechnungstools).

• Reaktionsplan bei Verstößen: Bei einem Datenverlust hat der Arbeitgeber 72 Stunden Zeit, um die CNIL zu benachrichtigen (Art. 33), und möglicherweise die betroffenen Personen, wenn das Risiko hoch ist (Art. 34).

Ein komplettes Audit über den Leitfaden für elektronische Signaturen kann HR-Teams dabei helfen, unsichere Verarbeitungen zu identifizieren, die noch auf Papier persistieren, und diese konform zu digitalisieren.

Auftragsverarbeiter im HR-Bereich durch DPA regeln

HR-Abteilungen arbeiten mit vielen Subunternehmern zusammen: Abrechnungssoftware, Schulungsplattformen, Zeiterfassungstools. Jeder Dienstleister, der auf personenbezogene Daten zugreift, muss Gegenstand eines Auftragsverarbeitungsvertrags (Data Processing Agreement – DPA) gemäß Artikel 28 der DSGVO sein. Dieser Vertrag muss die Verarbeitungsanweisungen, Sicherheitsgarantien, Modalitäten für Datenrückgabe oder Löschung und Verpflichtungen bei Verstößen präzisieren.

Die Auswahl von Dienstleistern, deren Infrastrukturen in der Europäischen Union gehostet werden, oder die durch genehmigte Standardvertragsklauseln (SVK) der Kommission geregelt sind, bleibt eine grundlegende Anforderung, um unzulässige Übertragungen außerhalb der EU zu vermeiden.

Aufbewahrungsfristen: ein strukturelles Thema

Die geltenden Aufbewahrungsfristen für die Personalakte

Die Aufbewahrungsdauer von HR-Daten ist durch eine Überlagerung von Texten geregelt: die DSGVO (Prinzip der Speicherbegrenzung, Art. 5.1.e), das Arbeitsgesetzbuch und verschiedene steuer- und sozialrechtliche Bestimmungen. In der Praxis sind die wichtigsten einzuhaltenden Fristen:

| Dokumenttyp | Mindestaufbewahrungsfrist | |---|---| | Gehaltsabrechnung | 5 Jahre (Sozialprescription) | | Arbeitsvertrag | 5 Jahre nach Vertragsende | | Abrechnung (DSN) | 3 Jahre (URSSAF-Kontrolle) | | Personalregister | 5 Jahre nach Mitarbeiterausscheiden | | Disziplinarakten | Dauer proportional zur Maßnahme | | Medizinische Akte (Betriebsmedizin) | 50 Jahre (besondere Regelung) |

Die Implementierung einer automatisierten Archivierungs- und Löschungsrichtlinie im HRIS, gekoppelt mit Workflows für elektronische Signaturen, die die Dokumentenerstellung zeitlich stempeln, stellt heute das beste Verfahren dar, um die Konformität gegenüber der CNIL nachzuweisen.

Die Fallstricke, die es zu vermeiden gilt

Die häufigsten Fehler bei CNIL-Kontrollen bezüglich HR-Daten sind: unbegrenzte Aufbewahrung von Lebensläufen nicht ausgewählter Kandidaten, Beibehaltung von Computerzugriff ehemaliger Mitarbeiter, fehlende Verschlüsselung exportierter Abrechnungsdateien und Nicht-Löschung von Zugangsschlüssel-Daten über Vorschriftsfristen hinaus. Um diese Punkte zu sichern, hilft die Konsultation des Vergleichs von Elektronischen-Signaturlösungen dabei, Tools zu identifizieren, die nativ Archivierungs- und Dokumentlebenszyklusverwaltungsfunktionen integrieren.

Anwendbarer Rechtsrahmen für die Verarbeitung von HR-Daten

Die Verarbeitung personenbezogener Daten von Mitarbeitern unterliegt einem dichten normativen Rahmen, der mehrere Regelungsebenen miteinander verbindet.

Die Verordnung (EU) 2016/679 – DSGVO ist das Fundament. Ihre Artikel 5 bis 11 definieren grundlegende Prinzipien (Rechtmäßigkeit, Fairness, Transparenz, Zweckbegrenzung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit). Artikel 9 legt strikte Bedingungen für besondere Datenkategorien fest, einschließlich Gesundheits- und Gewerkschaftsdaten, die in der HR besonders häufig sind. Artikel 83 sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes bei schweren Verstößen vor.

Das Datenschutzgesetz geändert (Gesetz vom 6. Januar 1978 n° 78-17), in seiner konsolidierten Fassung, passt die DSGVO an französisches Recht an. Es verleiht der CNIL ihre Kontroll- und Sanktionsbefugnisse und sieht insbesondere Branchenausnahmen für Gesundheitsdaten in der Betriebsmedizin vor.

Das Arbeitsgesetzbuch regelt Verarbeitungen im Zusammenhang mit Mitarbeiterüberwachung (Art. L. 1121-1 zum Schutz der Privatsphäre), Konsultation von Personalvertretern zu digitalen Tools (Art. L. 2312-38) und obligatorischen Registern.

Die eIDAS-Verordnung (n° 910/2014), ergänzt durch eIDAS 2.0 (Verordnung EU 2024/1183), regelt den Rechtswert elektronischer Signaturen auf HR-Dokumenten. Eine qualifizierte elektronische Signatur (QES), konform mit Anlage I der eIDAS und den Standards ETSI EN 319 132 und ETSI EN 319 122, bietet die Vermutung der Gleichwertigkeit mit handschriftlicher Signatur gemäß Artikel 1367 des französischen Zivilgesetzbuches.

Artikel 1366 des Zivilgesetzbuches bestimmt, dass „elektronische Schriftstücke die gleiche Beweiskraft wie Schriftstücke auf Papier haben, sofern die Person, von der sie stammen, ordnungsgemäß identifiziert werden kann und sie unter solchen Bedingungen errichtet und aufbewahrt werden, die die Integrität gewährleisten". Diese Regelung ist direkt anwendbar auf Arbeitsverträge, Änderungen, Vertraulichkeitsvereinbarungen und andere digitalisierte HR-Dokumente.

Die NIS2-Richtlinie (EU 2022/2555), in französisches Recht umgesetzt durch das Gesetz vom 26. Februar 2025, schreibt wesentlichen und wichtigen Einheiten (insbesondere großen Industrieunternehmen und Anbietern digitaler Dienste) verstärkte Anforderungen an die Verwaltung von Informationssicherheitsrisiken vor, einschließlich des Schutzes sensibler HR-Daten.

Die von der CNIL verhängten Strafen sind stark angestiegen: 2024 überstieg die Gesamtsumme der Bußgelder 100 Millionen Euro, mit mehreren Entscheidungen, die Verstöße in der Verwaltung von Mitarbeiterdaten betreffen. Nicht-Einhaltung der Aufbewahrungsfristen, fehlende DPA mit HR-Subunternehmern und unzureichende Sicherheitsmaßnahmen gehören zu den am häufigsten festgestellten Vorwürfen.

Anwendungsszenarien: DSGVO-Konformität in der HR in der Praxis

Szenario 1 – Ein mittlerer Industriebetrieb mit 450 Mitarbeitern digitalisiert seine Onboarding-Prozesse

Ein Industriebetrieb mittlerer Größe, verteilt auf drei Standorte in Frankreich, verwaltete Arbeitsverträge und Änderungen auf Papier. Die Dossiers von Neueinsteigern wurden dem Abrechnungsservice durchschnittlich erst nach 12 Arbeitstagen übermittelt, was zu Abweichungen in etwa 8 % der Fälle führte. Darüber hinaus erhielten neue Einsteiger keine formelle DSGVO-Datenschutzmitteilung: die Information befand sich nur am Ende der Betriebsordnung, die nicht separat unterzeichnet wurde.

Nach der Bereitstellung einer in das HRIS integrierten Elektronischen-Signaturlösung mit gleichzeitiger Übergabe einer von Mitarbeiter und HR-Leiter gemeinsam unterzeichneten DSGVO-Mitteilung reduzierte das Unternehmen die dokumentarische Onboarding-Frist auf 2 Arbeitstage (Reduktion um 83 %). Abrechnung-Fehler aufgrund fehlender Daten sanken auf unter 1 %. Jedes unterzeichnete Dokument wird mit qualifiziertem Zeitstempel archiviert, was einen gegenüber CNIL-Kontroll oder arbeitsgerichtlicher Auseinandersetzung durchsetzbaren Nachweis liefert.

Szenario 2 – Eine Vertriebsgruppe mit 1.200 Mitarbeitern bringt ihre Aufbewahrungsrichtlinie in Einklang

Eine Gruppe im Spezialvertrieb unterlag einer CNIL-Kontrolle nach einer Beschwerde eines ehemaligen Mitarbeiters. Die Inspektionen zeigten, dass Excel-Dateien mit Abrechnung von Mitarbeitern, die vor mehr als 8 Jahren gegangen waren, noch auf einem unsicheren, nicht verschlüsselten gemeinsamen Server zugänglich waren. Eine formelle Verwarnungen wurde mit der Anweisung ausgesprochen, innerhalb von 3 Monaten konform zu werden.

Die Gruppe führte dann eine vollständige Kontrolle ihrer HR-Verarbeitungen durch, kartographierte ihre 23 Verarbeitungstätigkeiten und setzte einen automatisierten Löschplan um, der vom HRIS ausgelöst wird. Elektronisch unterzeichnete Dokumente wurden in einen digitalen Safe migriert mit Aufbewahrungsfristen, die nach Rechtsverpflichtungen konfiguriert sind. Der Datenschutzbeauftragte erstellte ein vollständiges HR-Verarbeitungsverzeichnis, das bei einer zweiten CNIL-Kontrolle 18 Monate später eingereicht wurde und ohne Beanstandungen abgeschlossen wurde. Die Kosten für die Konformitätssicherung wurden auf weniger als 60 % des Betrags einer möglichen Geldbuße geschätzt.

Szenario 3 – Ein HR-Beratungsunternehmen mit 35 Mitarbeitern sichert die Daten seiner eigenen Berater und seiner Kunden

Ein auf Humanressourcen spezialisiertes Unternehmen verwaltet sowohl Daten seiner eigenen Berater als auch Kandidaten und Mitarbeiter seiner Kundenunternehmen (im Rahmen von Assessment- oder Outplacement-Missionen). Es befindet sich somit in einer Doppelrolle: Verantwortlicher für die Verarbeitung seiner eigenen HR-Daten und Auftragsverarbeiter (oder Mitverantwortlicher) für Daten Dritter.

Das Unternehmen hat eine differenzierte dokumentarische Architektur implementiert: einfache elektronische Signaturen für routinemäßige interne Kommunikation, fortgeschrittene Signaturen für Missionsverträge mit Kunden und Auftragsverarbeitungsverträge (DPA), die systematisch in die Angebote integriert sind. Alle Berater erhielten eine aktuelle DSGVO-Charta, elektronisch unterzeichnet und in einem dedizierten Register archiviert. Diese Organisation ermöglichte es dem Unternehmen, seine Konformität als Verkaufsargument gegenüber großen Konten mit strengen Lieferantenaudits darzustellen, was die durchschnittliche Vertragslaufzeit von 7 auf 2 Wochen reduzierte.

Fazit

Die DSGVO schreibt den Personalwirtschaftsleitern eine tiefe Transformation ihrer Praktiken vor: rigorose Identifizierung von Rechtsgrundlagen, wirksame Information von Mitarbeitern, Verwaltung von Rechten, vertragliche Regelung von Subunternehmern, Datensicherung und Einhaltung von Aufbewahrungsfristen. Diese Verpflichtungen sind nicht nur formale Verwaltungsaufgaben – sie bedingen die Fähigkeit des Unternehmens, Strafen von mehreren Millionen Euro zu vermeiden und das Vertrauen seiner Mitarbeiter zu bewahren.

Die Digitalisierung von HR-Prozessen über eIDAS-konforme Elektronische-Signaturlösungen ist einer der wirksamsten Hebel, um operative Effizienz und regulatorische Konformität zu vereinbaren. Certyneo begleitet HR-Teams bei diesem Übergang, von der Unterzeichnung des Arbeitsvertrags bis zur sicheren Archivierung von Mitarbeiterdossiers.

Erfahren Sie, wie Certyneo Ihre HR-Prozesse sichern kann, indem Sie unser HR-spezifisches Angebot konsultieren oder kostenlos beginnen, um die Lösung unverbindlich zu testen.