DSGVO im HR: Verarbeitung von Mitarbeiterdaten

Die Datenschutz-Grundverordnung (DSGVO) gilt nicht nur für Geschäftsbeziehungen zwischen einem Unternehmen und seinen Kunden: Sie regelt auch sehr präzise die Verarbeitung personenbezogener Daten von Mitarbeitern. Einstellung, Gehaltsabrechnung, Zutrittskontrolle, Leistungsbewertung, Videoüberwachung... jede Phase des Lebenszyklus eines Arbeitsvertrags erzeugt personenbezogene Daten, die der Arbeitgeber in strenger Übereinstimmung mit europäischem Recht verarbeiten muss. Bei Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes ist der Einsatz erheblich. Dieser Artikel erläutert die anwendbaren Rechtsgrundlagen, die praktischen Verpflichtungen der HR-Abteilungen und Best Practices zur Sicherung Ihrer Verarbeitungen – einschließlich bei der Digitalisierung von HR-Dokumenten.

Die rechtlichen Grundlagen der HR-Datenverarbeitung

Die im Arbeitsrecht zulässigen Rechtsgrundlagen

Die DSGVO nennt sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten (Artikel 6). Im HR-Kontext werden drei davon fast systematisch genutzt:

• Die Erfüllung des Arbeitsvertrags (Art. 6.1.b): ist die Hauptgrundlage für die Gehaltsabrechnung, die Arbeitszeiterfassung, die Übermittlung von Gehaltsabrechnungen oder die Verwaltung von Urlaub.

• Rechtliche Verpflichtung (Art. 6.1.c): rechtfertigt die durch das Arbeitsgesetzbuch oder die Sozialgesetzgebung erzwungenen Verarbeitungen, wie die vorherige Mitteilung zur Einstellung (DPAE), die nominale Sozialmitteilung (DSN) oder die Führung des zentralen Personalregisters.

• Berechtigte Interessen (Art. 6.1.f): kann bestimmte Verarbeitungen von IT-Sicherheit oder zur Prävention von interner Betrugserkennung begründen, vorausgesetzt dass dieses Interesse nicht durch die Grundrechte der Mitarbeiter überwogen wird.

⚠️ Die Rechtsgrundlage der Einwilligung ist im Arbeitsverhältnis mit äußerster Vorsicht zu handhaben. Die CNIL weist regelmäßig darauf hin, dass das dem Arbeitsverhältnis inhärente Ungleichgewicht die Einwilligung im Sinne von Artikel 7 der DSGVO selten „frei" macht. Die Nutzung von Einwilligung für Verarbeitungen, die auf einer anderen Rechtsgrundlage beruhen könnten, setzt den Arbeitgeber dem Risiko einer Umdeutung aus.

Besondere Datenkategorien: ein verstärktes Regelwerk

Bestimmte von der HR-Abteilung erfasste Daten fallen unter das Regelwerk der „sensiblen Daten" in Artikel 9 der DSGVO, deren Verarbeitung grundsätzlich verboten ist, außer bei Ausnahmen:

• Gesundheitsdaten: Krankenstände, Arbeitsunfähigkeit durch Arbeitsmedizin festgestellt, Arbeitsplatzanpassungen für Behinderung.

• Gewerkschaftsdaten: Gewerkschaftszugehörigkeit, Vertreteraufträge.

• Biometrische Daten: Zutrittskontrolle durch Fingerabdruck oder Gesichtserkennung.

• Daten über Straftaten: Überprüfung von Strafregistern, nur in geregelten Branchen zulässig (Sicherheit, Kinderbetreuung, etc.).

Für diese Kategorien muss der Arbeitgeber eine ausdrückliche Ausnahme (Art. 9.2) feststellen, in den meisten Fällen eine Datenschutz-Folgenabschätzung (DSFA) durchführen und oft die zuständige Behörde vor der Einführung konsultieren.

Die praktischen Verpflichtungen der HR-Abteilungen

Das Register der Verarbeitungstätigkeiten

Jede Organisation mit mehr als 250 Mitarbeitern ist verpflichtet, ein Register der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu führen. Unter diesem Schwellenwert bleibt die Verpflichtung bestehen, wenn die Verarbeitungen nicht gelegentlich sind oder sensible Daten betreffen – was in HR fast immer der Fall ist. Dieses Register muss dokumentieren:

• Den Zweck jeder Verarbeitung (z. B.: „Verwaltung von Gehaltsabrechnungen")

• Die betroffenen Datenkategorien

• Die Empfänger (Dritte, Auftragsverarbeiter, Behörden)

• Die Aufbewahrungsfristen

• Die implementierten Sicherheitsmaßnahmen

Die zuständige Behörde stellt ein frei herunterladbares Musterset zur Verfügung. Seine sorgfältige Führung stellt die erste Abwehrlinie bei einer Kontrolle dar.

Aufbewahrungsfristen: ein oft vernachlässigter Punkt

Artikel 5.1.e der DSGVO schreibt das Prinzip der Begrenzung der Speicherfrist vor: Daten dürfen nicht länger aufbewahrt werden, als für den Zweck der Erfassung erforderlich ist. Im HR gelten die folgenden gesetzlichen Referenzfristen:

| Datentyp | Empfohlene Aufbewahrungsfrist | |---|---| | Gehaltsabrechnung | 5 Jahre (zivilrechtliche Verjährung) | | Arbeitsvertrag | 5 Jahre nach Vertragsbeendigung | | Bewerbungsdaten (nicht berücksichtigter Kandidat) | Maximal 2 Jahre nach letztem Kontakt | | Disziplinarakte | Variable Dauer je nach Sanktion (max. 3 Jahre für eine Verwarnung) | | Videoüberwachungsdaten | In der Regel 1 Monat | | DSN und Personalregister | 5 Jahre nach Austritt des Mitarbeiters |

Diese Fristen müssen im Register dokumentiert und durch Lösch- oder Archivierungsverfahren umgesetzt werden.

Information der Mitarbeiter: eine oft unterschätzte Verpflichtung

Artikel 13 der DSGVO schreibt vor, betroffene Personen mit einer vollständigen Informationsnotiz zum Zeitpunkt der Datenerfassung zu informieren. Im HR sollte diese Notiz idealerweise übermittelt werden:

• Zum Zeitpunkt der Bewerbung: für Daten, die während des Einstellungsverfahrens erfasst werden.

• Bei Einstellung: in den Arbeitsvertrag integriert oder bei der Unterzeichnung als Anlage übermittelt.

• Während der Vertragslaufzeit: bei jeder neuen Verarbeitung (z. B.: Einführung eines biometrischen Zeiterfassungssystems).

Die Digitalisierung des Onboarding-Prozesses, insbesondere durch elektronische Signaturen für HR, erleichtert die Verfolgbarkeit dieser Informationsübermittlung: das Lesedatum und die Unterzeichnung der Notiz sind zeitstempelbeweise dokumentiert, was im Falle eines Streits ein wertvolles Beweiselement darstellt.

Die Sicherheit von HR-Daten: technische und organisatorische Maßnahmen

Verschlüsselung, Zugriffskontrolle und Abtrennung

Artikel 32 der DSGVO verlangt die Implementierung von Sicherheitsmaßnahmen, die dem Risiko angepasst sind. Für HR-Daten, die naturgemäß sensibel sind und bei Angriffen gezielt werden, umfassen die minimalen Best Practices:

• Verschlüsselung von Daten in Ruhe und im Transit: Gehaltsdateien, Verträge und persönliche Dossiers müssen verschlüsselt gespeichert (mindestens AES-256) und über sichere Protokolle übertragen werden (TLS 1.3).

• Rollenbasierte Zugriffskontrolle (RBAC): nur autorisierte HR-Manager können auf Gehaltsdaten zugreifen; der Teamleiter erhält nur Zugang zu notwendigen Daten.

• Protokollierung von Zugriffen: jede Einsichtnahme oder Änderung eines Mitarbeiterdossiers muss mit Benutzerkennung, Datum und Uhrzeit nachverfolgbar sein.

• Pseudonymisierung für analytische Verarbeitungen (HR-Dashboards, Vergütungsstudien).

Die Verwaltung von HR-Auftragsverarbeitern

HR-Abteilungen arbeiten mit vielen Auftragsverarbeitern zusammen: Herstellern von SIRH-Systemen, Lohnabrechnung-Dienstleistern, Schulungsplattformen, Online-Recruiting-Tools. Jeder dieser Dritten muss Gegenstand eines Auftragsverarbeitungsvertrags gemäß Artikel 28 der DSGVO sein, der insbesondere enthält:

• Art und Zweck der Verarbeitungen

• Verpflichtungen des Auftragsverarbeiters bezüglich Sicherheit und Vertraulichkeit

• Verbot der Weitergabe an Unterauftragsverarbeiter ohne vorherige Genehmigung

• Modalitäten der Rückgabe oder Vernichtung von Daten am Ende des Vertrags

Bei der Auswahl eines Dienstleisters sollte auch überprüft werden, ob seine Server im Europäischen Wirtschaftsraum (EWR) lokalisiert sind oder ob ein angemessener Transfermechanismus (Standardvertragsklauseln, Angemessenheitsbeschluss) für Transfers außerhalb des EWR vorhanden ist.

Die Digitalisierung von HR-Dokumenten und DSGVO-Konformität

Die zunehmende Digitalisierung von HR-Prozessen – elektronische Arbeitsverträge, digitalisierte Gehaltsabrechnungen, Änderungen von Verträgen, die auf Distanz unterzeichnet werden – wirft spezifische DSGVO-Probleme auf. Obwohl die elektronische Signatur gemäß eIDAS zweifellose Garantien für Integrität und Authentizität bietet, muss der Arbeitgeber sicherstellen, dass die verwendete Plattform:

• Während des Signaturprozesses keine überflüssigen Daten erfasst (Minimierungsprinzip, Art. 5.1.c)

• Beweise für die Unterzeichnung (Audit-Trail) unter sicheren Bedingungen und für angemessene Dauer speichert

• Die Ausübung der Rechte der Unterzeichner (Zugriff, Berichtigung, Löschung im Rahmen gesetzlicher Grenzen) ermöglicht

• Weitere Informationen zur Konformität von Signature-Tools finden Sie im vollständigen Leitfaden zur elektronischen Signatur von Certyneo, der die technischen und rechtlichen Kriterien detailliert erläutert, die vor jeder Einführung überprüft werden müssen.

Die Rechte der Mitarbeiter und deren effektive Ausübung

Übersicht der durch die DSGVO garantierten Rechte

Mitarbeiter profitieren von allen Rechten in den Artikeln 15 bis 22 der DSGVO. Im HR-Kontext werden die am häufigsten ausgeübten Rechte:

• Auskunftsrecht (Art. 15): Der Mitarbeiter kann eine Kopie aller von ihm dem Arbeitgeber gehaltenen Daten anfordern, einschließlich beruflicher E-Mail-Austausche unter bestimmten Bedingungen.

• Recht auf Berichtigung (Art. 16): Korrektur ungenauer Daten (Fehler bei der Bankverbindung, falsch eingetragenes Diplom, etc.).

• Recht auf Löschung (Art. 17): eingeschränkt in HR durch gesetzliche Aufbewahrungsverpflichtungen, aber anwendbar auf Bewerbungsdaten eines nicht berücksichtigten Kandidaten.

• Widerspruchsrecht (Art. 21): kann gegen eine auf berechtigtem Interesse basierende Verarbeitung, wie bestimmte Überwachungsverarbeitungen, ausgeübt werden.

• Recht auf Datenportabilität (Art. 20): anwendbar auf vom Mitarbeiter selbst im Rahmen der Vertragsdurchführung bereitgestellte Daten.

Die Antwortfrist und interne Verfahren

Der Arbeitgeber hat einen Monat Zeit, um auf jede Anfrage zur Ausübung von Rechten zu reagieren, eine Frist, die bei Komplexität oder großem Anfragevolumen auf drei Monate verlängerbar ist (Art. 12.3). Um diesen Prozess effizient zu organisieren, wird empfohlen:

• Einen einzigen Kontaktpunkt (DPO oder DSGVO-Beauftragter) zur Entgegennahme von Anfragen zu benennen

• Ein separates Formular bereitzustellen, das für Mitarbeiter verfügbar ist

• Jede Anfrage und ihre Antwort in einem Register der Ausübung von Rechten zu dokumentieren

• HR-Manager zu schulen, um implizite Anfragen zu erkennen (ein Mitarbeiter, der sein „persönliches Dossier" anfordert, übt automatisch sein Auskunftsrecht aus)

Die Rolle des DPO im Unternehmen

Die DSGVO verpflichtet zur Benennung eines Datenschutzbeauftragten (DPO) in drei Fällen (Art. 37): öffentliche Behörde, Verarbeitung großer Mengen an sensiblen Daten oder systematische Überwachung großer Mengen. Viele Unternehmen, deren HR-Verarbeitung erheblich ist, fallen unter diese Verpflichtung. Der DPO kann intern oder extern sein; er muss über Funktionsuabhängigkeit verfügen und an allen Entscheidungen beteiligt sein, die den Datenschutz beeinflussen, einschließlich der Einführung neuer digitaler HR-Tools. Seine Rolle ist beratend und nicht entscheidend: die abschließende Verantwortung liegt bei dem Verantwortlichen der Verarbeitung, also dem Arbeitgeber.

Anwendbares Regelwerk für die HR-Datenverarbeitung

Die DSGVO: Gründungstext

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO) ist das Grundregelwerk für die Verarbeitung personenbezogener Daten in Europa. Unmittelbar anwendbar in allen Mitgliedstaaten seit dem 25. Mai 2018, verpflichtet sie jeden Arbeitgeber, der Daten von Mitarbeitern in der EU verarbeitet, unabhängig von der Nationalität des Unternehmens. Die wichtigsten im HR-Kontext geltenden Artikel sind:

• Art. 5: Grundprinzipien (Rechtmäßigkeit, Verfahrensgerechtigkeit, Transparenz, Minimierung, Richtigkeit, Begrenzung der Speicherfrist, Integrität und Vertraulichkeit, Rechenschaftspflicht)

• Art. 6: Rechtsgrundlagen für Verarbeitungen

• Art. 9: Regelwerk für sensible Daten

• Art. 12 bis 22: Rechte der betroffenen Personen

• Art. 24 bis 32: Verpflichtungen des Verantwortlichen und des Auftragsverarbeiters

• Art. 33-34: Benachrichtigung von Datenschutzverletzungen (72 Stunden an die zuständige Behörde, Benachrichtigung der Personen bei hohem Risiko)

• Art. 35: Datenschutz-Folgenabschätzung (DSFA) verpflichtend für riskante Verarbeitungen

• Art. 83: Verwaltungssanktionen (bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes)

Das modifizierte Informatik- und Freiheitsgesetz

In österreichischem Recht ist das gleichwertige Datenschutzgesetz (DSG) in Kombination mit der DSGVO relevant, die Öffnungsklauseln für nationale Spielräume vorsieht. Einige der wichtigsten im HR: die Möglichkeit, Gewerkschaftsdaten im Rahmen der Verwaltung von Arbeitnehmergremien zu verarbeiten, oder spezifische Regeln für die Verarbeitung von Arbeitnehmerdaten am Arbeitsplatz.

Das österreichische Arbeitsrecht und die Rechtsprechung

Das österreichische Arbeitsgesetzbuch und das Arbeitnehmer-Datenschutzgesetz verpflichten zur Information und Konsultation des Betriebsrats vor der Einführung von Überwachungs- oder Kontrollgeräten (analog zu französischen Regeln). Die Nichtbeachtung dieser Pflichten führt zu Unanwendbarkeit der erfassten Beweise und zu Strafsanktionen.

Die Rechtsprechung des Österreichischen Obersten Gerichtshofs erinnert regelmäßig daran, dass Kontrolltools (Geolokalisierung, Badgesysteme, Aktivitätsüberwachungssoftware) verhältnismäßig zu den verfolgten Zielen sein müssen und nicht zu anderen als den den Mitarbeitern und den Behörden mitgeteilten Zwecken umfunktioniert werden können.

Die elektronische Unterzeichnung von HR-Dokumenten: eIDAS und österreichisches Zivilrecht

Bei der Digitalisierung von Arbeitsverträgen, Änderungen oder Disziplinarmaßnahmen muss der Arbeitgeber die Verordnung (EU) Nr. 910/2014 eIDAS beachten, die drei Stufen elektronischer Signaturen definiert. Für so strukturierte Dokumente wie unbefristete Arbeitsverträge oder Trennungsdokumente wird eine fortgeschrittene elektronische Signatur (oder sogar qualifizierte) empfohlen, um die Identität des Unterzeichners und die Integrität des Dokuments zu sichern. Das österreichische Allgemeine Bürgerliche Gesetzbuch (ABGB) und das Signaturgesetz setzen fest, dass elektronische Unterzeichnung denselben Beweiswert wie handschriftliche Unterschrift hat, sofern die sichere Identifikation des Unterzeichners und die Integritätssicherung gewährleistet sind.

Sanktionen der zuständigen Behörden in HR-Fragen

Die zuständigen österreichischen Behörden haben mehrere bedeutende Sanktionen gegen HR-Datenschutzverletzungen verhängt: Unternehmen wurden mit hohen Bußgeldern belegt für übermäßige Überwachung von Telearbeiter durch Screenshot-Software. Sicherheitsunternehmen erhalten Sanktionen für die Erfassung übermäßiger biometrischer Daten ohne gültige Rechtsgrundlage. Diese Fälle zeigen die wachsende Aufmerksamkeit der Regulatoren auf diesem Gebiet.

Anwendungsszenarien: DSGVO HR in der Praxis

Szenario 1 – Ein mittleres Industrieunternehmen mit 450 Mitarbeitern bringt seinen Einstellungsprozess in Übereinstimmung

Ein Industrieunternehmen mittlerer Größe mit etwa 450 Beschäftigten an drei Standorten erhielt jährlich über 3.000 Spontanbewerbungen und beantwortete etwa 60 Stellenangebote. Lebensläufe und Bewerbungsschreiben wurden ohne zeitliche Begrenzung in einem gemeinsamen E-Mail-Postfach zwischen sechs Abteilungsleitern gespeichert. Es wurde keine Informationsnotiz über die Verwendung ihrer Daten den Kandidaten übermittelt.

Nach einem DSGVO-Audit wurden folgende Maßnahmen innerhalb von sechs Monaten umgesetzt:

• Migration zu einem DSGVO-konformen ATS (Applicant Tracking System) mit automatischer Löschung von Dossiers nach 24 Monaten Inaktivität

• Hinzufügen einer DSGVO-Informationsnotiz in jedem Online-Bewerbungsformular

• Elektronische Unterzeichnung von Angebots- und Arbeitsvertrag über eine eIDAS-konforme Plattform, wodurch die durchschnittliche Rückgabefrist von Verträgen von 8 Tagen auf weniger als 48 Stunden reduziert wurde

• Aktualisierung des Registers der Verarbeitungstätigkeiten mit 12 neuen HR-Verarbeitungsblättern

Ergebnis: keine Behördeneingaben in den nächsten 18 Monaten; geschätzte Einsparung von 1,2 Vollzeitäquivalenten bei der Verwaltung von Rekrutierungen durch die Digitalisierung.

Szenario 2 – Eine Vertriebsgruppe mit 1.200 Mitarbeitern reguliert ihre Videoüberwachungspolitik

Ein auf Lebensmittelverteilung spezialisierter Konzern hatte ein Videoüberwachungssystem an 34 Verkaufsstellen eingeführt. Die Aufzeichnungen wurden an einigen Standorten 45 Tage lang gespeichert, ohne dass Informationen für Mitarbeiter sichtbar waren. Mehrere Kameras überwachten Kassierpositionen kontinuierlich, was ein Risiko unverhältnismäßiger Überwachung darstellte.

Nach einer Beschwerde eines Mitarbeiters bei der zuständigen Behörde engagierte sich das Unternehmen für eine Konformitätssicherung:

• Reduzierung der Aufbewahrungsfrist auf höchstens 30 Tage an allen Standorten

• Repositionierung von Kameras zur Ausschließung kontinuierlicher Überwachung einzelner Arbeitsplätze

• Konsultation und Zustimmung des Betriebsrats vor jeder neuen Einführung

• Systematische Information der Mitarbeiter durch Arbeitsverträge und angehängte Richtlinien

Ergebnis: Abschluss der Behördeneingabe ohne Sanktion; verbesserte Arbeitszufriedenheit, gemessen in der nächsten jährlichen Zufriedenheitsumfrage (+11 Punkte beim Element „Vertrauen zum Arbeitgeber").

Szenario 3 – Ein externalisiertes HR-Consulting-Büro sichert Datentransfers mit seinen Kunden

Ein auf die Externalisierung von Lohnabrechnung und Personalverwaltung spezialisiertes Büro verwaltete Mitarbeiterdossiers für etwa 20 KMU-Kunden, die etwa 1.800 monatliche Gehaltsabrechnungen repräsentierten. Gehaltsdateien wurden unverschlüsselt per E-Mail übermittelt, ohne dass ein Auftragsverarbeitungsvertrag nach Artikel 28 der DSGVO formalisiert wurde.

Das Büro führte eine vollständige Umstrukturierung durch:

• Unterzeichnung von Data Processing Agreements (DPA) nach Artikel 28 mit jedem seiner Kunden über eine fortgeschrittene elektronische Signaturplattform mit Nachverfolgung

• Einführung eines sicheren Kundenportals (TLS-Verschlüsselung + Zwei-Faktor-Authentifizierung) für die Verwaltung von Gehaltsdateien

• Hosting von Daten auf in Österreich lokalisierten Servern mit relevanten Sicherheitszertifikationen

• Entwicklung einer Subunternehmer-Politik, die die Weitergabe an Dritte regelt

Ergebnis: 100% Reduzierung der HR-Datentransfers über unsichere E-Mail; Akquisition von zwei neuen Kundenbefugnissen, die DSGVO-Konformität als obligatorisches Auswahlkriterium in ihren Ausschreibungen festgelegt hatten.

Fazit

Die DSGVO im HR ist nicht nur eine zusätzliche administrative Einschränkung: Sie ist ein Vertrauensleistung zwischen Arbeitgeber und Mitarbeitern und ein Wettbewerbsfaktor in einem Arbeitsmarkt, auf dem Transparenz zunehmend geschätzt wird. Regelmäßig aktualisiertes Register der Verarbeitungstätigkeiten, beherrschte Aufbewahrungsfristen, formalisierte Mitarbeiterinformation, verstärkte Sicherheit sensibler Daten und Auftragsverarbeiter mit Verträgen: jeder dieser Pfeiler trägt zu einer HR-Politik bei, die sowohl legal als auch verantwortungsvoll ist.

Die Digitalisierung von HR-Dokumenten – Verträge, Änderungen, Gehaltsabrechnungen, Informationsmitteilungen – bietet eine einmalige Gelegenheit, DSGVO-Konformität und operative Effizienz zu verbinden, vorausgesetzt, man stützt sich auf zertifizierte Tools. Certyneo unterstützt Sie auf diesem Weg mit einer eIDAS-konformen elektronischen Signaturlösung, die für HR-Teams entwickelt wurde. Entdecken Sie unsere Tarife und starten Sie Ihren kostenlosen Test auf Certyneo, um Ihre HR-Dokumente ab heute zu sichern.