DGPD in HR: Verarbeitung von Mitarbeiterdaten

Einleitung

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DGPD) am 25. Mai 2018 stehen die Personalabteilungen an vorderster Front der Compliance. Die Personalfunktionen verarbeiten täglich sensible personenbezogene Daten: Lebensläufe, Gehaltsabrechnungen, Gesundheitsdaten, Bewertungen, Bankverbindungen. Eine schlechte Verwaltung setzt das Unternehmen Strafen aus, die bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes erreichen können (Artikel 83 der DGPD). Dieser Artikel stellt die wesentlichen Verpflichtungen und Best Practices vor, um die Verarbeitung von Mitarbeiterdaten über den gesamten HR-Zyklus hinweg zu sichern.

Die für HR-Daten geltenden Grundprinzipien

Die DGPD schreibt sechs Kardinalsprinzipien vor, die in Artikel 5 codifiziert sind: Rechtmäßigkeit, Fairness, Transparenz, Zweckbegrenzung, Datensparsamkeit, Richtigkeit, Speicherbegrenzung und Integrität/Vertraulichkeit. In der Praxis bedeutet dies, dass die Personalabteilung nur Daten sammeln darf, die für einen bestimmten Zweck unbedingt erforderlich sind. Beispielsweise ist die Anforderung der Sozialversicherungsnummer bereits bei der Bewerbung unverhältnismäßig: Sie ist nur nach der Einstellung für die DSN gerechtfertigt.

Die CNIL konkretisiert in ihrer Beschluss Nr. 2019-160 zum Referenzwerk für die Personalverwaltung die empfohlenen Aufbewahrungsfristen: 2 Jahre für nicht berücksichtigte Bewerbungen (außer bei Zustimmung), 5 Jahre nach Ausscheiden für die Personalakte, 6 Jahre für Gehaltsabrechnungen in der Arbeitgeberversion.

Rechtsgrundlage und Information der Mitarbeiter

Entgegen einem verbreiteten Missverständnis ist Zustimmung im HR nur selten die geeignete Rechtsgrundlage, da ein Unterordnungsverhältnis besteht. Die relevanten Grundlagen sind vielmehr die Erfüllung des Arbeitsvertrags (Artikel 6.1.b), eine rechtliche Verpflichtung (Artikel 6.1.c) oder berechtigte Interessen (Artikel 6.1.f). Für sensible Daten (Gesundheit, Gewerkschaftszugehörigkeit) erfordert Artikel 9 eine spezifische Grundlage wie eine arbeitsrechtliche Verpflichtung.

Der Arbeitgeber muss klare Informationen durch einen bei der Einstellung ausgehändigten DGPD-Hinweis bereitstellen, das Verarbeitungsregister (Artikel 30) aktualisieren und den Betriebsrat vor jeder neuen Verarbeitung, die die Arbeitnehmer beeinträchtigt, konsultieren (Artikel L.2312-38 des Arbeitsgesetzbuches).

Sicherheit und Rechte der Mitarbeiter

Die technische und organisatorische Sicherheit (Artikel 32) setzt voraus: Verschlüsselung von Personalsystemen, Zugriffskontrolle nach Profil, Nachverfolgbarkeit von Abfragen, Vertraulichkeitsklauseln mit Subunternehmern in den Bereichen Abrechnung oder Rekrutierung (Artikel 28). Im Falle einer Verletzung ist die CNIL innerhalb von 72 Stunden zu benachrichtigen.

Mitarbeiter verfügen über erweiterte Rechte: Zugang, Berichtigung, Löschung (begrenzt durch gesetzliche Aufbewahrungspflichten), Portabilität, Widerspruch. Eine interne Verfahrensweise muss eine Beantwortung innerhalb von höchstens einem Monat ermöglichen. Die Verweigerung des Zugangs zur Disziplinierungsakte muss rechtlich begründet sein.

Praktische Beispiele

Beispiel 1 – Rekrutierung: Ein KMU speichert seit 5 Jahren die Lebensläufe aller Kandidaten in einem gemeinsamen Ordner. Nicht konform: übermäßige Dauer, fehlende Sicherung. Lösung: automatisierte Löschung nach 2 Jahren, eingeschränkter Zugang für Recruiter, DGPD-Vermerke in der Stellenausschreibung.

Beispiel 2 – Videoüberwachung: Ein Logistiklager filmt kontinuierlich die Arbeitsstationen. Mögliche Sanktion (die CNIL hat Amazon France Logistique 2024 mit 32 Mio. € sanktioniert). Lösung: Beschränkung auf sensible Bereiche, individuelle Information, Konsultation des Betriebsrats, maximale Aufbewahrungsdauer von einem Monat.

Beispiel 3 – Zusammenarbeitswerkzeuge: Die Bereitstellung von Microsoft 365 erfordert eine Datenschutz-Folgenabschätzung (DFAA), wenn Monitoring-Funktionen aktiviert sind, sowie eine konforme Subunternehmerklausel mit dem Editor.

Compliance und Sanktionen

Neben CNIL-Bußgeldern setzt sich der Arbeitgeber Arbeitsgerichtsverfahren wegen Verletzung der Privatsphäre aus (Artikel 9 des Zivilgesetzbuches, Artikel L.1121-1 des Arbeitsgesetzbuches). Die Ernennung eines Datenschutzbeauftragten ist obligatorisch für Stellen, die Daten in großem Umfang verarbeiten. Eine jährliche Kartografierung der HR-Verarbeitungen, gekoppelt mit einer Schulung der Manager, stellt den besten rechtlichen und betrieblichen Schutz dar.

Fazit

Die DGPD-Compliance in HR ist kein punktuelles Projekt, sondern ein kontinuierlicher Verbesserungsprozess. Zwischen gesetzlichen Verpflichtungen, Arbeitnehmerrechten und betrieblicher Leistung müssen Personalleiter die Datenverwaltung mit Rigor steuern. Die Investition in ein konformes Personalsystem, die Schulung der Teams und die Dokumentation jeder Verarbeitung wandelt die regulatorische Herausforderung in einen Hebel für Mitarbeitervertrauen um.