RGPD in HR: Verarbeitung von Mitarbeiterdaten

Die Verwaltung der Humanressourcen erzeugt täglich ein beträchtliches Volumen an Personendaten: Arbeitsverträge, Gehaltsabrechnungen, Gesundheitsdaten, Leistungsbewertungen, Bankverbindungen… Seit das Allgemeine Datenschutzreglement (RGPD) im Mai 2018 in Kraft trat, sind HR-Abteilungen zu zentralen Akteuren der Compliance innerhalb von Organisationen geworden. Doch laut dem Tätigkeitsbericht 2024 der CNIL bleibt der Sektor Humanressourcen einer der drei am häufigsten angefochtenen Bereiche bei Kontrollen. Dieser Artikel führt Sie durch die wichtigsten Verpflichtungen, bewährte Praktiken und verfügbare Instrumente, um die Daten Ihrer Mitarbeiter vollständig konform zu verarbeiten.

Welche Personendaten verarbeiten HR-Abteilungen?

Häufige Datenkategorien

HR-Services verwalten ein sehr breites Spektrum von Personendaten. Es werden zwei große Familien unterschieden:

Gewöhnliche Daten, die im Rahmen des Arbeitsvertrags erhoben werden: Name, Vorname, Adresse, Sozialversicherungsnummer, IBAN, Lebenslauf, Diplome, Karriereverlauf, jährliche Bewertungen, Arbeitszeiten, Anwesenheits- und Fehlzeitendaten.

Sensible Daten, die gemäß Artikel 9 der RGPD verstärkten Beschränkungen unterliegen: Gesundheitsdaten (Krankheitsfälle, Meldungen von Arbeitsunfällen, medizinische Einschränkungen), Gewerkschaftsdaten (Gewerkschaftszugehörigkeit, Vertreterämter), Daten über Strafverurteilungen in bestimmten Einstellungskontexten.

Diese können nur unter Vorbehalt einer ausdrücklichen Ausnahme gemäß der Verordnung verarbeitet werden – wie die Erfüllung von Rechtsgegebenheiten der Arbeitsgesetzgebung oder ausdrückliche Zustimmung der betroffenen Person.

Der Besonderheit bei der Personalrekrutierung

Die Rekrutierungsphase erzeugt spezifische Verarbeitungen, die oft unzureichend geregelt sind. Die Erfassung von Lebensläufen, Anschreiben und Testergebnissen umfasst präzise Aufbewahrungsdauer: Gemäß den Empfehlungen der CNIL müssen Daten von nicht berücksichtigten Kandidaten innerhalb von maximal zwei Jahren nach dem letzten Kontakt gelöscht oder anonymisiert werden. Die unbegrenzte Speicherung von Lebensläufen in einem unsicheren freigegebenen Verzeichnis stellt einen charakterisierten Verstoß dar.

Der Einsatz von Tracking-Tools in ATS-Systemen (Applicant Tracking Systems) oder Verhaltensanalysealgorithmen muss in der Datenschutzrichtlinie, die den Kandidaten übermittelt wird, ausdrücklich erwähnt werden, gemäß den Artikeln 13 und 14 der RGPD.

Rechtsgrundlagen der Verarbeitung im HR-Kontext

Identifizierung der richtigen Rechtsgrundlage

Die RGPD verlangt, dass jede Verarbeitung von Personendaten auf einer der sechs in Artikel 6 definierten Rechtsgrundlagen basiert. Im HR-Kontext werden drei Rechtsgrundlagen hauptsächlich angewendet:

• Ausführung des Arbeitsvertrags (Art. 6.1.b): begründet die Verarbeitung von Daten, die für die Verwaltung von Lohn, Urlaub oder Schulung notwendig sind.

• Rechtliche Verpflichtung (Art. 6.1.c): gilt für obligatorische Sozialmeldungen (DSN), Personalregister oder die Überwachung von Arbeitsunfällen.

• Berechtigtes Interesse (Art. 6.1.f): kann für Verarbeitungen wie die Verwaltung von Zugangsausweisen oder Videoüberwachung angeführt werden, vorbehaltlich eines strikten Ausgleichstests.

Zustimmung (Art. 6.1.a) ist dagegen eine fragile Rechtsgrundlage im Arbeitskontext: Die CNIL und der Europäische Datenschutzausschuss (EDSA) erinnern daran, dass das strukturelle Ungleichgewicht zwischen Arbeitgeber und Arbeitnehmer die Nachweisführung einer freien Zustimmung erschwert. Sie sollte nur als letztes Mittel verwendet werden.

Das Verarbeitungsverzeichnis, eine unumgängliche Verpflichtung

Jede Organisation mit mindestens 250 Beschäftigten – oder die sensible Daten in kleinerem Umfang verarbeitet – muss ein Verarbeitungsverzeichnis führen (Art. 30 der RGPD). Im HR muss dieses Verzeichnis für jede Verarbeitung dokumentieren: den Zweck, die Datenkategorien, die Empfänger, die Aufbewahrungsdauer und die eingesetzten Sicherheitsmaßnahmen.

Dieses Dokument, das der CNIL im Falle einer Kontrolle zur Verfügung gestellt wird, ist auch ein wertvolles Steuerungsinstrument. In Kombination mit einer Lösung für elektronische Signaturen speziell für HR ermöglicht es, jeden Schritt des Lebenszyklus eines HR-Dokuments zu verfolgen und zu zeitstempeln, was die Nachverfolgbarkeit der Prozesse erheblich verbessert.

Rechte der Mitarbeiter und Verpflichtungen des Arbeitgebers

Mitarbeiter informieren: eine unmittelbare Verpflichtung

Artikel 13 der RGPD verpflichtet, die betroffenen Personen zum Zeitpunkt der Datenerfassung zu informieren. In der Praxis müssen HR-Abteilungen den Mitarbeitern – idealerweise bei der Unterzeichnung des Arbeitsvertrags – eine RGPD-Informationsmitteilung übermitteln, die folgende Angaben enthält: Identität des für die Verarbeitung Verantwortlichen, Zwecke und Rechtsgrundlagen, Aufbewahrungsdauer, verfügbare Rechte und Kontaktdaten des Datenschutzbeauftragten (DSB), falls das Unternehmen über einen verfügt.

Diese Mitteilung zu digitalisieren und zu sichern ist wesentlich. Die Verwendung von elektronischen Signaturen in Unternehmen für die Übergabe dieser Mitteilung garantiert einen zeitgestempelten und unbestreitbaren Zustellungsnachweis, der mit den Anforderungen der eIDAS-Verordnung übereinstimmt.

Rechte der Mitarbeiter, die unbedingt zu respektieren sind

Mitarbeiter haben umfangreiche Rechte bezüglich ihrer Daten:

• Recht auf Auskunft (Art. 15): Jeder Mitarbeiter kann eine Kopie aller Daten anfordern, die der Arbeitgeber über ihn verarbeitet.

• Recht auf Berichtigung (Art. 16): Korrektur einer unrichtigen Angabe (z. B. Postanschrift, IBAN).

• Recht auf Löschung (Art. 17): anwendbar in bestimmten Fällen, insbesondere nach Beendigung des Vertrags und Ablauf der gesetzlichen Aufbewahrungsfrist.

• Recht auf Widerspruch (Art. 21): Der Mitarbeiter kann einer auf berechtigtem Interesse basierenden Verarbeitung widersprechen.

• Recht auf Einschränkung (Art. 18): zeitweilige Aussetzung einer umstrittenen Verarbeitung.

Der Arbeitgeber hat einen Zeitraum von einem Monat zur Antwort auf jede Anfrage zur Wahrnehmung von Rechten, erweiterbar auf drei Monate bei komplexen Fällen (Art. 12 der RGPD).

Sicherheit von HR-Daten und Verwaltung von Unterauftragnehmern

Technische und organisatorische Maßnahmen

Artikel 32 der RGPD verlangt die Umsetzung von Sicherheitsmaßnahmen, die „dem Risiko entsprechend" sind. Für HR-Daten gehören zu den bewährten Praktiken:

• Verschlüsselung von Dateien mit sensiblen Daten (Gehaltsabrechnungen, medizinische Unterlagen).

• Zugriffskontrolle: Prinzip des geringsten Privilegs – ein Lohnbuchhalter hat keinen Zugriff auf Disziplinarakten.

• Protokollierung des Zugriffs auf HR-Systeme (HRIS, Lohnabrechnungstools).

• Plan für Reaktion auf Verletzungen: Im Falle einer Datenlecke muss der Arbeitgeber die CNIL innerhalb von 72 Stunden benachrichtigen (Art. 33), und möglicherweise die betroffenen Personen, wenn das Risiko hoch ist (Art. 34).

Ein vollständiges Audit über den Leitfaden der elektronischen Signatur kann HR-Teams helfen, auf Papier persistierende, nicht gesicherte Verarbeitungen zu identifizieren und diese konform zu digitalisieren.

Unterauftragnehmern mit Datenverarbeitungsverträgen Grenzen setzen

HR-Services bedienen sich zahlreicher Unterauftragnehmern: Lohnabrechnungssoftware, Schulungsplattformen, Zeitmanagementsysteme. Jeder Anbieter, der auf Personendaten zugreift, muss Gegenstand einer Datenverarbeitungsvereinbarung (Data Processing Agreement – DPA), gemäß Artikel 28 der RGPD, sein. Dieser Vertrag muss die Verarbeitungsanweisungen, Sicherheitsgarantien, Modalitäten für Rückgabe oder Vernichtung von Daten und Verpflichtungen im Falle einer Verletzung präzisieren.

Die Auswahl von Anbietern, deren Infrastruktur in der Europäischen Union gehostet wird, oder die durch von der Kommission genehmigte Standardvertragsklauseln (SVC) gesichert sind, bleibt eine fundamentale Anforderung, um jeden rechtswidrigen Transfer außerhalb der EU zu vermeiden.

Aufbewahrungsdauer: ein strukturierender Aspekt

Gesetzliche Fristen für die Personalakte

Die Aufbewahrungsdauer von HR-Daten wird durch eine Ansammlung von Texten geregelt: die RGPD (Prinzip der Begrenzung der Aufbewahrung, Art. 5.1.e), das Arbeitsgesetzbuch und verschiedene Steuer- und Sozialbestimmungen. In der Praxis müssen folgende Hauptfristen eingehalten werden:

| Dokumenttyp | Minimale Aufbewahrungsdauer | |---|---| | Gehaltsabrechnung | 5 Jahre (soziale Verjährung) | | Arbeitsvertrag | 5 Jahre nach Ende des Vertrags | | Lohndaten (DSN) | 3 Jahre (URSSAF-Kontrolle) | | Personalregister | 5 Jahre nach Ausscheiden des Mitarbeiters | | Disziplinarakten | Dauer proportional zur Maßnahme | | Akte der Betriebsmedizin | 50 Jahre (spezifische Vorschrift) |

Die Einführung einer automatisierten Archivierungs- und Löschungsrichtlinie im HRIS, kombiniert mit Workflows für elektronische Signaturen, die die Dokumentenerstellung zeitstempeln, stellt heute die beste Praktik dar, um die Compliance mit der CNIL nachzuweisen.

Fallstricke zu vermeiden

Die am häufigsten beobachteten Fehler bei CNIL-Kontrollen von HR-Daten sind: die unbegrenzte Aufbewahrung von Lebensläufen nicht berücksichtigter Kandidaten, die Beibehaltung von Informationszugriffen ehemaliger Mitarbeiter, das Fehlen von Verschlüsselung exportierter Lohndateien und die Nichtlöschung von Badging-Daten über die Fristen hinaus. Um diese Punkte zu sichern, hilft die Konsultation des Vergleichs von Lösungen zur elektronischen Signatur dabei, Instrumente zu identifizieren, die nativ Funktionen für beweiskräftige Archivierung und Dokumentenlebenszyklus-Management integrieren.

Geltender Rechtsrahmen für die Verarbeitung von HR-Daten

Die Verarbeitung von Personendaten von Mitarbeitern findet sich in einem dichten normativen Rahmen wieder, der mehrere Ebenen der Regelung verbindet.

Die Verordnung (EU) 2016/679 – RGPD ist der Eckstein. Seine Artikel 5 bis 11 definieren die grundlegenden Prinzipien (Rechtmäßigkeit, Lauterkeit, Transparenz, Zweckbegrenzung, Datensparsamkeit, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit). Artikel 9 legt strikte Bedingungen für besondere Datenkategorien fest, darunter Gesundheits- und Gewerkschaftsdaten, die besonders häufig im HR vorkommen. Artikel 83 sieht Geldbuße vor, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bei schweren Verstößen betragen können.

Das Datenschutzgesetz (Loi Informatique et Libertés, geändert, Gesetz Nr. 78-17 vom 6. Januar 1978) in seiner konsolidierten Fassung passt die RGPD dem französischen Recht an. Es verleiht der CNIL ihre Kontroll- und Sanktionsbefugnisse und sieht insbesondere Ausnahmen für Gesundheitsdaten in der Betriebsmedizin vor.

Das Arbeitsgesetzbuch regelt Verarbeitungen im Zusammenhang mit der Überwachung von Mitarbeitern (Art. L. 1121-1 zum Schutz der Privatsphäre), zur Konsultation der Personalvertreter über digitale Instrumente (Art. L. 2312-38) und zu obligatorischen Registern.

Die eIDAS-Verordnung (Nr. 910/2014), ergänzt durch eIDAS 2.0 (Verordnung EU 2024/1183), regelt den Rechtswert elektronischer Signaturen auf HR-Dokumenten. Eine qualifizierte elektronische Signatur (QES), die mit Anlage I der eIDAS und den Normen ETSI EN 319 132 und ETSI EN 319 122 konform ist, bietet die Vermutung der Gleichwertigkeit mit einer handschriftlichen Signatur gemäß Artikel 1367 des französischen Zivilgesetzbuchs.

Artikel 1366 des Zivilgesetzbuchs besagt, dass „die elektronische Schrift die gleiche Beweiskraft wie die Schrift auf Papier hat, unter Vorbehalt, dass die Person, von der sie ausgeht, ordnungsgemäß identifiziert werden kann und dass sie so erstellt und aufbewahrt wird, dass ihre Integrität gewährleistet ist". Diese Bestimmung gilt unmittelbar für Arbeitsverträge, Änderungen, Geheimhaltungsvereinbarungen und andere dematerialisierte HR-Dokumente.

Die NIS2-Richtlinie (EU 2022/2555), umgesetzt in französisches Recht durch das Gesetz vom 26. Februar 2025, verpflichtet wesentliche und wichtige Unternehmen (insbesondere große Industrieunternehmen und digitale Dienstleistungsanbieter) zu verstärkten Anforderungen bei der Verwaltung von Informationssicherheitsrisiken, einschließlich des Schutzes sensibler HR-Daten.

Die von der CNIL verhängten Sanktionen sind stark gestiegen: 2024 überschreitet das Gesamtvolumen der Geldbuße 100 Millionen Euro, mit mehreren Entscheidungen, die direkt Mängel bei der Verwaltung von Mitarbeiterdaten betreffen. Die Nichtbeachtung von Aufbewahrungsfristen, das Fehlen von DPA mit HR-Unterauftragnehmern und unzureichende Sicherheitsmaßnahmen gehören zu den am häufigsten festgestellten Vorwürfen.

Anwendungsszenarien: RGPD-Konformität im HR in der Praxis

Szenario 1 – Ein mittelständisches Industrieunternehmen mit 450 Mitarbeitern digitalisiert seine Onboarding-Prozesse

Ein mittelständisches Industrieunternehmen an drei Standorten in Frankreich verwaltete seine Arbeitsverträge und Änderungen auf Papier. Die Unterlagen neuer Mitarbeiter wurden dem Lohnabteilungsservice erst nach durchschnittlich 12 Arbeitstagen übermittelt, was in etwa 8 % der Fälle zu Lohnfehler führte. Darüber hinaus wurde den neuen Mitarbeitern kein RGPD-Informationsformular formell übergeben: Die Information stand nur in Fußnoten der Betriebsordnung, die nicht separat unterzeichnet wurde.

Nach Bereitstellung einer in das HRIS integrierten Lösung für elektronische Signaturen, mit gleichzeitiger Übergabe eines von Mitarbeiter und Personalleiter gemeinsam unterzeichneten RGPD-Formulars, reduzierte das Unternehmen die Dokumentationsfrist für das Onboarding auf 2 Arbeitstage (Reduktion um 83 %). Lohnfehler aufgrund fehlender Daten sanken auf unter 1 %. Jedes unterzeichnete Dokument wird mit qualifiziertem Zeitstempel archiviert und bietet einen durchsetzbaren Nachweis im Falle einer CNIL-Kontrolle oder arbeitsgerichtlichen Streitigkeit.

Szenario 2 – Ein Verteilungskonzern mit 1 200 Mitarbeitern bringt seine Aufbewahrungsrichtlinie in Einklang

Ein in spezialisierter Verteilung tätiger Konzern wurde nach einer Beschwerde eines ehemaligen Mitarbeiters von der CNIL kontrolliert. Die Inspektion offenbarte, dass Excel-Dateien mit Lohndaten von Mitarbeitern, die vor über 8 Jahren ausgeschieden waren, auf einem unsicheren freigegebenen Server ohne Verschlüsselung noch zugänglich waren. Eine formale Verwarnung wurde ausgesprochen, gepaart mit einer Anweisung zur Konformitätssicherung innerhalb von 3 Monaten.

Der Konzern führte dann eine vollständige Audit seiner HR-Verarbeitungen durch, kartografierte seine 23 Verarbeitungsaktivitäten und implementierte einen automatisierten Löschplan, der durch das HRIS ausgelöst wird. Die elektronisch unterzeichneten Dokumente wurden in einen digitalen Safe mit konfigurierten Aufbewahrungsfristen gemäß Rechtsgegebenheiten migriert. Der Datenschutzbeauftragte erstellte ein vollständiges HR-Verarbeitungsverzeichnis, das bei einer zweiten CNIL-Kontrolle 18 Monate später vorgelegt wurde, die ohne Beanstandung endete. Die Kosten der Konformitätssicherung wurden auf unter 60 % des Betrags einer potenziellen Geldbuße geschätzt.

Szenario 3 – Ein HR-Beratungsbüro mit 35 Mitarbeitern sichert die Daten seiner eigenen Berater und Kunden

Ein auf Humanressourcen spezialisiertes Beratungsbüro verwaltet sowohl die Daten seiner eigenen Berater als auch die Kandidaten und Mitarbeiter seiner Kunden (im Rahmen von Assessment- oder Outplacement-Missionen). Es befindet sich somit in einer Doppelrolle: Verantwortlicher für seine eigenen HR-Daten und Unterauftragnehmer (oder Co-Verantwortlicher) für Drittpersonendaten.

Das Büro implementierte eine differenzierte Dokumentenarchitektur: einfache elektronische Signaturen für alltägliche interne Kommunikation, fortgeschrittene Signaturen für Missionsverträge mit Kunden und systematisch in Missionsschreiben integrierte Datenverarbeitungsvereinbarungen. Alle Berater erhielten eine aktualisierte RGPD-Charta, elektronisch unterzeichnet und in einem dedizierten Register aufbewahrt. Diese Organisationsform ermöglichte es dem Büro, seine Konformität als Verkaufsargument gegenüber Großkonten mit strikten Lieferantenaudits zu nutzen und die durchschnittliche Vertragsabschlusszeit von 7 auf 2 Wochen zu reduzieren.

Fazit

Die RGPD erfordert von Humanressourcen-Abteilungen eine tiefe Umwandlung ihrer Praktiken: rigorose Identifizierung der Rechtsgrundlagen, wirksame Information der Mitarbeiter, Verwaltung von Rechten, vertragliche Regelung von Unterauftragnehmern, Datensicherung und Einhaltung der Aufbewahrungsdauer. Diese Verpflichtungen sind nicht bloße verwaltungstechnische Formalitäten – sie bestimmen die Fähigkeit des Unternehmens, Sanktionen von mehreren Millionen Euro zu vermeiden und das Vertrauen seiner Teams zu bewahren.

Die Digitalisierung von HR-Prozessen durch eIDAS-konforme Lösungen für elektronische Signaturen ist einer der wirksamsten Hebel, um Betriebseffizienz und behördliche Konformität zu verbinden. Certyneo begleitet HR-Teams in diesem Übergang, von der Unterzeichnung des Arbeitsvertrags bis zur sicheren Archivierung von Mitarbeiterakten.

Entdecken Sie, wie Certyneo Ihre HR-Prozesse sichert, indem Sie unser Angebot speziell für HR-Teams konsultieren oder kostenlos starten, um die Lösung ohne Verpflichtung zu testen.