RGPD in HR: Behandlung von Mitarbeiterdaten

Die Datenschutz-Grundverordnung (DSGVO) gilt nicht nur für Geschäftsbeziehungen zwischen einem Unternehmen und seinen Kunden: Sie regelt auch präzise die Verarbeitung personenbezogener Daten von Mitarbeitern. Rekrutierung, Lohnverwaltung, Zugangskontrollen, Leistungsbewertungen, Videoüberwachung – jede Phase des Arbeitsvertrags erzeugt personenbezogene Daten, die der Arbeitgeber gemäß europäischem Recht verarbeiten muss. Bei Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes ist das Risiko erheblich. Dieser Artikel erläutert die geltenden Rechtsgrundlagen, praktische Verpflichtungen der HR-Abteilungen und Best Practices zur Sicherung Ihrer Verarbeitungsprozesse – einschließlich der Digitalisierung von HR-Dokumenten.

Die rechtlichen Grundlagen der HR-Datenverarbeitung

Die im Arbeitsrecht zulässigen Rechtsgrundlagen

Die DSGVO nennt sechs Rechtsgrundlagen zur Verarbeitung personenbezogener Daten (Art. 6). Im HR-Kontext werden typischerweise drei herangezogen:

• Erfüllung des Arbeitsvertrags (Art. 6.1.b): Dies ist die Hauptgrundlage für Lohnverwaltung, Arbeitszeiterfassung, Gehaltsabrechnung oder Urlaubsverwaltung.

• Gesetzliche Verpflichtung (Art. 6.1.c): Dies begründet Verarbeitungen, die durch Arbeitsrecht oder Sozialgesetzgebung vorgeschrieben sind, wie Anmeldungen vor Arbeitsbeginn (DPAE), elektronische Lohnsteuerbescheinigungen oder Personalregistrierung.

• Berechtigtes Interesse (Art. 6.1.f): Kann bestimmte Verarbeitungen wie IT-Sicherheit oder Betrugsprävention begründen, sofern dieses Interesse nicht durch Grundrechte der Mitarbeiter überlagert wird.

⚠️ Die Einwilligungsgrundlage muss im Arbeitskontext äußerst vorsichtig eingesetzt werden. Die nationale Datenschutzbehörde betont regelmäßig, dass das inhärente Machtungleichgewicht in Arbeitsverhältnissen eine wirklich „freie" Einwilligung nach Art. 7 DSGVO selten ermöglicht. Die Begründung von Verarbeitungen auf Einwilligung, die auf andere Grundlagen gestützt werden könnten, setzt den Arbeitgeber dem Risiko einer Neubewertung aus.

Besondere Datenkategorien: ein verstärktes Regelwerk

Bestimmte von HR erhobene Daten fallen unter das Regime der „sensiblen Daten" nach Art. 9 DSGVO, deren Verarbeitung grundsätzlich verboten ist, außer bei Ausnahmen:

• Gesundheitsdaten: Krankmeldungen, Arbeitsunfähigkeitsfeststellungen durch Betriebsarzt, Arbeitsplatzanpassungen für Menschen mit Behinderung.

• Gewerkschaftsdaten: Gewerkschaftszugehörigkeit, Vertreterämter.

• Biometrische Daten: Zugangskontrollen per Fingerabdruck oder Gesichtserkennung.

• Daten zu Straftaten: Überprüfung polizeiliches Führungszeugnis, nur in kontrollierten Sektoren (Sicherheit, Kinderbetreuung usw.) zulässig.

Für diese Kategorien muss der Arbeitgeber eine explizite Ausnahmeregelung (Art. 9.2) nachweisen, eine Datenschutz-Folgenabschätzung (DSFA) durchführen und die Datenschutzbehörde häufig vor Einführung konsultieren.

Praktische Verpflichtungen der HR-Abteilungen

Das Verarbeitungsverzeichnis

Jede Organisation mit mehr als 250 Mitarbeitern muss ein Verarbeitungsverzeichnis führen (Art. 30 DSGVO). Darunter gilt die Pflicht, sobald Verarbeitungen nicht gelegentlich erfolgen oder sensible Daten betreffen – was im HR-Bereich fast immer zutrifft. Dieses Verzeichnis muss dokumentieren:

• Den Zweck jeder Verarbeitung (z. B. „Lohnverwaltung")

• Die Kategorien der betroffenen Daten

• Die Empfänger (Dritte, Auftragsverarbeiter, Behörden)

• Die Aufbewahrungsdauern

• Die implementierten Sicherheitsmaßnahmen

Die nationale Datenschutzbehörde stellt ein frei erhältliches Musterverzeichnis zur Verfügung. Dessen gewissenhafte Führung ist die erste Verteidigungslinie bei einer Kontrolle.

Aufbewahrungsdauern: Ein oft unterschätzter Punkt

Art. 5.1.e DSGVO sieht das Prinzip der Speicherbegrenzung vor: Daten dürfen nicht länger aufbewahrt werden als für den Verarbeitungszweck erforderlich. Im HR-Bereich gelten folgende Richtwerte:

| Datentyp | Empfohlene Aufbewahrungsdauer | |---|---| | Gehaltsabrechnung | 5 Jahre (Verjährungsfrist) | | Arbeitsvertrag | 5 Jahre nach Beendigung | | Bewerbungsdaten (nicht ausgewählter Kandidat) | Maximal 2 Jahre nach letztem Kontakt | | Disziplinarakten | Unterschiedlich je nach Art der Maßnahme (max. 3 Jahre für Verwarnung) | | Videoüberwachungsdaten | Grundsätzlich 1 Monat | | Personalregister | 5 Jahre nach Ausscheiden des Mitarbeiters |

Diese Dauern müssen im Verzeichnis aufgeführt und durch Lösch- oder Archivierungsverfahren durchgesetzt werden.

Information der Mitarbeiter: Eine oft unterschätzte Pflicht

Art. 13 DSGVO verpflichtet, umfassende Informationen zum Zeitpunkt der Datenerfassung bereitzustellen. Im HR-Bereich sollte diese Information idealerweise erfolgen:

• Zum Zeitpunkt der Bewerbung: Für Daten, die im Rekrutierungsprozess erfasst werden.

• Bei Einstellung: Im Arbeitsvertrag oder als Anlage bei Unterzeichnung.

• Im Verlauf des Arbeitsverhältnisses: Bei neuen Verarbeitungen (z. B. Einführung biometrischer Zeiterfassung).

Die Digitalisierung des Onboarding-Prozesses, besonders mittels elektronischer Signatur im HR-Bereich, verbessert die Nachvollziehbarkeit dieser Information: Zeitpunkt des Lesens und Unterzeichnens sind aussagekräftig dokumentiert, was im Streitfall entscheidend ist.

Sicherheit von HR-Daten: Technische und organisatorische Maßnahmen

Verschlüsselung, Zugriffskontrolle und Kompartimentalisierung

Art. 32 DSGVO fordert Sicherheitsmaßnahmen angepasst an das Risiko. Für HR-Daten, die sensibel und bei Angriffen gezielt sind, gehören Mindeststandards dazu:

• Verschlüsselung ruhender und übertragener Daten: Gehaltsabrechnungen, Verträge und Personaldossiers müssen verschlüsselt gespeichert werden (mindestens AES-256) und über sichere Protokolle übertragen werden (TLS 1.3).

• Rollenbasierte Zugriffskontrolle (RBAC): Nur befugte HR-Manager erhalten Zugriff auf Gehaltsabrechnung; Vorgesetzte erhalten nur notwendige Daten.

• Zugriffsverfolgung: Alle Abruf- und Änderungsvorgänge müssen mit Benutzer-ID, Datum und Uhrzeit protokolliert werden.

• Pseudonymisierung für analytische Verarbeitungen (HR-Dashboards, Gehaltsstudien).

Management von HR-Auftragsverarbeitern

HR-Abteilungen nutzen zahlreiche Auftragsverarbeiter: HRIS-Anbieter, externe Lohnabrechnung, Trainingsplattformen, Online-Rekrutierungstools. Jeder muss über einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verfügen mit:

• Art und Zweck der ausgelagerten Verarbeitungen

• Sicherheits- und Vertraulichkeitsverpflichtungen des Auftragsverarbeiters

• Verbot der Untervergabe ohne vorherige Genehmigung

• Bedingungen für Rückgabe oder Vernichtung der Daten am Ende des Vertrags

Bei der Auswahl eines Dienstleisters sollte überprüft werden, ob dessen Server im Europäischen Wirtschaftsraum lokalisiert sind oder ob angemessene Transfermechanismen (Standardvertragsklauseln, Adäquatzbeschlüsse) für Transfers außerhalb des EWR vorliegen.

Digitalisierung von HR-Dokumenten und DSGVO-Compliance

Die zunehmende Digitalisierung von HR-Prozessen – elektronische Arbeitsverträge, digitale Gehaltsabrechnungen, remote unterzeichnete Änderungen – wirft spezifische DSGVO-Fragen auf. Während elektronische Signaturen gemäß eIDAS gewisse Gewährleistungen für Integrität und Authentizität bieten, muss der Arbeitgeber sicherstellen, dass die Plattform:

• Bei der Signatur nicht zu viele Daten erfasst (Minimierungsprinzip, Art. 5.1.c)

• Signaturprotokolle sicher und für angemessene Dauer speichert

• Die Ausübung von Signatarrechten ermöglicht (Zugang, Berichtigung, Löschung im Rahmen der Gesetze)

Für weiterführende Informationen zur Compliance von Signaturlösungen enthält der umfassende Leitfaden zur elektronischen Signatur von Certyneo technische und rechtliche Kriterien zur Überprüfung vor Einführung.

Mitarbeiterrechte und deren wirksame Ausübung

Überblick der durch DSGVO garantierten Rechte

Mitarbeiter genießen alle Rechte der Art. 15–22 DSGVO. Im HR-Kontext werden folgende Rechte am häufigsten ausgeübt:

• Auskunftsrecht (Art. 15): Der Mitarbeiter kann eine Kopie aller Daten zu seiner Person anfordern, auch berufliche E-Mails unter bestimmten Bedingungen.

• Recht auf Berichtigung (Art. 16): Korrektur fehlerhafter Daten (falsche IBAN, falsch eingegebener Abschluss usw.).

• Recht auf Löschung (Art. 17): Im HR-Bereich durch Aufbewahrungsverpflichtungen begrenzt, gilt aber für Bewerbungsdaten nicht ausgewählter Kandidaten.

• Widerspruchsrecht (Art. 21): Kann gegen Verarbeitung auf Grundlage berechtigten Interesses, wie Überwachungsmaßnahmen, ausgeübt werden.

• Datenportabilitätsrecht (Art. 20): Gilt für Daten, die der Mitarbeiter selbst im Rahmen der Vertragserfüllung bereitgestellt hat.

Antwortzeitraum und interne Verfahren

Der Arbeitgeber hat einen Monat Zeit, auf Anfragen zur Ausübung von Rechten zu antworten, verlängerbar auf drei Monate bei Komplexität oder hohem Anfrageaufkommen (Art. 12.3). Zur effizienten Abwicklung wird empfohlen:

• Einen zentralen Ansprechpartner (Datenschutzbeauftragter oder DSGVO-Referent) für Anfragen zu bestimmen

• Ein dediziertes, für Mitarbeiter erreichbares Formular zur Verfügung zu stellen

• Jede Anfrage und Antwort in einem Register zu dokumentieren

• HR-Manager zu schulen, um implizite Anfragen zu erkennen (ein Mitarbeiter, der „sein Personalakten" fordert, übt faktisch sein Auskunftsrecht aus)

Die Rolle des Datenschutzbeauftragten im Unternehmen

Die DSGVO verpflichtet zur Benennung eines Datenschutzbeauftragten (DPO) in drei Fällen (Art. 37): öffentliche Behörde, großflächige Verarbeitung sensibler Daten oder systematische großflächige Überwachung. Viele Unternehmen mit erheblicher HR-Verarbeitung unterliegen dieser Pflicht. Der DPO kann intern oder extern sein; muss funktional unabhängig sein und in alle Entscheidungen mit Datenschutzauswirkungen eingebunden werden, einschließlich neuer digitaler HR-Tools. Seine Rolle ist beratend, nicht entscheidend: Die Verantwortung liegt beim Verantwortlichen, dem Arbeitgeber.

Anwendbarer Rechtsrahmen für HR-Datenverarbeitung

Die DSGVO: Der Grundlagentexte

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (DSGVO) bildet die Grundlage für Datenschutz in Europa. Sie gilt direkt in allen Mitgliedstaaten seit dem 25. Mai 2018 und verpflichtet alle Arbeitgeber, die Daten von in der EU wohnhaften Mitarbeitern verarbeiten, unabhängig von der Unternehmensnationalität. Wichtigste anwendbare Artikel im HR-Kontext:

• Art. 5: Grundprinzipien (Rechtmäßigkeit, Fairness, Transparenz, Minimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Verantwortlichkeit)

• Art. 6: Rechtsgrundlagen für Verarbeitung

• Art. 9: Regelwerk für sensible Daten

• Art. 12–22: Rechte betroffener Personen

• Art. 24–32: Pflichten des Verantwortlichen und Auftragsverarbeiters

• Art. 33–34: Meldung von Datenschutzverletzungen (72 Stunden an Behörde, Information betroffener Personen bei hohem Risiko)

• Art. 35: Datenschutz-Folgenabschätzung obligatorisch für Verarbeitungen mit hohem Risiko

• Art. 83: Verwaltungsgeldbußgelder (bis 20 M€ oder 4 % des weltweiten Jahresumsatzes)

Nationales Datenschutzgesetz

Das nationale Datenschutzgesetz (z. B. in Deutschland das BDSG – Bundesdatenschutzgesetz) ergänzt die DSGVO durch nationale Öffnungsklauseln und spezifische Regelungen. Im HR-Kontext besonders relevant sind Regelungen zu Betriebsverfassungsrecht, Arbeitnehmerdatenverarbeitung und Regelungen zu Betriebsräten bzw. Mitbestimmungsorganen.

Arbeitsrecht und Arbeitsgerichtsbarkeit

Das Arbeitsrecht verpflichtet zur Konsultation von Mitbestimmungsorganen (z. B. Betriebsrat) vor Einführung von Überwachungs- oder Kontrollvorrichtungen für Mitarbeiter. Mangelnde Konsultation führt zu Unverwertbarkeit der gewonnenen Beweise sowie zu strafrechtlichen Sanktionen.

Arbeitsgerichte betonen regelmäßig, dass Kontrollmaßnahmen (Georeferenzierung, Zeiterfassung, Aktivitätsverfolgungssoftware) verhältnismäßig sein und nicht zweckentfremdet werden dürfen.

Elektronische Signatur von HR-Dokumenten: eIDAS und BGB

Bei Digitalisierung von Arbeitsverträgen, Änderungen oder Disziplinardokumenten muss die Verordnung (EU) Nr. 910/2014 eIDAS beachtet werden, die drei Signaturebenen definiert. Für substantielle Dokumente wie unbefristete Arbeitsverträge oder Kündigungen wird eine fortgeschrittene Signatur (oder qualifizierte Signatur) empfohlen, um Signataridentität und Dokumentintegrität zu sichern. Das BGB in §§ 126, 126a begründet die Beweiskraft elektronischer Dokumente und Signaturen unter der Voraussetzung zuverlässiger Identifizierung und Integritätsgarantie.

Von Datenschutzbehörden verhängte Sanktionen im HR-Bereich

Datenschutzbehörden haben mehrere bedeutende Sanktionen bei HR-Datenverarbeitung verhängt: 2022 wurde ein Unternehmen zu 400.000 € Geldbuße für übermäßige Überwachung von Teleworkern durch Bildschirmaufnahmesoftware verurteilt. 2023 wurde ein Sicherheitsunternehmen zu 200.000 € verurteilt für exzessive biometrische Datenerfassung ohne valide Rechtsgrundlage. Diese Entscheidungen zeigen wachsende Regulierungswachsamkeit in diesem Bereich.

Anwendungsszenarien: DSGVO HR in der Praxis

Szenario 1 – Ein mittleres Industrieunternehmen mit 450 Mitarbeitern bringt seinen Rekrutierungsprozess in Einklang

Ein Industriebetrieb mit etwa 450 Beschäftigten an drei Standorten erhielt jährlich über 3.000 Spontanbewerbungen und bearbeitete etwa 60 Stellenausschreibungen. CVs und Anschreiben wurden unbegrenzt in einer gemeinsamen E-Mail-Box von sechs Abteilungsleitern gespeichert. Es wurde keine Datenschutzinformation an Kandidaten übermittelt.

Nach einer Datenschutzprüfung wurden folgende Maßnahmen innerhalb von sechs Monaten umgesetzt:

• Migration zu einem DSGVO-konformen Bewerbermanagementsystem mit automatischer Löschung nach 24 Monaten Inaktivität

• Hinzufügung einer Datenschutzinformation in jedem Online-Bewerbungsformular

• Elektronische Unterzeichnung von Angebots- und Arbeitsvertragsdokumenten über eine eIDAS-konforme Plattform, wobei sich die Rückgabedauer von 8 Tagen im Durchschnitt auf unter 48 Stunden reduzierte

• Aktualisierung des Verarbeitungsverzeichnisses mit 12 neuen HR-Verarbeitungsdatensätzen

Ergebnis: Keine Datenschutzbeschwerde in den nächsten 18 Monaten; geschätzter Gewinn von 1,2 Vollzeitstellen in der Verwaltung der Rekrutierung durch Digitalisierung.

Szenario 2 – Ein Verteilungskonzern mit 1.200 Mitarbeitern regelt seine Videoüberwachungspolitik

Ein auf Lebensmittelverteilung spezialisierter Konzern hatte ein Videoüberwachungssystem über 34 Filialen installiert. Bilder wurden an einigen Standorten 45 Tage aufbewahrt, ohne dass Mitarbeiter informiert wurden. Mehrere Kameras erfassten ständig Kassiererarbeitsplätze und stellten ein überproportionales Überwachungsrisiko dar.

Nach einer Beschwerde eines Mitarbeiters führte das Unternehmen folgende Compliance-Maßnahmen durch:

• Reduzierung der Aufbewahrung auf maximal 30 Tage an allen Standorten

• Neupositionierung von Kameras, um permanente individuelle Arbeitsplatzüberwachung auszuschließen

• Konsultation und Zustimmung des Betriebsrats vor neuen Installationen

• Systematische Information der Mitarbeiter über Arbeitsverträge und aushangweise gültige Betriebspolitik

Ergebnis: Beschwerde ohne Sanktion abgeschlossen; Verbesserung des Arbeitsklimas in der jährlichen Mitarbeiterbefragung (+11 Punkte beim Vertrauen zum Arbeitgeber).

Szenario 3 – Ein HR-Beratungsunternehmen sichert Datentransfers mit Kunden ab

Ein auf externe Lohn- und Personalkonto-Verwaltung spezialisiertes Beratungsunternehmen verwaltet Mitarbeiterdossiers für etwa 20 mittelständische Kunden, etwa 1.800 monatliche Gehaltsabrechnungen. Abrechnungsdateien wurden per unverschlüsselter E-Mail verschickt, ohne einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Das Unternehmen führte eine umfassende Umgestaltung durch:

• Unterzeichnung von Auftragsverarbeitungsverträgen nach Art. 28 mit jedem Kunden via elektronischer Signaturplattform mit Nachverfolgung

• Bereitstellung eines sicheren Kundenportals (TLS-Verschlüsselung + Zwei-Faktor-Authentifizierung) für Datenaustausch

• Hosting auf in Frankreich lokalisierten, HDS-zertifizierten Servern für sensitive Daten

• Verfassung einer Richtlinie zur Untervergabe

Ergebnis: 100 % Reduzierung unsicherer E-Mail-Übertragungen; Akquisition von zwei neuen Kundenverträgen, die DSGVO-Compliance als zwingendes Auswahlkriterium festlegten.

Fazit

DSGVO im HR ist keine zusätzliche Verwaltungslast: Sie ist ein Vertrauensfaktor zwischen Arbeitgeber und Mitarbeitern und ein Wettbewerbsvorteil auf einem Arbeitsmarkt, auf dem Transparenz zunehmend geschätzt wird. Ein aktuelles Verarbeitungsverzeichnis, kontrollierte Aufbewahrungsdauern, formalisierte Mitarbeiterinformation, verstärkte Datensicherheit und vertragliche Auftragsverarbeiter – jeder Pfeiler trägt zu einer rechtmäßigen und verantwortungsvollen HR-Politik bei.

Die Digitalisierung von HR-Dokumenten – Verträge, Änderungen, Gehaltsabrechnungen, Datenschutzinformationen – bietet eine einzigartige Gelegenheit, DSGVO-Compliance mit operativer Effizienz zu verbinden, vorausgesetzt, es werden zertifizierte Tools eingesetzt. Certyneo unterstützt Sie bei diesem Prozess mit einer eIDAS-konformen Signaturlösung, speziell für HR-Teams entwickelt. Entdecken Sie unsere Tarife und starten Sie eine kostenlose Testversion auf Certyneo, um Ihre HR-Dokumente noch heute zu sichern.