DSGVO im HR: Verarbeitung von Mitarbeiterdaten

Einleitung

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 stehen Personalabteilungen bei der Compliance an vorderster Front. Personalabteilungen verarbeiten täglich sensible personenbezogene Daten: Lebensläufe, Gehaltsabrechnungen, Gesundheitsdaten, Beurteilungen, Bankdaten. Bei schlechtem Management drohen dem Unternehmen Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes (Artikel 83 DSGVO). In diesem Artikel werden die wichtigsten Pflichten und Best Practices zur Sicherung der Verarbeitung von Mitarbeiterdaten im gesamten HR-Zyklus vorgestellt.

Die auf Personaldaten anwendbaren Grundprinzipien

Die DSGVO schreibt sechs Grundprinzipien vor, die in Artikel 5 kodifiziert sind: Rechtmäßigkeit, Loyalität, Transparenz, Zweckbindung, Minimierung, Genauigkeit, Beschränkung der Speicherung und Integrität/Vertraulichkeit. In der Praxis bedeutet dies, dass die Personalabteilung nur die Daten erheben darf, die für einen bestimmten Zweck unbedingt erforderlich sind. Beispielsweise ist es unverhältnismäßig, bei der Bewerbung nach der Sozialversicherungsnummer zu fragen: Sie ist erst nach der Einstellung für das DSN gerechtfertigt.

Die CNIL hat mit ihrem Beschluss Nr. 2019-160 zur Personalverwaltung legt die empfohlenen Aufbewahrungsfristen fest: 2 Jahre für erfolglose Bewerbungen (sofern keine Zustimmung vorliegt), 5 Jahre nach Ausscheiden für die Verwaltungsakte, 6 Jahre für Gehaltsabrechnungen in der Arbeitgeberversion.

Rechtliche Grundlagen und Informationen für Mitarbeiter

Entgegen der landläufigen Meinung ist die Einwilligung aufgrund des Unterordnungsverhältnisses im Personalwesen selten die geeignete Rechtsgrundlage. Maßgebliche Grundlagen sind vielmehr die Durchführung des Arbeitsvertrages (Art. 6.1.b), die rechtliche Verpflichtung (Art. 6.1.c) oder das berechtigte Interesse (Art. 6.1.f). Für sensible Daten (Gesundheit, Gewerkschaft) verlangt Artikel 9 eine besondere Grundlage, etwa die arbeitsrechtliche Verpflichtung.

Der Arbeitgeber muss durch eine DSGVO-Mitteilung bei der Einstellung klare Informationen bereitstellen, das Verarbeitungsregister aktualisieren (Artikel 30) und die CSE konsultieren, bevor eine neue Verarbeitung Auswirkungen auf Arbeitnehmer hat (Artikel L.2312-38 des Arbeitsgesetzbuchs).

Sicherheit und Rechte der Mitarbeiter

Die technische und organisatorische Sicherheit (Artikel 32) erfordert: Verschlüsselung von HRIS, Zugriffskontrolle nach Profil, Rückverfolgbarkeit von Konsultationen, Vertraulichkeitsklauseln bei der Lohn- und Gehaltsabrechnung oder bei der Einstellung von Subunternehmern (Artikel 28). Im Falle eines Verstoßes erfolgt die Benachrichtigung der CNIL innerhalb von 72 Stunden.

Mitarbeiter haben verstärkte Rechte: Auskunft, Berichtigung, Löschung (begrenzt durch gesetzliche Aufbewahrungspflichten), Portabilität, Widerspruch. Ein internes Verfahren muss eine Antwort innerhalb von maximal einem Monat ermöglichen. Die Verweigerung der Einsicht in die Disziplinarakte muss rechtlich begründet sein.

Praxisbeispiele

Beispiel 1 – Rekrutierung:Ein KMU hat die Lebensläufe aller Kandidaten 5 Jahre lang in einem gemeinsamen Ordner aufbewahrt. Nicht konform: übermäßige Dauer, mangelnde Sicherheit. Lösung: automatische Löschung nach 2 Jahren, eingeschränkter Zugang für Personalvermittler, DSGVO-Erwähnung im Stellenangebot.

Beispiel 2 – Videoüberwachung:Ein Logistiklager filmt kontinuierlich Arbeitsplätze. Mögliche Sanktion (die CNIL verhängte im Jahr 2024 eine Sanktion gegen Amazon France Logistique in Höhe von 32 Millionen Euro). Lösung: Beschränkung auf sensible Bereiche, individuelle Information, Konsultation des CSE, Aufbewahrungsfrist von maximal einem Monat.

Beispiel 3 – Kollaborative Tools:Der Einsatz von Microsoft 365 erfordert eine Auswirkungsanalyse (AIPD), wenn Überwachungsfunktionen aktiviert sind, sowie eine konforme Unterauftragsklausel mit dem Herausgeber.

Compliance und Sanktionen

Zusätzlich zu den CNIL-Bußgeldern ist der Arbeitgeber arbeitsgerichtlichen Klagen wegen Verletzung der Privatsphäre ausgesetzt (Artikel 9 des Zivilgesetzbuchs, Artikel L.1121-1 des Arbeitsgesetzbuchs). Die Benennung eines Datenschutzbeauftragten ist für Unternehmen, die Daten in großem Umfang verarbeiten, obligatorisch. Eine jährliche Erfassung der Personalabwicklung gepaart mit einer Führungskräfteschulung stellt den besten rechtlichen und betrieblichen Schutz dar.

Fazit

DSGVO-Compliance im Personalwesen ist kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungsprozess. Zwischen gesetzlichen Verpflichtungen, Arbeitnehmerrechten und betrieblicher Leistung müssen Personalmanager die Datenverwaltung konsequent verwalten. Durch die Investition in ein konformes HRIS, die Schulung von Teams und die Dokumentation jeder Verarbeitung werden regulatorische Einschränkungen zu einem Hebel für das Vertrauen der Mitarbeiter.