Zum Inhalt gehen
Unternehmensvorschriften & Gesetze

Personaldaten: Datenschutz in der Personalabteilung

·
6 Minuten Lesezeit
Sie wollen ihre workflows optimieren?
Gesetzeskonform und up to date. Mit Factorial sind Sie auf der sicheren Seite. Sicherheit bei Factorial
Verfasst von

Unabhängig davon, wie groß oder klein ein Unternehmen ist, müssen Arbeitgebende verantwortungsvoll mit den Daten ihrer Beschäftigten umgehen. Datenschutz ist also ein wichtiges Thema, zumal sowohl Deutschland als auch die EU hohe Maßstäbe in Bezug auf die Speicherung und Verwendung personenbezogener Daten ansetzen. Doch was gehört alles zu den Personaldaten und wie können Unternehmen den Datenschutz möglichst unkompliziert und dennoch rechtskonform umsetzen?

Antworten auf diese und ähnliche Fragen sowie die besten Tipps zum Thema finden Sie in folgendem Artikel.

Key Facts

  1. Zu den Personaldaten im Unternehmenskontext zählen nicht nur Name und Adresse, sondern beispielsweise auch Gesundheitsdaten, Leistungsbewertungen sowie Entgeltabrechnungen.
  2. Die Datenschutzregeln für Personaldaten sind festgelegt im Bundesdatenschutzgesetz (BDSG) und in der europäischen Datenschutz-Grundverordnung (DSGVO).
  3. Im Wesentlichen gilt: Unternehmen dürfen Personendaten nur dann speichern und verarbeiten, wenn dies für die Erfüllung ihrer Pflichten als Arbeitgebender und für die Organisation des regulären Arbeitsbetriebs unabdingbar ist.


Was gehört alles zu den Personaldaten?

Die Liste der Daten, die zu den Personaldaten gezählt werden, ist lang. Hier eine Auswahl:

  • Name und Kontaktdaten (Adresse, Telefonnummer, E-Mail-Adresse)
  • Steuermerkmale
  • Religionszugehörigkeit
  • Lebenslauf (Ausbildung, Qualifikation, Weiterbildungen etc.)
  • Entgeltabrechnungen bzw. Zusammensetzung des Lohns/Gehalts
  • Leistungsbewertungen
  • Arbeits- und Abwesenheitszeiten, Urlaubsanträge
  • Gesundheitsdaten einschließlich biometrischer Daten
  • Fotos und Videos, auf denen der*die Beschäftigte identifizierbar ist

Datenschutz für Personaldaten: Welche Regeln gelten?

Auf welche Weise die Personalabteilung den Datenschutz im Unternehmen gewährleisten muss, ist in der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) genau festgelegt.

Grundsatz der Erforderlichkeit

Laut § 6 DSGVO dürfen persönliche Daten von Beschäftigten nur gespeichert und verarbeitet werden, wenn die Datenerhebung gesetzlich vorgeschrieben und/oder unbedingt notwendig ist (etwa zur Vertragserfüllung). Außerdem müssen die Betreffenden der Datenspeicherung zustimmen.

Auch § 26 Abs. 1 BDSG formuliert klar, dass die Verarbeitung von Personaldaten ausschließlich für Zwecke des Beschäftigungsverhältnisses erlaubt ist – zum Beispiel im Rahmen der Aufnahme oder Beendigung eines Arbeitsverhältnisses oder für die Erfüllung der Rechte und Pflichten, die sich aus einem Gesetz, einem Tarifvertrag oder einer Betriebsvereinbarung ergeben.

Ebenfalls in der DSGVO (§ 88) steht, dass personenbezogene Daten von Unternehmen nur gespeichert und verarbeitet werden dürfen, wenn dies bestimmten Zwecken dient, zum Beispiel:

  • Planung und Organisation der Arbeit
  • Sicherstellung von Gleichheit am Arbeitsplatz
  • Schutz des Eigentums (der Beschäftigten oder der Kund*innen)

Grundsatz der Abwägung

Personalabteilungen müssen immer genau abwägen, ob die Erhebung und Verarbeitung bestimmter persönlicher Daten unbedingt erforderlich ist. Dazu müssen laut Gesetz bestimmte Kriterien erfüllt sein: Die Datenspeicherung oder Datenverarbeitung muss den gewünschten Zweck erfüllen und in einem angemessenen Verhältnis zum Eingriff in die Persönlichkeitsrechte stehen. Außerdem ist stets jene Maßnahme zu bevorzugen, die die Persönlichkeitsrechte am wenigsten beeinträchtigt.

Letzteres wird auch durch § 5 DSGVO deutlich, denn danach sollen immer nur so viele Daten verarbeitet werden, wie unbedingt erforderlich (Datenminimierung). So sind beispielsweise Angaben zu Freizeitaktivitäten oder zum Familienstand grundsätzlich irrelevant für das Arbeitsverhältnis. Diese Daten müssen aus der Personalakte zum Datenschutz gelöscht werden. Unternehmen sollten hier eine besondere Sorgfalt an den Tag legen, denn sie stehen in der Beweispflicht. Nehmen die Behörden eine Datenschutzkontrolle vor, können Verstöße mit Bußgeldern geahndet werden. Diese wurden durch die DSGVO drastisch erhöht und können insbesondere für kleine und mittelständische Unternehmen existenzbedrohend sein.

Grundsatz der Zweckbindung

Persönliche Daten dürfen stets nur für den Zweck verwendet werden, für den sie ursprünglich erhoben wurden. Ist beispielsweise ein Ladenlokal zwecks Diebstahlschutz mit Videokameras ausgestattet, dürfen die Videoaufnahmen nicht verwendet werden, um die Arbeit der Mitarbeitenden zu überwachen. Außerdem gilt: Der Zweck darf nachträglich nur in bestimmten Fällen verändert werden, nämlich dann, wenn:

  • dies gesetzlich vorgeschrieben ist,
  • der neue Zweck nicht im Widerspruch zu dem ursprünglichen steht und
  • die Betreffenden ihr Einverständnis geben.

Die Einwilligung zur Datenspeicherung und Datenverwendung muss dabei immer freiwillig und in Schriftform erfolgen.

Grundsatz der Informationspflicht

Beschäftigte müssen vom Unternehmen darüber informiert werden, welche personenbezogenen Daten konkret gespeichert und verarbeitet werden. Auch der Verwendungszweck, die vorgesehene Dauer der Speicherung und die Möglichkeit des Widerrufs ihrer Einwilligung müssen ihnen mitgeteilt werden. Sofern es im Unternehmen eine*n Datenschutzbeauftragte*n gibt, müssen Beschäftigte wissen, wie sie ihn oder sie kontaktieren können. Auch über ihr Beschwerderecht bei der zuständigen Aufsichtsbehörde müssen sie aufgeklärt werden.

Wann müssen personenbezogene Daten gelöscht werden?

Der Gesetzgeber sieht in Bezug auf den Datenschutz von Beschäftigten in Unternehmen bestimmte Löschungspflichten personenbezogener Daten vor. Laut § 17 DSGVO dürfen die Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Manchmal existieren allerdings Aufbewahrungspflichten, zum Beispiel im Fall von Gehaltsabrechnungen (bis zu elf Jahre). Leistungsbeurteilungen hingegen müssen gelöscht werden, sobald der Mitarbeitende aus dem Unternehmen ausgeschieden ist und ein Arbeitszeugnis erhalten hat.

Besonders schutzwürdige Personaldaten

Bestimmte personenbezogene Daten gelten als besonders schutzwürdig, zum Beispiel:

  • Gesundheitsdaten, darunter genetische und biometrische Daten (etwa Fingerabdrücke)
  • Daten mit Bezug zur ethnischen Herkunft
  • Daten, aus denen die weltanschauliche Überzeugung oder die politische Meinung der Beschäftigten hervorgeht
  • Daten, aus denen die sexuelle Orientierung hervorgeht

Die Speicherung und Verarbeitung von Daten dieser Art ist nur unter strengen Voraussetzungen erlaubt, nämlich dann, wenn der Verarbeitungszweck deutlich höher eingestuft wird als das individuelle Recht auf Datenschutz.

Dass Gesundheitsdaten zu den besonders schützenswerten Daten zählen, sollte den Verantwortlichen, etwa der Teamleitung, stets bewusst sein. Meldet sich ein Mitarbeitender beispielsweise krank, darf der Grund der Abwesenheit den anderen Beschäftigten nicht mitgeteilt werden. Die Abwesenheit selbst sollte auch nur dann kommuniziert werden, wenn es unbedingt erforderlich ist. Die erkrankten Mitarbeitenden entscheiden hingegen selbst, was sie ihren Kolleg*innen mitteilen möchten.

Wer darf in Unternehmen auf persönliche Daten zugreifen?

Damit die Personalabteilung den Datenschutz gewährleisten kann, dürfen nur bestimmte Personengruppen auf Personaldaten zugreifen – im Falle der Entgeltabrechnungen beispielsweise die Mitarbeitenden, die für die Lohnabrechnung zuständig sind. Vorgesetzten ist der Zugriff nur dann erlaubt, wenn er für die Führungsarbeit erforderlich ist. Benötigt der Betriebsrat bestimmte Daten eines Mitarbeitenden, muss er dies gut begründen und oftmals zusätzlich die Einwilligung der betreffenden Person einholen.

Die Beschäftigten selbst dürfen jederzeit ihre Personaldaten einsehen, auch ihre Personalakte. Datenschutz bedeutet dabei zudem, dass Mitarbeitende immer das Recht haben, bestimmte persönliche Daten zurückzuhalten, etwa Informationen über eine Erkrankung. Sie können dann die Auskunft verweigern, sofern sie nicht auskunftspflichtig sind.

In Bezug auf die Veröffentlichung sieht der Gesetzgeber vor, dass Kontaktdaten wie der Name, die genaue Tätigkeit und die dienstliche E-Mail-Adresse und Telefonnummer auch ohne Einwilligung des Beschäftigten veröffentlicht werden dürfen, beispielsweise online auf der Unternehmensseite. Lediglich dann, wenn es um Fotos oder Angaben zum Lebenslauf geht, ist vorab eine Einwilligung erforderlich.

Entdecken Sie Factorial: eine All-in-One-Plattform für das Personalmanagement

Datenschutzkonforme Verwaltung personenbezogener Daten: Tipps für den Unternehmensalltag

Verantwortliche in Unternehmen können einiges tun, um den Datenschutz zu gewährleisten. Hier ein paar Beispiele für alltagstaugliche und leicht umsetzbare Maßnahmen:

  • regelmäßige Mitarbeiterschulungen zum Thema Datenschutz durchführen
  • Datenschutzrichtlinien einführen (Welche Daten dürfen für welche Zwecke erhoben und gespeichert werden? Wer hat Zugriff? Wann müssen Daten gelöscht werden?)
  • Daten digital schützen und organisieren (etwa mithilfe einer digitalen Personalsoftware)

Benennung eines Datenschutzbeauftragten: Pflicht?

Nur in Unternehmen, in denen mindestens 20 Mitarbeitende beschäftigt sind, muss laut Art. 37 DSGVO und § 38 BDSG ein*e Datenschutzbeauftragte*r benannt werden. Deren bzw. dessen Aufgabe ist es, die Datenspeicherung und Datennutzung im Unternehmen kritisch zu überprüfen und auf Missstände hinzudeuten. Der*die Datenschutzbeauftragte*r kann dem Unternehmen angehören oder als externe*r Expert*in beauftragt werden.

Digitales Datenschutzmanagement und DATEV Personaldaten

Datenschutz in Unternehmen erfordert ein gut durchdachtes Dokumentenmanagement. Mithilfe der digitalen Personalakte von Factorial sammeln Sie bereits vor dem ersten Arbeitstag alle relevanten Personaldaten – und zwar so, dass sie von Ihren Beschäftigten jederzeit eingesehen und bearbeitet werden können. Dabei legt die All-in-One-Software nicht nur Wert auf Sicherheit, sondern auch auf Benutzerfreundlichkeit. Die eingegebenen Daten lassen sich unkompliziert verwalten und können auch mit Factorial Payroll+DATEV als DATEV-Personaldaten für die vorbereitende Lohnabrechnung verwendet werden. Alles in einem Workflow. Überzeugen Sie sich selbst und testen Sie die Factorial’s Software-Lösungen rund um das Thema.

Als passionierte Copywriterin kann sich Antonia bei Factorial voll ausleben. Was sie besonders glücklich macht? Mit ihren Beiträgen rund um brandaktuelle HR-Themen kann sie einen wahren Impact hinterlassen. So trägt sie nicht nur zum Erfolg von Factorial, sondern auch zum Fortschritt tausender Unternehmen bei, die ihren Weg im Bereich New Work gehen wollen.
This website uses cookies
FACTORIAL uses cookies and processes personal data to personalise content and ads, to provide social media features and to analyse our traffic.
We also share information about your use of our site with our social media, advertising and analytics partners who may combine it with other information that you've provided to them or that they've collected from your use of their services. You can change your preferences at any time from the footer of the page.Manage cookies
Customize