Personaldaten

Personaldaten spielen eine zentrale Rolle in jedem Unternehmen und umfassen alle Informationen, die sich auf einen einzelnen Mitarbeiter beziehen. In diesem Artikel klären wir zunächst, was genau Personaldaten sind und welche Informationen dazu gehören. Weiterhin betrachten wir die Bedeutung des Datenschutzes im Umgang mit diesen sensiblen Daten und welche Datenschutzregeln Arbeitgeber beachten müssen. Ein weiterer Schwerpunkt liegt darauf, wer innerhalb des Unternehmens Zugriff auf diese Daten hat und welche Schutzmaßnahmen erforderlich sind. Schließlich zeigen wir auf, wie eine datenschutzkonforme Verwaltung der Personaldaten gewährleistet wird, um die Privatsphäre der Mitarbeiter zu schützen.

Auf die Plätze, fertig – Tarif berechnen?

Vergeuden Sie kein Budget und finden Sie heraus, wie wir Ihr Unternehmen mit qualifizierten Mitarbeitern voranbringen können.

Was sind Personaldaten?

Personaldaten sind personenbezogene Informationen von Mitarbeitern und Bewerbern, die in Unternehmen erfasst und verarbeitet werden.

Zu den Personaldaten zählen:

  • Name, Adresse und Kontaktdaten
  • Höhe und Zusammensetzung von Lohn oder Gehalt, Entgeltabrechnungen
  • Steuerklasse und -merkmale, Religionszugehörigkeit
  • Bankverbindung
  • Angaben zur Ausbildung, Qualifikation und beruflichem Werdegang (Lebenslauf), Zeugnisse, Zertifikate
  • Angaben zu Weiterbildungen, Beförderungen oder Tätigkeitsveränderungen
  • Leistungsbewertungen, Zielvereinbarungen, Feedback aus Personalgesprächen
  • Urlaubsanträge, Arbeits- und Fehlzeiten
  • Foto- oder Videoaufnahmen, auf denen Mitarbeiter identifizierbar sind
  • Gesundheitsdaten
  • Biometrische Daten, wie Fingerabdrücke

Der Begriff Personaldaten (oder Mitarbeiterdaten) ist gesetzlich nicht definiert und umfasst praktisch alle personenbezogenen Daten im Unternehmenskontext.

Datenschutz und Personaldaten gewährleisten

Für Personaldaten gelten die Datenschutzbestimmungen, die in der DSGVO (Europäische Datenschutzgrundverordnung) und dem BDSG (Bundesdatenschutzgesetz) festgelegt sind. Der Umgang mit personenbezogenen Daten von Ihrem Personal wird dabei im Wesentlichen durch zwei Paragrafen geregelt:

  • §26 BDSG: Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
  • §88 DSGVO: Datenverarbeitung im Beschäftigungskontext

Welche Grundsätze und Richtlinien gelten für die Erhebung und Verarbeitung von personenbezogenen Daten (und damit auch von Personaldaten)?

Grundsatz der Erforderlichkeit

Gemäß § 6 DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich untersagt, es sei denn, sie ist ausdrücklich erlaubt (Verbot mit Erlaubnisvorbehalt). Die Erlaubnis zur Verarbeitung kann erteilt werden, wenn eine der folgenden Bedingungen erfüllt ist:

  • Die betroffene Person hat eingewilligt.
  • Die Datenerhebung ist notwendig zur Erfüllung eines Vertrages.
  • Die Datenerhebung ist gesetzlich vorgeschrieben.

§ 26 Abs. 1 BDSG präzisiert diese Regelung im Datenschutz und erlaubt die Verarbeitung von Personaldaten für Zwecke des Arbeitsverhältnisses, wie beispielsweise:

  • Entscheidung über die Begründung eines Beschäftigungsverhältnisses
  • Durchführung oder Beendigung eines Beschäftigungsverhältnisses
  • Ausübung oder Erfüllung der sich aus einem Gesetz, einem Tarifvertrag oder einer Betriebsvereinbarung bzw. Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung

§ 88 DSGVO ergänzt diese Regelung um weitere Zwecke, nämlich:

  • Management, Planung und Organisation der Arbeit
  • Förderung der Gleichheit und Vielfalt am Arbeitsplatz
  • Gewährleistung der Gesundheit und Sicherheit am Arbeitsplatz
  • Schutz des Eigentums des Arbeitgebers oder der Kunden

Zusammengefasst dürfen Unternehmen Personaldaten verarbeiten, um den regulären Arbeitsbetrieb zu organisieren und ihre Pflichten als Arbeitgeber zu erfüllen.

Abwägung

Diese Regelung im Datenschutz erlaubt es Arbeitgebern nicht, pauschal alle Daten ihrer Arbeitnehmer und Bewerber zu erfassen und zu nutzen. Für jede einzelne Datenerhebung für Personaldaten muss sorgfältig abgewogen werden, ob die Verarbeitung wirklich notwendig ist. Dabei müssen drei zentrale Kriterien erfüllt sein:

  • Zweckerfüllung: Die Maßnahme muss den angestrebten Zweck erfüllen oder zumindest fördern.
  • Minimaler Eingriff: Es muss diejenige Maßnahme gewählt werden, die mit gleichem Erfolg am wenigsten in die Persönlichkeitsrechte der betroffenen Personen eingreift.
  • Verhältnismäßigkeit: Der Nutzen der Maßnahme muss in einem vernünftigen Verhältnis zum Eingriff in die Persönlichkeitsrechte stehen.

Durch diese Abwägung wird sichergestellt, dass nur wirklich notwendige Personaldaten erhoben und verarbeitet werden, wodurch die Persönlichkeitsrechte der Angestellten und Bewerber bestmöglich geschützt sind.

Besondere Kategorie von Personaldaten

§ 9 BDSG listet eine Reihe von besonders schützenswerten Daten auf, darunter:

  • Personaldaten, die die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit offenbaren
  • Genetische Daten
  • Biometrische Personaldaten zur eindeutigen Identifizierung
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

Die Verarbeitung solcher Daten Ihres Personals ist grundsätzlich untersagt und nur unter bestimmten Bedingungen erlaubt. Die Anforderungen dafür sind hoch: Der Zweck der Verarbeitung muss erheblich wichtiger sein als der Schutz der Persönlichkeitsrechte der betroffenen Personen.

Grundsatz der Datenminimierung

§ 5 DSGVO legt fest, dass nur die unbedingt notwendigen Personaldaten verarbeitet werden dürfen: nur so viele wie nötig, um den angestrebten Zweck zu erreichen. Beispielsweise sind Angaben zum Familienstand oder zu Hobbys für ein Arbeitsverhältnis irrelevant; Personalabteilungen dürfen solche Informationen daher nicht verlangen und ohne Einwilligung speichern.

Grundsatz der Zwickbindung

Personaldaten dürfen ausschließlich für die Zwecke verarbeitet werden, für die sie ursprünglich erhoben wurden. Eine nachträgliche Änderung des Zwecks ist nur zulässig, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist, die Betroffenen einwilligen oder eine gesetzliche Vorschrift dies verlangt.

Beispielsweise dürfen Videoaufnahmen, die explizit zum Schutz vor Einbruch und Diebstahl gemacht wurden, später nicht zur Beurteilung der Leistung der Beschäftigten verwendet werden.

Informations- und Auskunftspflicht

Sobald Arbeitgeber Personaldaten verarbeiten, sind sie verpflichtet, den Arbeitnehmer über folgende Punkte zu informieren:

  • Verarbeitete Daten
  • Zweck der Verarbeitung
  • Rechtsgrundlage der Verarbeitung (berechtigte Interessen, Einwilligung, vertragliche oder gesetzliche Pflichten)
  • Dauer der Speicherung
  • Rechte der Betroffenen
  • Widerrufbarkeit von Einwilligungen
  • Beschwerderecht bei der Aufsichtsbehörde
  • Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden)

Ihr Personal hat zudem jederzeit das Recht, Auskunft über die oben genannten Daten zu erhalten und Einsicht in alle über sich gespeicherten Angaben zu verlangen.

Einwilligung als Rechtsgrundlage

Wenn für die Verarbeitung der Personaldaten eine Einwilligung erforderlich ist, müssen gemäß § 26 Abs. 2 BDSG folgende Kriterien erfüllt sein:

  • Die Einwilligung muss freiwillig erfolgen,
  • in Schriftform vorliegen und
  • zweckgebunden sein.
  • Zudem muss die betroffene Person über ihr Widerrufsrecht informiert werden.

Aufbewahrung und Löschpflicht der Personaldaten

Laut § 17 DSGVO dürfen Personaldaten nur so lange gespeichert werden, wie es für die vorgesehenen Zwecke erforderlich ist. Danach müssen sie gelöscht werden. Wenn jedoch gesetzliche Vorschriften die Aufbewahrung bestimmter Daten vorschreiben, hat dies Vorrang vor dem Löschgebot. Die gesetzlichen Aufbewahrungsfristen variieren je nach Art der Daten und es gibt branchenspezifische Vorschriften.

Nach der Ablehnung eines Bewerbers muss ein Unternehmen deren Daten aus der Recruiting-Software löschen, es sei denn, der Bewerber willigt freiwillig in die Speicherung ein. Da E-Mails per Gesetz bis zu 11 Jahre archiviert werden müssen, bleiben in E-Mails gespeicherte Personaldaten des Bewerbers erhalten.

Mit Personaldaten Ihrer Mitarbeiter verhält es sich ähnlich. Leistungsbeurteilungen werden nicht mehr benötigt, nachdem Mitarbeiter aus einem Unternehmen ausgeschieden sind und das Arbeitszeugnis erstellt wurde. Diese Daten müssen demnach gelöscht werden. Gehaltsabrechnungen dagegen müssen für Nachprüfungen in jedem Fall bis zu 11 Jahre aufbewahrt werden.

Datenschutz und Krankheitstage von Mitarbeitern

Wenn Mitarbeiter krankheitsbedingt abwesend sind, müssen häufig das Team oder die Kollegen informiert werden, um bestimmte Aufgaben umzuorganisieren. Laut DSGVO sind Gesundheitsdaten in den Personaldaten jedoch besonders schützenswert und sind äußerst sensibel zu behandeln.

Bei der Verarbeitung von Krankheitsdaten liegt der Fokus nicht nur auf der Speicherung dieser sensiblen Personaldaten, sondern auch auf der Kommunikation unter der Belegschaft. Grundsätzlich müssen Verantwortliche dabei Folgendes beachten:

  • Notwendige Kommunikation: Fehlzeiten sollten intern nur kommuniziert werden, wenn es absolut notwendig ist.
  • Diskretion beim Abwesenheitsgrund: Der Grund der Abwesenheit sollte von der Teamleitung nicht kommuniziert werden.
  • Dauer der Abwesenheit: Die voraussichtliche Länge der Abwesenheit darf bei Notwendigkeit kommuniziert werden.
  • Kalendereinträge: Werden Abwesenheiten in einen gemeinsamen Kalender eingetragen, sollte die Datenschutzverordnung bei der Speicherung der Personaldaten beachtet werden.
  • Aushänge im Büro: Werden Abwesenheiten durch einen Aushang im Büro kommuniziert, darf der Grund der Abwesenheit nicht genannt werden.
  • Eigenverantwortliche Kommunikation: Was die Beschäftigten selbst an ihre Kollegen kommunizieren, liegt in ihrer eigenen Verantwortung.

Durch diese Maßnahmen wird sichergestellt, dass diese auf Krankheit bezogenen Personaldaten vertraulich und gemäß dem Datenschutz behandelt werden.

Wer hat Zugriff auf die Personaldaten?

Auch wenn Arbeitgeber Personaldaten verarbeiten dürfen, bedeutet dies nicht, dass sie diese unbegrenzt nutzen oder intern jedem zugänglich machen dürfen. Der Grundsatz der Zweckbindung gilt auch hier. Personaldaten dürfen nur von bestimmten Personen zu bestimmten Anlässen genutzt werden, wenn es für den vorgesehenen Zweck notwendig ist.

Personalabteilung

Nur zuständige Mitarbeiter der Personalabteilung dürfen auf Personaldaten zugreifen, etwa um die Entgeltabrechnung zu erstellen oder um Mitarbeiter zu beraten.

Vorgesetzte und Geschäftsführung

Vorgesetzte dürfen nur dann auf Personaldaten (oder die Personalakte) zugreifen, wenn sie diese für Entscheidungen oder im Rahmen ihrer Führungsaufgaben benötigen, etwa für die Vorbereitung und Durchführung von Mitarbeitergesprächen oder für die Planung von Neueinstellungen.

Betriebsrat

Der Betriebsrat hat keine besonderen Ansprüche auf Einsicht in Personaldaten. Er erhält nur dann Zugriff, wenn er die Daten für bestimmte Aufgaben benötigt, etwa für Entscheidungen über Abmahnungen oder Kündigungen. In bestimmten Fällen ist zudem die Einwilligung der Beschäftigten erforderlich. Arbeitgeber sollten die Beschäftigten grundsätzlich darüber informieren, wenn der Betriebsrat Einsicht in Personaldaten oder die Personalakte nehmen möchte.

Welche Daten dürfen Arbeitgeber veröffentlichen?

Dürfen Sie Daten Ihres Personals auf der Website oder in einer Broschüre veröffentlichen? Hier greift der Grundsatz der Erforderlichkeit: Gerichte haben bestätigt, dass Arbeitgeber bestimmte Daten wie Name, Tätigkeit, dienstliche E-Mail-Adresse und Telefonnummer der Beschäftigten ohne deren Einwilligung veröffentlichen dürfen. Dies ist erforderlich, damit Kollegen und Geschäftspartner Kontakt mit ihnen aufnehmen können.

Fotos oder Angaben zum Lebenslauf hingegen sind für diesen Zweck nicht erforderlich und diese Personaldaten dürfen daher nur mit ausdrücklicher Einwilligung der betroffenen Mitarbeiter veröffentlicht werden.

Datenschutz im Personalwesen

Wie können Unternehmen also verantwortungsvoll mit den Personaldaten

umgehen? Welche konkreten Maßnahmen ergreifen Sie, um sicherzustellen, dass alle Datenschutzvorschriften in der Personaldatenverwaltung korrekt eingehalten werden?

Datenschutz-Schulung für Arbeitnehmer

Alle Mitarbeiter, die Personaldaten verarbeiten, müssen sich verpflichten, den Datenschutz einzuhalten. Dies umfasst:

  • Daten nur für die vorgesehenen Zwecke zu nutzen,
  • Personaldaten nicht an unbefugte Personen weiterzugeben,
  • alle vorgeschriebenen Maßnahmen zum Schutz der Daten zu ergreifen.

Arbeitgeber sollten sicherstellen, dass die Mitarbeiter eine entsprechende Erklärung unterschreiben. Darüber hinaus ist es wichtig, dass die Belegschaft intensiv geschult wird, um die Datenschutzregeln am Arbeitsplatz korrekt anzuwenden und den sicheren Umgang mit Personaldaten zu gewährleisten.

Datenschutzkonforme Gestaltung von Personalprozessen

Unternehmen müssen alle Prozesse ihrer Personalverwaltung datenschutzkonform gestalten. Dazu gehört:

  • Definieren, welche Personaldaten erhoben und verarbeitet werden: Festlegen, welche spezifischen Daten benötigt werden und zu welchen Zwecken.
  • Speicher- und Löschfristen festlegen: Bestimmen, wie lange Personaldaten gespeichert werden und wann sie gelöscht werden müssen.
  • Methoden und Orte der Datenerhebung und -speicherung festlegen: Entscheiden, wie und wo die Daten erfasst und gespeichert werden.
  • Zugriffsrechte regeln: Festlegen, wer auf die Daten zugreifen darf.

Diese Informationen sollten in einem Verfahrensverzeichnis dokumentiert und, sofern vorhanden, vom Betriebsrat und Datenschutzbeauftragten geprüft werden.

Personaldaten technisch und organisatorisch schützen

Abschließend müssen die Datenschutzprozesse sowohl technisch als auch organisatorisch umgesetzt werden, um im Alltag sicherzustellen, dass alle Datenschutzregeln eingehalten werden. Wenn Personaldaten auf Papier erfasst und abgelegt sind, ist dies kaum und nur mit extrem hohem Aufwand möglich. Formulare, die offen auf Schreibtischen liegen oder in den Müll geworfen werden, sind nicht datenschutzkonform. Solche Dokumente können leicht von Unbefugten eingesehen und missbraucht werden. Dasselbe gilt für Personaldaten und -akten aus Papier, die ins Home-Office mitgenommen werden.

Eine deutlich bessere Lösung bietet die konsequente HR-Digitalisierung von Personaldaten mithilfe einer Personalverwaltungssoftware. Alle Nutzer haben einen eigenen, geschützten Zugang, und ein Rechtesystem legt genau fest, wer welche Daten einsehen und nutzen darf. Jeder Zugriff wird protokolliert. Über Automatisierungsregeln kann eingestellt werden, wie lange Daten gespeichert und wann sie gelöscht werden. So sind die Personaldaten digital sicher gespeichert und geschützt.

Recruiting-Spezialist

Probleme beim Recruiting?

Verstehen wir: Zum Glück ist Ihr Unternehmen nicht allein – unser Team von Recruiting-Experten hilft Ihnen weiter.


Key Takeaways

  • Personaldaten umfassen alle personenbezogenen Informationen von Mitarbeitern und Bewerbern.
  • Datenschutzregeln schützen Personaldaten und müssen in allen Unternehmensprozessen beachtet werden.
  • Gesundheitsdaten sind besonders schützenswert und dürfen nur im erforderlichen Umfang kommuniziert werden.
  • Nur befugte Personen dürfen im notwendigen Rahmen auf Personaldaten zugreifen.
  • Alle Prozesse der Personalverwaltung müssen datenschutzkonform gestaltet und regelmäßig überprüft werden.

Disclaimer

Bitte beachten Sie, dass die bereitgestellten Informationen in diesem Artikel lediglich zu Informationszwecken dienen und keine Rechtsberatung darstellen. Wir übernehmen keine Gewähr für die Richtigkeit, Aktualität oder Vollständigkeit der Inhalte. Für konkrete rechtliche Fragen empfehlen wir Ihnen, sich an einen qualifizierten Rechtsberater zu wenden.

Häufig gestellte Fragen

  • Was sind Personaldaten?

  • Personaldaten umfassen alle personenbezogenen Informationen von Arbeitnehmern und Bewerbern. Dazu gehören Name, Adresse, Kontaktdaten, beruflicher Werdegang und Gesundheitsdaten.

  • Wie können Arbeitgeber den Datenschutz für Personaldaten gewährleisten?

  • Arbeitgeber müssen sicherstellen, dass Personaldaten nur für festgelegte, legitime Zwecke erhoben und verarbeitet werden. Es müssen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden.

  • Wie sollten Arbeitgeber mit Krankheitstagen von Mitarbeitenden umgehen?

  • Gesundheitsdaten sind besonders schützenswerte Personaldaten und dürfen nur im erforderlichen Umfang kommuniziert werden. Der Grund der Abwesenheit sollte nicht kommuniziert werden, nur die voraussichtliche Dauer.

  • Wer hat Zugriff auf die Personaldaten?

  • Nur autorisierte Personen, wie die Personalabteilung und direkte Vorgesetzte, dürfen auf Personaldaten zugreifen. Der Zugriff muss auf das notwendige Maß beschränkt sein.

  • Wie stelle ich den Datenschutz bei der gesamten Personalverwaltung sicher?

  • Alle Personalprozesse müssen datenschutzkonform gestaltet und regelmäßig überprüft werden. Dies umfasst die Dokumentation und Überprüfung der Prozesse und Personaldaten durch den Datenschutzbeauftragten und gegebenenfalls den Betriebsrat.

Alles über Personalverwaltung