Datenschutz im Unternehmen – der Umgang mit Personaldaten in der Personalabteilung
Im Jahre 2018 machte die Europäische Union (EU) ernst.
Die fortschreitende Digitalisierung, das Ansteigen des bargeldlosen Zahlungsverkehrs sowie die zunehmende Attraktivität des E-Commerce verursachten einen noch nie dagewesenen Datenfluss. Ohne eine entsprechende Verordnung konnten die Persönlichkeitsrechte der Bürger nicht mehr geschützt werden, wodurch sich dem Datenmissbrauch und der Cyberkriminalität Tür und Tor öffneten.
Daraufhin wurde auf EU-Ebene die Datenschutz-Grundverordnung (DSGVO) erlassen. Für Unternehmen und deren Personalabteilungen sind dadurch einige Pflichten entstanden, da der Schutz von sensiblen Arbeitnehmerdaten in den Vordergrund gerückt ist.
Schutz personenbezogener Daten im Beschäftigtenverhältnis
Ohne die Speicherung bestimmter personenbezogener Daten ist kein geregeltes Arbeitsverhältnis möglich. Ansonsten könnte weder eine Personalakte geführt noch eine Lohn- und Gehaltsabrechnung erstellt werden. Allerdings besitzen Arbeitnehmer und Arbeitnehmerinnen das Recht, Einblick auf ihre gespeicherten Daten zu erhalten. Zudem müssen sie über die Gründe der Speicherung informiert werden.
Der Datenschutz reguliert diesen sensiblen Part und bestimmt, warum und wie lange diese Daten gespeichert werden. Obendrein gibt er klare Regelungen vor, welche Daten nicht erfasst und gespeichert werden dürfen. Verantwortlich für die Einhaltung der Vorgaben der DSGVO ist dabei entweder ein interner oder ein externer Datenschutzbeauftragter.
Welche Personaldaten können Eingang in die Personalakte finden?
Bisher existiert noch keine allgemeingültige Definition für den Begriff der Personaldaten. Bei den zu schützenden Informationen handelt es sich um Informationen, mit denen Rückschlüsse auf die jeweilige natürliche Person und deren Lebensführung gezogen werden können.
Für Betroffene kann es schwerwiegende Folgen nach sich ziehen, wenn beispielsweise die Krankengeschichte, Bankdaten, private Chatverläufe oder auch nur die E-Mail-Adresse öffentlich gemacht werden. Je nach Arbeitsverhältnis können die folgenden Informationen als Personaldaten gelten:
- Name und Anschrift
- Geburtsdatum
- Telefonnummer
- Steuerklasse
- Versicherungsnummern
- Zeugnisse und Qualifikationen
- Beförderungen
- Biometrische Daten
- Gesundheitsdaten
- Religionszugehörigkeit
- Leistungseinschätzungen.
- Fotos und Videos
- Fehltage
- Urlaubsanträge
Datenschutz als Wettbewerbsvorteil
Der Datenschutz hat heutzutage im öffentlichen Interesse einen hohen Stellenwert eingenommen. Unternehmen werden danach bewertet, wie sie mit ihren Kunden- und Mitarbeiterdaten umgehen. Dies gilt sowohl im B2B- als auch im B2C-Bereich. Damit bringt eine rechtskonforme Vorgehensweise einen harten Wettbewerbsvorteil mit sich.
Datenschutz in der Personalabteilung
Auch wenn die Art der Daten, welche die Personalabteilung speichern und weiterverarbeiten darf, nicht genau definiert ist, gibt die DSGVO klare Vorgaben, wie ein Unternehmen damit umzugehen hat.
Löschung personenbezogener Daten aus der Personalakte
Personenbezogene Daten, die keine Relevanz für die Ausübung der Arbeit oder die Führung des Unternehmens mehr haben, müssen gelöscht werden. Die Einhaltung dieser Vorgabe wird in der Regel von den verantwortlichen Behörden kontrolliert. Wird eine Nichteinhaltung nachgewiesen, kann dieses Verhalten zu hohen Bußgeldern führen.
Beweispflicht liegt beim Unternehmen
Mit der Einführung der DSGVO wird das Unternehmen in die Beweispflicht genommen. Dieser Umstand bringt es mit sich, dass die Personalabteilung ihre Prozesse hinsichtlich Datenspeicherung und -verarbeitung im Detail dokumentieren muss. Unter Umständen muss dies in einem sogenannten Löschkonzept festgehalten werden. Nur so kann bei einer Kontrolle seitens der Behörden jederzeit nachgewiesen werden, dass die Vorgaben der DSGVO eingehalten wurden. Auch hier sind bei Verstößen hohe Strafzahlungen zu erwarten.
Informationspflicht
Alle Unternehmen werden durch die DSGVO verpflichtet, ihre Beschäftigten transparent darüber zu informieren, welche personenbezogene Daten in der Personalakte enthalten sind. In Fällen von Datenpannen oder Cyberkriminalität müssen die Betroffenen innerhalb von 72 Stunden in Kenntnis gesetzt werden.
Härtere Strafen
Besonders schmerzhaft erweist sich für Unternehmen die drastische Erhöhung der Strafen, die mit der DSGVO einhergehen, wenn die Personalabteilung gegen deren Vorgaben verstößt. Jedes gravierende Vergehen wird mit Bußgeldern bis zu 20 Millionen Euro belegt, aber auch weniger schwere Vergehen können mit bis zu 10 Millionen Euro sanktioniert werden. Alternativ können bei Unternehmen 2 bis 4 Prozent des weltweiten Vorjahresumsatzes geltend gemacht werden.
Die Strafen können vor allem für kleine und mittlere Unternehmen (KMU) existenzbedrohend sein. Daher sind die Vorschriften unabhängig von der Unternehmensgröße unbedingt einzuhalten. Obendrein kann eine Nichtbeachtung zu einem erheblichen Imageverlust führen, welcher in der Regel zu einer Abwanderung der Kundschaft führt.
Pflicht zur Benennung eines Datenschutzbeauftragten
Damit die Vorgaben der DSGVO in der Personalabteilung berücksichtigt werden, empfiehlt sich die Ernennung eines oder einer Datenschutzbeauftragten. Bei Unternehmen, die in ihrer Personalabteilung mehr als 20 Personen beschäftigen, ist die Ernennung einer solchen Kontrollinstanz verpflichtend.
Das Aufgabengebiet eines Datenschutzbeauftragten
Der Schutz von personenbezogenen Daten im Unternehmen beinhaltet ein breites Aufgabenspektrum. In den wenigsten Fällen ist ein Mitarbeiter mit all diesen Kenntnissen ausgestattet. Daher ist es empfehlenswert, auf einen externen Dienstleister zurückzugreifen.
Der Datenschutzexperte ist dafür verantwortlich, dass sich das beauftragende Unternehmen einschließlich Personalabteilung an die gesetzlichen Vorgaben hält. Dabei ist er dazu ermächtigt, die Richtlinien im Betrieb durchzusetzen. Er delegiert Aufgaben und kontrolliert deren Ausführung. Im Wesentlichen handelt es sich dabei um die folgenden Problemstellungen:
- Ausführliche Beratung der Geschäftsführung
- Regelmäßige Erstellung von Gutachten
- Einführung und Überwachung von Maßnahmen zur Datensicherung
- Kontrolle von Arbeitseinsätzen in der Datenverarbeitung
- Sichtung von Protokolldaten
- Bewertung von Maßnahmen, die der Profilbildung dienen
- Kontrolle der Datenübermittlung in außereuropäische Drittstaaten
- Informationsaustausch mit den verantwortlichen Behörden
- Erteilung von datenbezogenen Auskünften
- Monitoring der Datenverwendung in der Marketingabteilung
- Zulässigkeit von innerbetrieblichen Videoüberwachungen
Interner versus externer Datenschutzbeauftragter
Unternehmen, die zur Berufung eines Datenschutzbeauftragten verpflichtet sind, können zwischen zwei Varianten wählen. Der vornehmlich einfachere Weg ist dabei, auf einen verdienten Mitarbeiter zurückzugreifen, der ein hohes Vertrauenspotenzial besitzt. Die innerbetrieblichen Abläufe sind ihm bekannt und die Einarbeitungszeit kann reduziert werden.
Für die Benennung eines externen Datenschutzbeauftragten sprechen dagegen dessen Unabhängigkeit und Neutralität. Externe befinden sich im Gegensatz zur internen Lösung nicht im Spannungsfeld zwischen Unternehmensinteressen und den Vorgaben der DSGVO und können daher frei entscheiden.
Überdies wird gewünscht, dass sich die Beauftragten in der Materie auskennen. Während diese Bedingung bei einem externen Dienstleister als gegeben angesehen werden kann, müssen die infrage kommenden Mitarbeiter erst durch kostenpflichtige Schulungsmaßnahmen auf ihre Aufgabe vorbereitet werden.
Was macht einen guten externen Datenschutzbeauftragten aus?
Bei einem externen Datenschutzbeauftragten ist darauf zu achten, dass dessen Fachkompetenz gesichert ist. Ersichtlich wird dieser Umstand durch entsprechende Zertifikate, die entweder vom TÜV oder von der Industrie- und Handelskammer (IHK) ausgestellt sind.
-------------------
Bildquelle https://pixabay.com/de/photos/datenschutz-it-computer-sicherheit-2117996/
Unser Hör-Tipp
Der Positionierung Weiterdenken Podcast ist die kompakte Audio-Show für Selbständige und Solo-UnternehmerInnen – mit viel Input für Deine treffsichere Positionierung, aber auch mit dem Blick auf alles, was zum Businessaufbau dazugehört – vor allem Sichtbarkeit, Marketing und die passenden Angebote
Positionierung Weiterdenken Podcast
Aktuelle Termine
- 19.11.24 oder 20.11.24 - Online-Workshop Jahresplanung 2025 für Nicht-Planer
Richtung, Schwerpunkte und Maßnahmenstatt starrem Planungsgerüst
>> zum Workshop Jahresplanung >>
Aktuelle Bücher
Neu im Blog / Podcast
- „Das können meine Kunden doch auch ohne mich“ – Aber wollen sie es auch?
- Sprichst Du die richtige Zielgruppe an? Mit diesen Schritten findest Du die passenden Menschen
- Eine Community gründen – Das neue große Ding in Marketing und online Geld verdienen?
- Kuratierte Inhalte – Was das ist? Warum Inhalte teilen? Wie geht Content Curation?
- An einer Blogparade teilnehmen und dabei sichtbar werden – 8 Tipps für erfolgreiche Blogparadenbeiträge