Datenschutz im Personalwesen

Datenschutz – Datenpannen im HR nachhaltig mit Persis vermeiden

Darf ich dies oder darf ich das? Bestimmt haben Sie sich auch schon oft die Frage gestellt, was Sie tun dürfen und was nicht, wenn es um den Datenschutz geht. Fragen zum Beispiel: Wo, wie lange und darf ich bestimmte personenbezogene Daten überhaupt speichern, wann brauche ich einen Datenschutzbeauftragten im Unternehmen, benötige ich eine Datenschutzerklärung, welche Datenschutzrichtlinien und welche Datenschutzbestimmungen sind für mich relevant, was ist im Datenschutzgesetz überhaupt geregelt und wo liegt eigentlich der Unterschied zwischen Datenschutz und Datensicherheit? Im nachfolgenden Blogbeitrag zeigen wir Ihnen, worauf Sie bei Ihrer täglichen Arbeit im HR beim Datenschutz achten müssen.

 

Inhaltsverzeichnis

Was ist Datenschutz?

Nähern wir uns dem Begriff Datenschutz zunächst ganz allgemein. Prinzipiell wird darunter der Schutz Ihrer personenbezogenen Daten vor missbräuchlicher Weiterverarbeitung sowie das persönliche Recht von Selbstbestimmung Ihrer Daten verstanden. Dabei ist beim Datenschutz nicht nur der Schutzcharakter entscheidend, sondern auch, dass Sie selbst verfügen und entscheiden können, was mit Ihren personenbezogenen Daten passiert und an wen diese gehen oder eben nicht. Mit anderen Worten: Gemäß dem Datenschutzgesetz sind Sie der König oder die Königin Ihrer Daten und wenn Sie nicht Ihr okay für die Weiterverarbeitung dieser geben, darf auch niemand anderes damit arbeiten. Der stetige Schutz Ihrer personenbezogenen Daten und der Schutz Ihrer Privatsphäre ist demnach das A und O beim Datenschutz. Hierunter fallen beispielsweise Daten wie Ihr eigener Name, Ihre Telefonnummer, Ihre Anschrift und vieles mehr.

 

Was wird im Datenschutz geregelt?

Soweit so gut. Doch was ist im Datenschutz geregelt und vor allem wo finde ich was? Hier in Deutschland wird der Schutz Ihrer Daten besonders großgeschrieben und ist unter anderem in der Datenschutz Grundverordnung, kurz DSGVO, sowie im Bundesdatenschutzgesetz geregelt. Darin werden neben dem Schutz der personenbezogener Daten unter anderem Fragen wie, was ist das Ziel von Datenschutz oder was sind die wichtigsten Regeln des Datenschutzes, geklärt und festgehalten.

Wesentliche Eckpfeiler beim Datenschutzgesetz sind dabei vor allem, dass:

  • Die Daten rechtmäßig und transparent verarbeitet werden und dabei besonders den Grundsätzen von Treu und Glauben entsprechen (Art. 5 Abs. 1 lit. a) DSGVO) 
  • Daten nur für eindeutig festgelegte Zwecke erhoben und weiterverarbeitet werden dürfen (Art. 5 Abs. 1 lit. b) DSGVO) 
  • Bei der Verarbeitung der Daten stets der Grundsatz der Zweckbindung sowie der Datenvermeidung und der Datensparsamkeit besteht. (Art. 5 Abs. 1 lit. c) DSGVO). Mit anderen Worten: nur die Daten dürfen verwendet werden, welche auch für diesen Zweck benötigt werden. 
  • Der Grundsatz der Richtigkeit der Datenverarbeitung soll gewahrt sein (Art. 5 Abs. 1 lit. d) DSGVO). Dadurch müssen personenbezogene Daten richtig und idealerweise auf dem aktuellsten Stand sein, ansonsten schreibt jener Grundsatz vor, die Daten umgehend richtig zu stellen oder gar zu löschen 
  • Der Grundsatz der Speicherbegrenzung aufrechterhalten wird (Art. 5 Abs. 1 lit. e) DSGVO). Genau gesprochen heißt das, dass Sie Daten nur so lange verarbeiten dürfen, wie es der Zweck der Verarbeitung gebietet. Gemäß dem Sprichwort „der Zweck heiligt die Mittel“ bedeutet das, dass die Verarbeitung der Daten dann entfällt, sobald keine Notwendigkeit mehr dafür besteht. 
  • Der Grundsatz der Integrität sichergestellt wird. Damit wird ausgesagt, dass bei der Nutzung und Verarbeitung personenbezogener Daten eine dafür notwendige, angemessene Sicherheit geboten sein muss (Art. 5 Abs. 1 lit. f) DSGVO)    
  • Zuletzt auch das Prinzip der Beweislastumkehr nach Art. 5 Abs. 2 DSGVO gegeben ist. Das heißt gemäß diesem Datenschutzparagraphen sehen sich alle, die mit personenbezogenen Daten arbeiten, einer sogenannten Rechenschaftspflicht gegenüber, wonach die Wahrung der Daten nachgewiesen werden muss 

Der Einhaltung dieser Datenschutzbestimmungen kommt damit größter Wichtigkeit zu. Insbesondere auch dann, wenn weitere Daten der jeweiligen Person angefordert werden. In diesem Fall sehen die hier vorgestellten Datenschutzrichtlinien vor, dass diejenigen die mit personenbezogenen Daten arbeiten wollen, von der entsprechenden Person eine Einwilligung einholen und die oben genannten Richtlinien beim Datenschutz konsequent einhalten.  

 

Vortrag von Herr Dr. Lüdemann auf der Persis Konferenz 2022
Vortrag von Herr Dr. Lüdemann auf der Persis Konferenz 2022

 

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

So viel zum Datenschutz, doch was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Beim Datenschutz geht es um die informationelle Sicherheit von personenbezogenen Daten. Anders bei der Datensicherheit. Hier dreht sich alles darum, wie die Daten gegenüber Unbefugten geschützt sind. Eine Frage hierzu ist beispielsweise, wie sicher die Daten auf einer externen Festplatte gespeichert sind.

 

Worauf ist beim Datenschutz im Personalwesen zu achten?

Nicht nur im privaten Umfeld, sondern ganz besonders auch und gerade im Personalwesen begleitet HR-Verantwortliche das Thema Datenschutz. Das ist nicht verwunderlich, denn schließlich arbeiten Personalverantwortliche tagtäglich mit einer Reihe sensibler sowie personenbezogener Daten. 

Dabei sehen Unternehmen sich immer wieder mit folgenden Fragen konfrontiert:

  • Gelten die ganzen Anforderung aus der Datenschutz Grundverordnung (DSGVO) auch vollumfänglich für mein Unternehmen? 
  • Warum spielt der Datenschutz in Europa eine so bedeutende Rolle? 
  • Welche Bereiche sind beim Datenschutz im Personalwesen besonders kritisch zu betrachten? 
  • Was müssen Unternehmen tun, um ihr Personalwesen datenschutzkonform, das heißt gemäß den Datenschutzrichtlinien auszugestalten? 

Dabei ist hervorzuheben, dass der Datenschutz in Europa eine herausragende Rolle genießt. Das liegt vor allem daran, dass durch die EU Datenschutzgrundverordnung in erster Linie keine Daten, sondern Grundrechte und hier allem voran das Recht auf informationelle Selbstbestimmung geschützt werden. Sie erinnern sich an das Beispiel vom Anfang dieses Beitrags, dass Sie der König oder die Königin Ihrer Daten sind und dass Sie wie jeder gute König und jede gute Königin die Macht haben, selbst zu entscheiden, was mit Ihren Besitztümern passiert? Mit anderen Worten: Sie und nur Sie entscheiden darüber, was, wann und wem Sie etwas preisgeben wollen. Jede Datenverarbeitung, die dabei nicht durch Gesetz oder durch Ihre Einwilligung im Vorfeld geregelt ist, stellt nicht nur eine grobe Datenschutz-, sondern vielmehr auch eine Grundrechtsverletzung dar. 

So viel zur Frage, weshalb der Datenschutz in Europa eine so große Bedeutung hat. Doch nun zum Thema, worauf beim Datenschutz im Personalwesen besonders der Fokus gelegt werden muss. Der Datenschutzexperte Prof. Dr. jur. Lüdemann, sieht dabei vor allem bei drei Bereichen HR-Verantwortliche in der Pflicht das Datenschutzrisiko zu minimieren: 

  • Im Bewerbermanagement 
  • In der Personalaktenführung im Personalmanager 
  • Im Umgang mit sensiblen Daten, beim Datenschutz und Datensicherheit und beim Umgang mit Datenpannen 

Doch der Reihe nach. Denn zuallererst stellt sich die Frage, wie Unternehmen genau diese drei Themenblöcke datenschutzkonform behandeln und wie dabei am besten den Datenschutzrichtlinien entsprochen wird.  

Datenschutz im Bewerbermanagement

Beim Bewerbermanagement empfiehlt Prof. Dr. jur. Lüdemann die Bewerbungsprozesse soweit wie möglich zu digitalisieren. Am besten unter dem Einsatz einer Bewerbermanagement Software. Dies bietet Unternehmen die Möglichkeit mithilfe stabiler digitaler Prozesse das Bewerbungsverfahren online auszugestalten und mithilfe eines Bewerberportals auf der eigenen Website gewisse Verfahren, bei denen analog in Papierform schnell der Überblick verloren wird, zu automatisieren und so den Datenschutz zu gewährleisten.

Mit einer passenden Software können in den Formularen unterschiedliche Felder für den Bewerber als Eingabe veröffentlich werden, damit auch nur die benötigten Bewerungsdaten aufgenommen werden.  Stichwort: Grundsatz der Zweckbindung beim Datenschutz. Gleichermaßen können automatische Löschfristen eingerichtet und so dem Grundsatz der Datenbegrenzung entsprochen werden. Damit kann sichergestellt werden, dass beispielsweise spätestens nach der Stellenbesetzung die Bewerbung und die damit eingereichten personenbezogenen Daten automatisch gelöscht werden. Auch bei der Aufnahme vielversprechender Talente in den firmeneigenen Talentpool macht eine Bewerbermanagement Software vonseiten des Datenschutzes Sinn. Hier können durch das aktive Setzen von Haken im Bewerberportal hinterlegten Check- oder Radioboxen Datenpannen aus dem Weg gegangen werden und das Unternehmen kann seiner durch die DSGVO vorgeschriebenen Beweislastumkehr hinsichtlich der Einhaltung von Datenschutzbestimmungen gerecht werden.  Sie wollen die besten Talente für Ihr Unternehmen finden und Ihren Bewerbern das Bewerbungsverfahren so einfach wie möglich gestalten. Vereinbaren Sie gleich jetzt eine Produkt-Demo oder besuchen Sie für weitere Informationen unsere Modulseite zur Persis Bewerbermanagement Software.

Datenschutz in der Digitalen Personalakte

Zur Personalaktenführung. Hier empfiehlt der Datenschutzexperte Prof. Dr. jur. Lüdemann aus Sicht des Datenschutzes als Goldstandard die digitale Personalakte. Denn ähnlich wie bei der Bewerbermanagement Software lassen sich im Rahmen der digitalen Personalakte, die von der DSGVO vorgeschriebenen technischen und organisatorischen Sicherheitsvorkehrungen datenschutzkonform umsetzen. Wie genau? Indem Sie unter anderem in der digitalen Personalakte bestimmte Rollen und Berechtigungen für Zugriffe von Mitarbeiter auf bestimmte sensible Datensätze einführen. Ihnen steht hierbei auch die Möglichkeit zu, Zugriffe genau zu protokollieren und damit dem Grundsatz der Integrität und der Vertraulichkeit im Datenschutz Sorge zu tragen. Ebenfalls können Sie bei dieser Gelegenheit Ihren Dokumenten innerhalb der digitalen Personalakte automatische Löschfristen zuweisen und damit der gesetzlichen Aufbewahrungsfrist entsprechen.  Sie wollen sich den Papierkram endlich vom Hals schaffen und Ihre Personalaktenführung DSGVO konform machen? Klicken Sie hier und vereinbaren Sie gleich jetzt eine Produkt-Demo oder besuchen Sie unsere Modulseite zur Digitalen Personalakte.

Zu guter Letzt ist die Empfehlung Datenpannen eine große Bedeutung beizumessen. Datenpannen passieren sehr häufig im Personalwesen und meistens sind sowohl Datenschutz und Datensicherheit bereits dann in Gefahr, wenn Bilder und Videos von Mitarbeitern gemacht werden und diese nicht datenschutzkonform verarbeitet oder gespeichert werden. Beim Thema Datenpannen gilt es insbesondere drei Kriterien zu beachten: 

  • Vertraulichkeit. Sie erinnern sich an das Eingangsbeispiele mit dem König und der Königin? Im Rahmen der Vertraulichkeit ist die Datensicherheit dann verletzt, wenn personenbezogen Daten Dritten offengelegt oder zugänglich gemacht wurden.  
  • Integrität. Diese ist dann bedroht, wenn die Unversehrtheit personenbezogener Daten nicht gewährleistet ist. 
  • Verfügbarkeit. Auch dies gilt es beim Datenschutz und insbesondere bei der Vermeidung von Datenpannen zu beachten. Denn im Rahmen von Datenschutz und Datensicherheit muss die Verfügbarkeit von Daten ebenso gewährleistet sein, wie deren Löschung. Sind Daten deswegen nicht mehr verfügbar, weil diese versehentlich oder unberechtigterweise gelöscht wurden, ist dies als Datenpanne festzumachen und widerspricht somit dem Datenschutz.

Sie wollen mit Ihren Konkurrenten mithalten, Ihr HR-Management digital fit für die Zukunft machen und endlich mit und nicht länger gegen die Zeit arbeiten? Dann nehmen Sie gleich jetzt Kontakt mit uns auf und seien Sie mit Persis stets der Zeit voraus.

 

Mehr Praxistipps und exklusives Know-how vom Datenschutzprofi – Zusammenarbeit mit der Persis GmbH

Prof. Dr. jur. Volker Lüdemann ist der Experte für Datenschutz in Deutschland.

Datenschutz begleitet jedes Unternehmen bei seiner täglichen Arbeit mit Kunden und im Umgang mit den eigenen Mitarbeitern. Hier besonders den Fokus daraufzulegen, muss für jedes Unternehmen zum A und O im wirtschaftlichen Miteinander mit den eigenen Stakeholdern stehen. Mit seinem breiten Fachwissen und seiner Expertise bleiben bei Prof. Dr. jur. Lüdemann keine Datenschutzfragen offen. Zudem überzeugt er mit Charme und Humor an den richtigen Stellen jedes Vortrags. Infotainment pur also.

In 2022 begleitete Dr. Prof. Dr. Lüdemann die Persis GmbH bei zwei Veranstaltungen. Einmal zum Thema Digitale Personalakte und einmal auf dem jährlichen Kundenevent, der Persis GmbH. Sprechen Sie uns an. Wir senden Ihnen Präsentation und Votragsvideo zu.