DSGVO und HR: Warum ist DSGVO so wichtig für die Personalabteilung?
Gerade in der Personalabteilung gehört der Umgang mit sensiblen Daten zum Alltag. Egal, ob von den eigenen Mitarbeitern oder von potentiellen Bewerbern: Die DSGVO beinhaltet strenge Regelungen, die die Verarbeitung personenbezogener Daten betrifft. Da dieses Feld im HR-Breich verschiedenste Vorgänge betrifft – angefangen von der Rekrutierung, bis hin zum Umgang mit den Gehaltszetteln der Mitarbeiter – möchten wir an dieser Stelle zwei Themenfelder unterscheiden: Der Umgang mit den eigenen Mitarbeiterdaten und die Anwerbung von neuen Personen. In diesem Artikel zeigen wir Ihnen, wie sich die DSGVO auf die Administration bestehender Mitarbeiter auswirkt.
Personaladministration und die DSGVO: Was ist zu beachten?
Die im Rahmen der Personaladministration verwendeten Daten sind in der Regel personenbezogene Daten und somit schutzwürdig. Jeglicher Umgang mit solchen sensiblen Daten fällt laut DSGVO unter den Terminus Datenverarbeitung. Das heißt, von der Datenerhebung, Aufbewahrung, Abfragung, über die Benützung und Übermittlung, bis hin zur Datenlöschung, wird alles Datenverarbeitung genannt.
Laut der Datenschutz-Grundverordnung muss bei der Datenverarbeitung ein Verzeichnis der Verarbeitungstätigkeiten geführt und die Informationspflicht eingehalten werden. Zu jedem Zeitpunkt muss nachgewiesen werden können, wo die Daten in welcher Form liegen und wer darauf Zugriff hat. Die Führung eines solchen Verzeichnis und die Weitergabe von Informationen muss selbstverständlich von allen involvierten Mitarbeitern eingehalten werden. Dafür sollten Mitarbeiter regelmäßig geschult werden. Die Kommunikation und Information muss so transparent, präzise und verständlich wie möglich erfolgen. Typische Beispiele der Datenverarbeitung in der HR-Abteilung sind elektronische Personalakten oder Gehaltszettel, Systeme des Performance Managements oder Karriere-Pools.
Wie lange dürfen die Daten aufbewahrt werden?
Daten in personenbezogener Form dürfen nicht unbegrenzt aufbewahrt werden. Nur die Dauer und das Ausmaß, die erforderlich sind, ist erlaubt. Nun gibt es keine genauen Listen, wie lange welche Daten aufbewahrt werden dürfen. Es muss eine Balance zwischen gesetzlichen Vorschriften - zum Beispiel müssen Daten für die Abgabeerhebung laut dem österreichischen Gesetzgeber mindestens sieben Jahre aufbewahrt werden – und der DSGVO gefunden werden. Empfehlenswert ist, alle Personaldaten regelmäßig zu überprüfen und gegebenenfalls Daten, die nicht mehr gebraucht werden, zu löschen.
Wenn Dritte mitmischen: Externe Dienstleister und DSGVO
Einige solcher Datenverarbeitungen werden von externen Dienstleistern übernommen, beispielsweise von professionellen Personalverrechnern aber auch spezielle Softwareprogramme fallen darunter. Hier muss der Auftraggeber, also in diesem Fall Arbeitgeber, kontrollieren, ob der Auftragsverarbeiter DSGVO-konforme Datensicherheitsmaßnahmen getroffen hat und sollte diese am besten vertraglich absichern.
Der Betriebsrat und die DSGVO
In der Datenschutz-Grundverordnung ist die Klausel, die die Datenverarbeitung im Beschäftigungskontext betrifft, für die einzelnen Länder offengehalten. Die einzelnen Mitgliedstaaten können „(…) durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung (…) vorsehen.“ (Quelle: DSGVO, Art. 88, 1) Länder können also im Bereich des Arbeitnehmerschutzes neue Regelungen schaffen. In Österreich wird das jetzige Arbeitsverfassungsgesetz übernommen. Das heißt, alle bisherigen Befugnisse (beispielsweise vom Betriebsrat) bleiben unangetastet.
Wissen Sie, wo Ihre personenbezogenen Daten liegen, wie lange sie gespeichert werden und welche Personen darauf Zugriff haben?
Unter der DSGVO müssen Sie diese Informationen vorlegen können! Machen Sie Ihr Unternehmen noch heute DSGVO-Sattelfest:
