Datenschutz im HR: Definition, Rechte und Maßnahmen
Bedeutung des Datenschutzes im HR
Mit der fortschreitenden Digitalisierung nimmt der Schutz von Arbeitnehmerdaten eine immer wichtigere Rolle ein. Der Datenschutz im Human Resources (HR) Management zielt darauf ab, die Persönlichkeitsrechte der Mitarbeiter zu wahren und sicherzustellen, dass ihre persönlichen Daten vor unbefugtem Zugriff geschützt sind. Dies wird besonders durch die neuen Vorschriften der Datenschutz-Grundverordnung (DSGVO) betont, die den Schutz der Mitarbeiterdaten erheblich stärken.
Rechte der Arbeitnehmer
Arbeitnehmer haben klare Rechte in Bezug auf ihre persönlichen Daten. Als Personalmanager oder Arbeitgeber sind Sie verpflichtet, diese Rechte zu respektieren und umzusetzen:
- Einsichtnahme: Mitarbeiter dürfen jederzeit alle über sie gespeicherten Daten, einschließlich der Personalakte, einsehen.
- Löschung und Korrektur: Nachweislich unrechtmäßig erhobene, veraltete oder falsche Daten müssen auf Antrag des Mitarbeiters gelöscht, korrigiert oder gesperrt werden, unabhängig davon, ob das Arbeitsverhältnis noch besteht oder nicht.
- Einwilligung bei sensiblen Daten: Besondere personenbezogene Daten wie Gesundheitsinformationen oder religiöse Überzeugungen dürfen nur mit ausdrücklicher Zustimmung des Mitarbeiters erhoben und gespeichert werden.
- Zurückhaltung sensibler Daten: Mitarbeiter haben das Recht, sensible Informationen wie den Grund einer Erkrankung zurückzuhalten.
- Widerspruch gegen Überwachung: Im Falle einer Videoüberwachung müssen Mitarbeiter informiert werden, wie die Daten verwendet werden. Die Aufzeichnungen müssen gelöscht werden, sobald der Zweck erreicht ist, es sei denn, eine weitere Speicherung ist gerechtfertigt.
DSGVO und ihre Auswirkungen
Die DSGVO hat den Datenschutz im E-Recruiting und im HR-Bereich erheblich beeinflusst. Besonders relevant ist Artikel 88 Abs. 1 DSGVO, der die Verbindung zwischen der Datenschutz-Grundverordnung und dem Arbeitnehmerdatenschutz herstellt. Die Betroffenenrechte (Artikel 12 ff. DSGVO) erleichtern es den Mitarbeitern, Zugang zu ihren persönlichen Daten zu erhalten.
Auskunftsrecht und Informationspflichten
Artikel 15 der DSGVO legt fest, dass Unternehmen umfassende Auskunftspflichten gegenüber ihren Mitarbeitern haben. Diese umfassen:
- Den Zweck der Datenverarbeitung
- Die Kategorien der verarbeiteten Daten
- Die Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt werden
- Die Dauer der Speicherung der Daten und die Kriterien für die Festlegung dieser Dauer
Talent Pools und Datenschutz
Trotz der strengen Datenschutzvorschriften ermöglicht die DSGVO weiterhin die Führung von Talent Pools, sofern bestimmte Bedingungen erfüllt sind:
- Transparenz: Bewerber müssen darüber informiert werden, wie und warum ihre Daten gespeichert werden.
- Einwilligung: Bewerber müssen der Speicherung ihrer Daten schriftlich zustimmen.
Diese Einwilligung kann entweder direkt bei der Bewerbung oder nach Abschluss des Bewerbungsprozesses eingeholt werden. Wichtig ist, dass nach einer Absage die Bewerbungsdaten spätestens nach sechs Monaten gelöscht werden.
Sicherheitsmaßnahmen im Arbeitnehmerdatenschutz
Arbeitgeber sind verpflichtet, sowohl digitale als auch auf Papier gespeicherte Informationen streng vertraulich zu behandeln. Die wichtigsten Sicherheitsmaßnahmen gemäß DSGVO umfassen:
- Verschlüsselte Übertragungen: Online- oder One-Click-Bewerbungen dürfen nur über verschlüsselte Verbindungen gesendet werden.
- Verschlüsselung bei Datenübermittlungen: Personenbezogene Daten, wie Lohnverrechnungsdaten, dürfen nur verschlüsselt an Behörden übermittelt werden.
- Internes IT-Rechte- und Sicherheitsmanagement: Ein umfassendes Sicherheitsmanagement schützt vor unbefugtem Zugriff im Unternehmen.
- Automatisierte Datenlöschung: Daten müssen nach Ablauf der Aufbewahrungsfrist automatisiert gelöscht werden.
Verlässt ein Mitarbeiter das Unternehmen, muss seine digitale Personalakte sofort gesperrt werden, um unbefugte Zugriffe zu verhindern. Nur ausgewählte Mitarbeiter der Personalabteilung dürfen weiterhin Zugriff haben.
Erweiterte Dokumentationspflichten
Die DSGVO und das überarbeitete Bundesdatenschutzgesetz erfordern zusätzliche Dokumentationspflichten:
- Technische und organisatorische Maßnahmen: Alle Maßnahmen zum Datenschutz müssen dokumentiert werden.
- Verfahrensverzeichnis: Ein Verfahrensverzeichnis gemäß Artikel 30 Abs. 2 DSGVO muss erstellt werden.
Fazit
Der Datenschutz im HR ist essentiell, um die Persönlichkeitsrechte der Mitarbeiter zu schützen und rechtliche Vorgaben zu erfüllen. Mit der richtigen Strategie und den entsprechenden technischen und organisatorischen Maßnahmen können Unternehmen sicherstellen, dass sie den Anforderungen der DSGVO gerecht werden und gleichzeitig eine positive Candidate Experience bieten.