Datenschutz Verstehen – Datenschutz bei Digitalisierungsmaßnahmen im Bereich Human Resources
Kurze Einleitung
Der digitale Arbeitsplatz macht selbstverständlich keinen Halt vor dem Human Resource Management. Innerhalb der Verwaltung von Beschäftigten eines Unternehmens finden sich in der Regel die sensibelsten Informationen, welche ein Unternehmen vorhält. Doch was muss vor allem bei der Digitalisierung im HR-Bereich beachtet werden? Diese Frage möchten wir in diesem Beitrag für unsere Leser beantworten und einen hilfreichen Impuls setzen, sodass die datenschutzkonforme Optimierung besser gelingt.
Inhalt:
- Welche datenschutzrechtlichen Aspekte müssen berücksichtigt werden?
- Wie sieht es mit Digitalisierungsmaßnahmen speziell im Bereich Human Resources aus?
- Individuelle Vereinbarungen erforderlich oder nur eine allgemeine Datenschutzrichtlinie?
- Gibt es bestimmte Löschfristen im HR-Bereich?
- Datenschutz-Tipps für die Digitalisierung im Bereich HR
Welche datenschutzrechtlichen Aspekte müssen berücksichtigt werden?
Für Digitalisierungsmaßnahmen müssen einige Vorgaben des Datenschutzes beachtet werden. Beispielsweise sollte zum einen beachtet werden, dass es sich bei Dienstleistern für Digitalisierungsmaßnahmen, wie z.B. Software-Anbieter, in der Regel um Auftragsverarbeiter i.S.d. europäischen Datenschutz-Grundverordnung (DSGVO) handelt. Deshalb sollten Dienstleister ausgewählt werden, die die Vorgaben für technischen und organisatorischen Maßnahmen i.S.v. Art. 32, 25 DSGVO umgesetzt haben. Zum anderen müssen Auftragsverarbeitungsverträge nach der Maßgabe von Art. 28 DSGVO im hier näher beschriebenen Umfang abgeschlossen werden. Darüber hinaus sollten Software-Dienste stets die Aspekte wie Privacy by Design (Datenschutz durch Technikgestaltung) und Privacy by Default (Datenschutzfreundliche Voreinstellungen) berücksichtigen.
Wie sieht es mit Digitalisierungsmaßnahmen speziell im Bereich Human Resources aus?
Für den HR-Bereich gelten besondere Anforderungen, da im Bereich von Personaldaten in der Regel auch besondere Kategorien von personenbezogenen Daten, wie z.B. die religiöse Überzeugung (für die Lohnabrechnung) und biometrische Daten (z.B. Fotos) verarbeitet werden, die besonders schützenswert sind. Verantwortliche müssen daher für Digitalisierungsmaßnahmen in diesem Bereich ein besonders hohes Datenschutz-Niveau etablieren und einhalten. Darüber hinaus sollte darauf geachtet werden, dass nur Dienstleister und insbesondere Software-Anbieter ausgewählt werden, die entsprechende datenschutzrechtliche Vorgaben für ihre Produkte und Dienstleistungen umgesetzt haben und einhalten.
Darüber hinaus sollte auch berücksichtigt werden, ob die Digitalisierungsmaßnahme, z.B. in Form einer Software auf Cloud-Basis (SaaS), personenbezogene Daten in ein Drittland übermittelt. Dann sind nämliche entsprechende Garantien i.S.d. DSGVO erforderlich, um diese Übermittlung zu legitimieren.
Individuelle Vereinbarungen erforderlich oder nur eine allgemeine Datenschutzrichtlinie?
Zunächst sind mit Dienstleistern, die Auftragsverarbeiter i.S.d. DSGVO sind, Auftragsverarbeitungsverträge abzuschließen. Darüber hinaus müssen für Digitalisierungsmaßnahmen diverse Konzepte entwickelt werden, um die erwähnten technischen und organisatorischen Maßnahmen einzuhalten. Hierzu gehören insbesondere Berechtigungs- und Löschkonzepte, die für die Erbringung von gesetzlich geforderten Nachweisen (Art. 5 Abs. 2 DSGVO) schriftlich bzw. auch in einem digitalen Format festgehalten werden sollten. Insbesondere wenn eine Software im Bereich Human Resources eingeführt wird, z.B. für die Personalverwaltung oder für die Digitalisierung von Personalakten, müssen Rollen und Berechtigungen beteiligter Mitarbeiter derart konfiguriert sein, dass unbefugte Zugänge zu personenbezogenen Daten ausgeschlossen sind. Löschkonzepte gewährleisten dagegen die Einhaltung von gesetzlichen Aufbewahrungsfristen für personenbezogene Daten.
In Datenschutzrichtlinien können Unternehmen neben den allgemeinen Vorgaben zum Datenschutz und der IT-Sicherheit spezifische Vorgaben für Digitalisierungsmaßnahmen aufnehmen, um die Einhaltung des Datenschutzes zu gewährleisten.
Wichtig ist außerdem, dass Mitarbeiter im Rahmen der Informationspflichten des Arbeitgebers nach Art. 12, 13 DSGVO über die jeweiligen neuen Digitalisierungsmaßnahmen nach den Vorgaben dieser gesetzlichen Regelungen informiert werden. Dies erfolgt in der Regel durch eine schriftliche oder digitale Übermittlung eines entsprechenden Informationsschreibens an die Mitarbeiter.
Gibt es bestimmte Löschfristen im HR-Bereich?
Gesetzliche Aufbewahrungsfristen im HR-Bereich hängen von der jeweiligen Verarbeitung von personenbezogenen Daten ab: Da viele eigenständige Verarbeitungen von personenbezogenen Daten im HR-Segment stattfinden, gelten individuelle Aufbewahrungsfristen. So beträgt die gesetzliche Aufbewahrungsfrist für Abrechnungsunterlagen zehn Jahre, für Aktenvermerke dagegen nur 6 Jahre.
Software, die im Rahmen der Digitalisierung eingeführt werden, sollten darüber hinaus automatische Löschmechanismen bzw. konfigurierbare Löschmechanismen enthalten, damit die gesetzlichen Aufbewahrungsfristen für Personaldaten eingehalten werden können
Datenschutz-Tipp für die Digitalisierung im Bereich HR
Wir empfehlen die frühzeitige Einbeziehung des Datenschutzbeauftragten in die Implementierung von Digitalisierungsmaßnahmen, um hier bei der datenschutzkonformen Auswahl der Produkte und Dienstleistungen zu beraten. Außerdem unterstützt und berät der Datenschutzbeauftragten Unternehmen die Konzeption und Integration von Berechtigungs- und Löschkonzepten sowie die Koordination des Abschlusses von erforderlichen Auftragsverarbeitungsverträgen.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
