Wenn am 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, dann betrifft das auch die Personalabteilungen:
Spätestens bis zum Stichtag müssen Unternehmen die Daten ihrer Beschäftigten und Bewerber wirksam schützen. Das bestimmt Artikel 88 der DSGVO, konkretisiert durch Paragraph 26 BDSG NEU. Ansonsten drohen hohe Bußgelder, bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes sind als Strafe möglich.
„Personalverantwortliche, die Datenschutz heute schon ernst nehmen und sich an die gesetzlichen Vorschriften halten, sind auch über den Mai 2018 hinaus auf der sicheren Seite, wenn sie unsere Tipps berücksichtigen“, sagt Lucia Falkenberg, Personalverantwortliche und Leiterin der Kompetenzgruppe New Work im eco – Verband der Internetwirtschaft e. V. Das bestätigt Clarissa Benner, LL.M., Juristin im eco Verband im Geschäftsbereich Professional Services: „Die arbeitsrechtlichen Grundsätze zum Informations- und Datenschutz bleiben auch 2018 gültig. Das Wichtigste ist und bleibt Transparenz: Die Beschäftigten müssen wissen, was der Arbeitgeber aus welchen Gründen speichert und verarbeitet und dass sie ein Widerrufsrecht haben.“
Die sieben wichtigsten Dos and Don'ts in Sachen Datenschutz für Personalabteilungen hat der eco Verband zusammengestellt:
- Arbeitgeber müssen ihre Beschäftigten und Bewerber umfassend darüber informieren, warum sie persönliche Daten speichern und über Widerrufsrechte aufklären. Die Nutzer müssen das transparent nachvollziehen können und sich mit der Verarbeitung ihrer Daten einverstanden erklären.
- Die Bewerbungsunterlagen müssen Personalabteilungen spätestens zwei Monate nach abgelehnter Bewerbung löschen oder zurückgeben. Dazu gehört auch das Bewerberanschreiben.
- Keine Ausnahmen für Konzerne: Wer Personaldaten vom Tochter- an das Mutterunternehmen weitergeben möchte, der muss das rechtfertigen können. Etwa weil die Personalverwaltung zentral organisiert ist und es einen Vertrag zur Auftragsdatenverarbeitung zwischen den einzelnen Konzernteilen gibt. Alternativ haben die Betroffenen sich einverstanden erklärt, etwa mittels Standardklauseln im Arbeitsvertrag.
- Den betrieblichen E-Mail-Account auch privat zu nutzen, bleibt rechtlich problematisch. Erlaubt der Arbeitgeber die private Nutzung, dann dürfen die E-Mails des Mitarbeiters auch im Krankheitsfall oder bei Ausscheiden des Mitarbeiters nicht weitergeleitet werden. Der Arbeitgeber darf das betriebliche E-Mail-Postfach auch in diesen Fällen nicht einsehen. Es gelten die Regelungen des Fernmeldegesetzes.
- Sich beim letzten Arbeitgeber über einen Bewerber zu erkundigen, ist nur mit dessen Einwilligung möglich. Im Vorstellungsgespräch darf der Arbeitgeber nur Fragen stellen die ihm helfen, Eignung oder Fähigkeiten für den ausgeschriebenen Job zu beurteilen. Beispielsweise Fragen nach einer bestehenden Schwangerschaft, Heiratsabsicht oder Kinderwunsch fallen in den geschützten Privatbereich und sind daher unzulässig. Stellt der Arbeitgeber sie trotzdem, dann braucht der Bewerber sie nicht wahrheitsgemäß zu beantworten, er hat ein sogenanntes Recht zur Lüge.
- Personalakten in Papierform dürfen Personaler nur in gesicherten Schränken aufbewahren. Auch digital müssen alle sensiblen Unterlagen in einem geschützten Bereich gespeichert sein, mit abgestuften Zugangsmöglichkeiten für die Personalverantwortlichen. Ein Protokoll sollte nachvollziehbar zeigen, wann wer welche Akten eingesehen hat.
- Eine Videoüberwachung der Arbeitsplätze ist nur in absoluten Ausnahmefällen und zeitlich begrenzt zulässig. Beispielsweise wenn der Arbeitgeber ein besonderes Sicherheitsinteresse hat oder falls ein konkreter Straftatverdacht gegenüber einem Beschäftigten aufgedeckt werden soll. Die Arbeitsleistungen eines Mitarbeiteres zu messen ist hingegen zulässig – etwa in umfassenden Datenanalysen oder Screenings. Dadurch darf der Mitarbeiter jedoch nicht unter permanentem Überwachungsdruck stehen, es darf auch kein Persönlichkeitsprofil erstellt werden.