Unternehmer, die eigene Mitarbeiter beschäftigen, verarbeiten in der Personalabteilung und der Lohnbuchhaltung sensible Daten ihrer Mitarbeiter, die entsprechend geschützt werden müssen. Gleichzeitig muss sichergestellt werden, dass nicht nur die Daten der Mitarbeiter geschützt sind, sondern dass auch die Mitarbeiter Daten schützen.
Saubere Datenverarbeitung bereits bei der Mitarbeitersuche
Die ersten Daten neuer Mitarbeiter werden im Rahmen der Bewerbung (oder des Recruitings) bereits vor der Einstellung erfasst. Zu diesem Zeitpunkt sollten die potenziellen neuen Mitarbeiter über die Verarbeitung ihrer Daten im Rahmen einer Datenschutzerklärung informiert werden, z.B. durch eine entsprechende Passage in der Datenschutzerklärung auf der Unternehmens-Webseite. Klare Zugriffsregelungen, getrennte Speicherung der Bewerber- von anderen Daten und durchdachte Löschfristen sorgen hier für Ordnung. Tipp: Da noch drei Monate nach der Bewerbung Klagen möglich sind, dürfen Bewerberdaten bis zu sechs Monate aufbewahrt werden – falls die Daten zur Abwehr der Klage noch gebraucht werden.
Bei der Einstellung: Aufklärung und Verpflichtung
Ist der richtige Mitarbeiter gefunden, sollte dieser noch vor Unterzeichnung des Arbeitsvertrages über die künftige Datenverarbeitung aufgeklärt werden (Stichwort Mitarbeiter-Datenschutzerklärung). Zusätzlich sollte der Mitarbeiter auf die Einhaltung des Datenschutzes „verpflichtet“ werden (Stichwort: Mitarbeiter-Verpflichtung). Die Mitarbeiter müssen sich zwar ohnehin an die Datenschutzgesetze halten, der Arbeitgeber ist jedoch verpflichtet, seine Mitarbeiter auf die einschlägigen Vorschriften hinzuweisen. Die Formulierung „Datenschutz-Verpflichtung“ hat eine Warnwirkung und wird vor allem deshalb verwendet. Zu Nachweis- und Dokumentationszwecken macht hier die Schriftform Sinn: Die Mitarbeiter erhalten einen Merkzettel zu den Datenschutz-Regeln im Unternehmen sowie Auszüge der wichtigsten Datenschutzgesetze und bestätigen den Erhalt mit ihrer Unterschrift.
Wie können Mitarbeiterdaten geschützt werden?
Da es sich bei Mitarbeiterdaten teilweise um besondere Datenkategorien nach Art. 9 DSGVO handelt (z.B. Gesundheitsdaten, Daten zu Religionszugehörigkeit usw.), müssen diese entsprechend stärker geschützt werden als „herkömmliche“ Daten, die weniger sensibel sind (z.B. Kontaktdaten). Sinnvolle Schutzmaßnahmen sind daher z.B. die Speicherung und Aufbewahrung getrennt von anderen Daten sowie eine strikte Zugriffsbeschränkung: Nur, wer Daten wirklich benötigt, sollte Zugriff darauf haben.
Fazit: Sensibilisierung der Mitarbeiter ist eine Notwendigkeit
Das beste Datenschutzkonzept taugt nichts, wenn die Mitarbeiter es nicht umsetzen. Die Sensibilisierung der Mitarbeiter für den Datenschutz ist daher unerlässlich. Wer außerdem offen für Feedback bleibt, erhält im besten Fall zusätzliche Hinweise durch seine Mitarbeiter und kann sein Datenschutzkonzept so noch weiter optimieren.