Datenschutz im Personalwesen

Was ist Datenschutz im Personalwesen?

Datenschutz im Personalwesen bezeichnet die Gesamtheit aller rechtlichen Vorgaben, technischen Maßnahmen und organisatorischen Prozesse, die den Schutz personenbezogener Daten von Beschäftigten sicherstellen. Er betrifft den gesamten Employee Lifecycle, von der Bewerbung über das laufende Arbeitsverhältnis bis zum Austritt und darüber hinaus.

Im Unterschied zum DSGVO-konformen Umgang mit Mitarbeiterbefragungen, der sich auf einen spezifischen Erhebungskontext konzentriert, umfasst der Datenschutz im Personalwesen sämtliche HR-Prozesse: Personalakten, Gehaltsabrechnung, Zeiterfassung, Gesundheitsdaten, Leistungsbeurteilungen und eben auch Befragungen. Für HR-Teams im DACH-Raum bildet er eine Querschnittsaufgabe, die strategische Planung, operative Sorgfalt und technische Absicherung gleichermaßen erfordert.

Rechtliche Grundlagen

Der Datenschutz im Personalwesen stützt sich auf mehrere ineinandergreifende Regelwerke:

• Datenschutz-Grundverordnung (DSGVO): Als europäische Verordnung bildet die DSGVO den übergeordneten Rechtsrahmen. Sie definiert Grundsätze wie Rechtmäßigkeit, Transparenz und Zweckbindung, die für jede Verarbeitung von Beschäftigtendaten gelten.
• Bundesdatenschutzgesetz (BDSG): Das BDSG ergänzt die DSGVO um nationale Regelungen. Besonders relevant ist § 26 BDSG, der die Datenverarbeitung im Beschäftigungskontext konkretisiert, etwa für die Begründung, Durchführung und Beendigung von Arbeitsverhältnissen.
• Betriebsverfassungsgesetz (BetrVG): Das BetrVG räumt dem Betriebsrat Mitbestimmungsrechte bei der Einführung technischer Systeme ein (§ 87 Abs. 1 Nr. 6), die personenbezogene Daten verarbeiten.
• Branchenspezifische Regelungen: Je nach Branche kommen weitere Vorschriften hinzu, etwa das Kirchenrecht (KDG, DSG-EKD) oder landesrechtliche Datenschutzgesetze im öffentlichen Sektor.

Welche HR-Daten sind besonders schützenswert?

Nicht alle Beschäftigtendaten unterliegen dem gleichen Schutzniveau. Die DSGVO unterscheidet zwischen allgemeinen personenbezogenen Daten und besonderen Kategorien nach Art. 9, die einem erhöhten Schutz unterliegen:

• Stammdaten: Name, Adresse, Geburtsdatum, Steuer-ID, Sozialversicherungsnummer
• Vertragsdaten: Arbeitsvertrag, Gehalt, Arbeitszeit, Urlaubsansprüche
• Leistungsdaten: Beurteilungen, Zielvereinbarungen, Fortbildungsnachweise
• Gesundheitsdaten (besondere Kategorie): Krankmeldungen, BEM-Gespräche, Ergebnisse arbeitsmedizinischer Untersuchungen
• Befragungsdaten: Ergebnisse aus Mitarbeiterbefragungen, Feedbackprozessen und Pulsbefragungen — hier ist die Frage der Anonymisierung entscheidend

Grundprinzipien der Datenverarbeitung

Für den Umgang mit all diesen Datenarten gelten durchgängig dieselben Prinzipien:

• Datenminimierung: Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Das gilt für Personalakten ebenso wie für demografische Fragen in Befragungen.
• Zweckbindung: Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne Weiteres für andere Zwecke verwendet werden. Gehaltsdaten dienen der Abrechnung, nicht der Leistungsbewertung.
• Speicherbegrenzung: Personenbezogene Daten sind zu löschen, sobald der Verarbeitungszweck entfällt und keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
• Integrität und Vertraulichkeit: Technische und organisatorische Maßnahmen (TOMs) müssen sicherstellen, dass Daten vor unbefugtem Zugriff, Verlust oder Veränderung geschützt sind.

Rechte der Beschäftigten

Mitarbeitende sind nicht nur Gegenstand der Datenverarbeitung. Sie haben aktive Rechte, die HR-Abteilungen kennen und umsetzen müssen:

• Auskunftsrecht (Art. 15 DSGVO): Beschäftigte können jederzeit erfahren, welche Daten über sie gespeichert sind und zu welchem Zweck sie verarbeitet werden.
• Berichtigungsrecht (Art. 16 DSGVO): Fehlerhafte Daten müssen auf Verlangen korrigiert werden.
• Löschungsrecht (Art. 17 DSGVO): Unter bestimmten Voraussetzungen können Beschäftigte die Löschung ihrer Daten verlangen, etwa nach Beendigung des Arbeitsverhältnisses und Ablauf der Aufbewahrungsfristen.
• Widerspruchsrecht (Art. 21 DSGVO): Bei Verarbeitungen auf Basis eines berechtigten Interesses können Mitarbeitende Widerspruch einlegen.

Praktische Umsetzung im Unternehmen

Ein funktionierender Datenschutz im Personalwesen erfordert mehr als Richtlinien auf dem Papier. Entscheidend sind konkrete Maßnahmen:

• Berechtigungskonzepte: Klar definieren, wer auf welche HR-Daten zugreifen darf. Führungskräfte benötigen andere Zugriffsrechte als die Lohnbuchhaltung.
• Verarbeitungsverzeichnis: Alle HR-Prozesse, bei denen personenbezogene Daten verarbeitet werden, müssen dokumentiert sein (Art. 30 DSGVO).
• Schulung und Sensibilisierung: HR-Mitarbeitende und Führungskräfte müssen regelmäßig geschult werden, insbesondere im Umgang mit sensiblen Daten und bei der Einführung neuer Tools.
• Dienstleistersteuerung: Beim Einsatz externer HR-Software oder Befragungsplattformen ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht. Dabei sollte geprüft werden, ob der Anbieter die Daten innerhalb der EU verarbeitet und welche Sicherheitsstandards er erfüllt.

Die Rolle des Betriebsrats

Der Betriebsrat ist im deutschen Arbeitsrecht ein zentraler Akteur beim Datenschutz im Personalwesen. Er hat nicht nur Mitbestimmungsrechte bei der Einführung technischer Systeme, sondern seit der Novelle des BetrVG 2021 auch eine eigenständige datenschutzrechtliche Verantwortung (§ 79a BetrVG). In der Praxis bedeutet das: Der Betriebsrat muss bei der Auswahl von HR-Tools, der Gestaltung von Befragungen und der Definition von Auswertungsregeln einbezogen werden.

Plattformen, die auf transparente Anonymitätskonzepte, nachvollziehbare Mindestgruppengrößen und klare Zugriffskontrollen setzen, erleichtern die Zusammenarbeit mit dem Betriebsrat erheblich. Sie schaffen Vertrauen durch technische Nachvollziehbarkeit statt durch organisatorische Versprechen. Wie das bei Kultify konkret umgesetzt ist, zeigt die Seite zu Anonymität und Datenschutz.

Datenschutz als Vertrauensfaktor

Datenschutz im Personalwesen ist kein rein juristisches Pflichtprogramm. Unternehmen, die transparent und nachvollziehbar mit Beschäftigtendaten umgehen, schaffen die Grundlage für eine offene Feedbackkultur. Mitarbeitende, die darauf vertrauen, dass ihre Daten geschützt sind, beteiligen sich ehrlicher an Befragungen, geben differenzierteres Feedback und tragen so zu besseren Entscheidungsgrundlagen bei.

Gerade bei sensiblen Formaten wie psychischen Gefährdungsbeurteilungen oder Führungsfeedbacks ist dieses Vertrauen nicht optional. Es ist Voraussetzung für valide Ergebnisse und nachhaltige Verbesserungen.