Datenschutz im Personalbüro

Welche Pflichten treffen den Arbeitgeber?

Arbeitgeber sind generell verpflichtet, sämtliche organisatorischen und technischen Möglichkeiten zu ergreifen, um einen sachgerechten Umgang mit den persönlichen Daten ihrer Mitarbeiter zu garantieren. Einerseits muss sichergestellt werden, dass persönliche Daten nicht auf unzulässige Weise in fremde Hände gelangen, andererseits dass nicht mehr benötigte Daten gelöscht werden.

Konkret bedeutet dies z. B., dass sie alle Angestellten in der Personalabteilung mindestens einmal im Jahr auf die Einhaltung datenschutzrechtlicher Bestimmungen schulen und sensibilisieren müssen. Ebenso müssen sie durch organisatorische Maßnahmen sicherstellen, dass Personalakten und ähnliche Dokumente unter Verschluss gehalten und der Kreis der einsichtsberechtigten Personen so klein wie möglich gehalten wird. Abschließbare Schränke müssen also ebenso vorhanden sein wie ein Sicherheitssystem zur elektronischen Datenspeicherung.

Außerdem ist ein Verzeichnis zu erstellen, welche Daten besonders sensibel und welche Vorsichtsmaßnahmen zu deren Sicherung ergriffen worden sind. Die Durchführung und Kontrolle der Sicherungsmaßnahmen ist ebenfalls zu dokumentieren.

Wenn Arbeitgeber Mitarbeiterdaten an dritte Personen oder Institutionen herausgeben, wie z. B. an ein Lohn- oder Steuerbüro, müssen sie sich schriftlich bestätigen lassen, dass

  • Datenschutz/Datengeheimnis garantiert werden,
  • die Angestellten dort geschult und belehrt sind,
  • garantiert wird, dass die Daten von dort nicht unerlaubt weitergegeben werden.

Wie ist mit Bewerberdaten umzugehen?

Nach Abschluss des Bewerbungsverfahrens haben abgelehnte Bewerber einen Löschungsanspruch ihrer persönlichen Daten. Die Löschung ist zu dokumentieren.

Eine Speicherung der Daten ist aber solange zulässig, bis davon ausgegangen werden kann, dass keine Rechtsstreitigkeiten zu erwarten sind. Dieser Zeitraum ist gesetzlich nicht definiert, man kann jedoch einen Richtwert von ca. sechs Monaten ansetzen. In diesen Fällen sollte aber auch dokumentiert werden, zu welchem Zweck die Daten noch gespeichert und wann sie gelöscht werden. Bei einem Rechtsstreit ist die Datenspeicherung für die Dauer des Verfahrens zulässig.

Möchten Sie die Daten des Bewerbers jedoch speichern, um diesem z. B. demnächst ein Stellenangebot zu unterbreiten, benötigen Sie in jedem Fall die schriftliche Einverständniserklärung des Bewerbers.

Praxistipp:

Sofern ein anderer Betrieb die Daten Ihrer Mitarbeiter bearbeitet, beispielsweise ein Steuerberater, sollten Sie einen Datenverarbeitungsvertrag schließen, um jede Haftung zu vermeiden.