Datenschutz und Mitarbeiterdaten: DSGVO in der Personalabteilung

Ausgangslage
Das Unternehmen verwaltet Personalakten digital und möchte wissen, welche technischen und organisatorischen Maßnahmen erforderlich sind.

Rechtlicher Rahmen
Der Datenschutz von Mitarbeiterdaten unterliegt der Datenschutz-Grundverordnung (DSGVO). Arbeitgeber müssen technische und organisatorische Maßnahmen (TOM) treffen und diese in einem Verzeichnis dokumentieren. Dazu gehören z. B. abschließbare Aktenschränke für Papierakten, Firewalls und passwortgeschützte Ordner für elektronische Personalakten. Mitarbeitende sollten regelmäßig zum Datenschutz geschult werden. Arbeitgeber müssen schriftlich festhalten, welche Daten zu welchem Zweck erhoben und wie lange sie gespeichert werden; ein Löschkonzept ist erforderlich. Im Bewerbungsverfahren dürfen nur Daten erhoben werden, die für die Stellenbesetzung relevant sind.

Handlungsalternativen:

Alternative                                                              

Interne Datenschutzmaßnahmen                           
Kriterien für die Entscheidung: Mindestvoraussetzungen sind sichere IT-Systeme, Zugriffsbeschränkungen und Dokumentation der Verarbeitungstätigkeiten.

Externer Datenschutzbeauftragter                         
Kriterien für die Entscheidung: Bei weniger als 20 Beschäftigten kann ein externer Beauftragter sinnvoll sein, um Know-how einzukaufen.

Schulung und Sensibilisierung
Kriterien für die Entscheidung: Regelmäßige Schulungen erhöhen das Bewusstsein für Beschäftigtendatenschutz und minimieren Verstöße.

Prüfen Sie regelmäßig Ihr Verarbeitungsverzeichnis und passen Sie Löschfristen an. Bedenken Sie, dass auch Bewerberdaten geschützt sind und nur für die Dauer des Auswahlverfahrens gespeichert werden dürfen (maximal sechs Monate nach Ablehnung. Fehler beim Datenschutz können zu Bußgeldern und Reputationsschäden führen.