Sobald Personaler:innen mit dem Gedanken spielen, eine HR-Software im Unternehmen einzuführen, sind zuallererst rechtliche Fragen zu klären. Besonders dem Datenschutz sollte hier viel Aufmerksamkeit gewidmet werden. Behandeln Personaler:innen oder Projektbeauftragte das Thema zu spät oder nicht sorgfältig genug, können Probleme bei der Einführung von HR-Software auftreten.
Damit genau das nicht passiert, beantwortet unser Datenschutz-Experte von der Keyed GmbH, Nils Möllers, folgende Frage: Wie kann HR-Software rechtssicher genutzt werden und was gilt es beim Datenschutz im Personalwesen zu beachten?
Starten wir mit der ersten Frage zum Datenschutz im Personalwesen: Welche rechtlichen Risiken und Herausforderungen sind beim Einsatz von HR-Software-Lösungen zu beachten?
Nils Möllers: Für die konforme Einführung von HR-Software Lösungen sind diverse Rechtsgebiete zu berücksichtigen, wie zum Beispiel das Arbeitsrecht oder das Allgemeine Gleichbehandlungsgesetz (AGG). Die größten Risiken im HR-Bereich stecken allerdings im Datenschutzrecht. Insbesondere die Bereiche Recruiting, Verwaltung der Personaldaten und HR-Dokumente sowie Bewerbermanagement sind hier von großer Bedeutung.
Was sind häufige Fehler, die beim Datenschutz im Personalwesen gemacht werden?
Nils Möllers: Der häufigste Fehler ist sicherlich die falsche Auswahl der Rechtsgrundlage für eine Verarbeitung von personenbezogenen Daten. Leider findet man heute immer noch einige HR-Bereiche, welche aus lauter Angst oder Unwissen für jede Verarbeitung eine Einwilligung von ihren Beschäftigten einholen. Die Einwilligung ist die Rechtsgrundlage mit den höchsten Anforderungen an die konforme Umsetzung und oftmals im Beschäftigungskontext gar nicht abbildbar (zum Beispiel durch eingeschränkte Freiwilligkeit). Das hat der Gesetzgeber frühzeitig erkannt und mit dem Art. 88 DSGVO (Datenschutz-Grundverordnung) einen Bereich definiert, wo HR keine explizite Einwilligung benötigt.
Das bedeutet natürlich nicht, dass man gar keine Einwilligungen im Beschäftigungskontext wirksam einholen kann. Dennoch benötigt man die Einwilligung sicherlich nicht für Verarbeitungen, welche zwingend notwendig für die Beschäftigung sind. Die Einholung einer Einwilligung wäre hingegen sinnvoll für die Veröffentlichung von Beschäftigtenfotos auf Webseiten oder sozialen Netzwerken. Hier kann eine vollständige Freiwilligkeit gewährleistet werden, sodass die Wirksamkeit einer Einwilligung nicht beeinträchtigt wird.
Wusstest du, dass..
die Datenschutz-Grundverordnung (DSGVO), wie wir sie heute kennen, seit dem 25. Mai 2018 gilt?
Welche Anforderungen müssen Unternehmen erfüllen, um HR-Dokumente digital zu verwalten und zu versenden?
Nils Möllers: Pauschal kann man das natürlich nur schwer beantworten, da es eine Vielzahl an Anforderungen aus diversen Gesetzen gibt. Für den Datenschutz sind es vornehmlich die Einhaltung der Grundsätze des Datenschutzes gemäß Art. 5 DSGVO. Darauf aufbauend ist dann die Auswahl der richtigen Rechtsgrundlagen wichtig, sowie die Berücksichtigung eines angemessenen Schutzniveaus. Nicht zu vergessen ist natürlich, dass alle Datenempfänger im HR-Kontext vertraglich berücksichtigt werden müssen – mit zum Beispiel Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO.
Was bedeutet der Artikel 32 zur DSGVO für HR-Abteilungen?
Nils Möllers: Grundsätzlich bedeutet der Art. 32 DSGVO für alle Unternehmensbereiche das gleiche Vorgehen. Es müssen Sicherheitsmaßnahmen eingeführt werden, welche ein angemessenes Schutzniveau für die personenbezogenen Daten gewährleisten. Um im Ergebnis ein angemessenes Schutzniveau zu erreichen, müssen auf Grundlage der Art der Daten, welche verarbeitet werden sollen, wirksame Maßnahmen entwickelt werden.
Es liegt in der Natur der Sache, dass die Sicherheitsmaßnahmen in HR-Abteilungen deutlich stärker ausfallen, da hier besondere Kategorien von personenbezogenen Daten i.S.d. Art. 9 DSGVO verarbeitet werden. Für die Bewertung des Sicherheitsniveaus empfiehlt sich in jedem Fall die Konsultation durch den Datenschutzbeauftragten. Hier liegt der Fokus auf Sicherheitsmaßnahmen in HR-Abteilungen wie der Verschlüsselung von Daten, besonderen Berechtigungskonzepten der HR-Software-Lösungen oder einem praktikablen Löschkonzept.
Datenschutz im Personalwesen | Das Update für Personaler:innen
HR-Dokumente rechtssicher, digital und kostengünstig aufbewahren und zustellen
Können Sie uns ein Beispiel nennen, wo Digitalisierung & Datenschutz über eine Softwarelösung gut funktionieren?
Nils Möllers: Da gibt es sicherlich viele spannende Cases. Gerade in Zeiten von Mobile Office und Remote Work wird das digitale Zustellen von HR-Dokumenten natürlich extrem relevant, damit Mitarbeitende orts- und geräteunabhängig auf Dokumente zugreifen können. Vor allem für Dokumente wie Verträge oder Gehaltsabrechnungen scheidet ein Versand per E-Mail aus diversen Gründen schnell aus. Beispielsweise enthalten Lohnabrechnungen besonders schützenswerte Daten, die aufgrund mangelnder Verschlüsselung nicht per E-Mail übermittelt werden dürfen. Daher bietet d.velop postbox sowohl für Empfängerinnen und Empfänger als auch für Personaler eine gute technologische Basis.
Was sind die Vorteile einer digitalen HR-Lösung im Vergleich zum klassischen papierbasierten Prozess?
Nils Möllers: Die Vorteile für den Datenschutz liegen auf der Hand. Es finden weniger Medienbrüche statt, was im Ergebnis dazu führt, dass die Fehlerquelle für Eingaben und Weitergaben von Daten massiv reduziert werden. Aber natürlich gibt es neben dem geringeren Risiko auch einige Prozessvorteile. Papierbasierte Prozesse sind nicht nur teuer und ineffizient, sondern können auch Probleme beim Datenschutz aufweisen.
Wenn es beispielsweise um die Verteilung von Dokumenten wie Gehaltsabrechnungen per Hauspost geht, kann es im häufiger dazu kommen, dass Unterlagen lange herumliegen, wenn Mitarbeitende nicht vor Ort sind. So können unberechtigte Personen Zugriff zu personenbezogenen Daten bekommen. Das kann durch die digitale Zustellung von HR-Lösungen einfach vermieden werden, da die Dokumente, die per Online Post verschickt werden, nur der entsprechende Mitarbeitende Zugriff hat.
Darüber hinaus profitiert auch die Umwelt von digitalen HR-Prozessen. Während bei dem postalischen Versand von HR-Dokumenten nicht nur eine große Menge an Papier verbraucht und CO2 ausgestoßen wird, fällt all das bei der digitalen Zustellung weg. Ebenso werden die vielen manuellen Schritte bei der digitalen Lösung eliminiert, da Prozesse wie Druck, Kuvertierung und Versand nicht mehr notwendig sind. Das entlastet Ihre Personalabteilung nachhaltig und es bleibt wieder mehr Zeit für die wirklich wichtigen To Do’s.
Etabliere ökologische HR-Prozesse und werde zum Vorreiter in Sachen Green HR! In unserem Whitepaper zeigen wir, wie digitale HR-Prozesse dabei unterstützen.
Wie kann die Datenschutzskepsis der Mitarbeitenden verringert werden?
Nils Möllers: Das sollte mit der Erfüllung einer Anforderung der DSGVO kombiniert werden. Die Rede ist von der Erfüllung von Informationspflichten gemäß Art. 12 ff. DSGVO. Durch eine transparente Datenschutzerklärung zum Beschäftigungsverhältnis können einige Fragen auf Seiten der Beschäftigten geklärt werden und es kommt zu weniger Missverständnissen.