DSGVO in HR: Das müssen Personaler bei Mitarbeiterdaten beachten

Die Umsetzung des umfangreichen DSGVO-Regelwerks scheint vor allem in Personalabteilungen omnipräsent zu sein. Mit der seit Mai 2018 in Kraft getretenen Reform soll eine EU-weite Vereinheitlichung der Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen erfolgen. Damit gehen gesteigerte Anforderungen an die Personaler einher, die die erhöhten Transparenz-, Dokumentations- und Informationspflichten im Umgang mit der Verarbeitung von Mitarbeiter- und Bewerberdaten zu beachten haben.

Ziel der DSGVO ist, die Persönlichkeitsrechte der Arbeitnehmer und Bewerber in vollem Umfang zu schützen. Die Grundprinzipien der damit korrelierenden Verpflichtungen der Personalabteilungen erfahren Sie in nachfolgender Auflistung.

Art. 6 DSGVO – Verbot mit Erlaubnisvorbehalt

Der Erlaubnisvorbehalt findet in Art. 6 DSGVO Ausdruck. Demnach sind die Erhebung, Verarbeitung und letztendliche Nutzung personenbezogener Daten nur dann rechtmäßig, sofern eine ausdrücklich oder konkludent erteilte Einwilligung der betroffenen Person erteilt wurde. Zur Verarbeitung von personenbezogenen Daten muss nach Art. 6 DSGVO mindestens eine der in Absatz 1 abschließend aufgelisteten Bedingungen nachweislich erfüllt sein.

Art. 15 DSGVO – Auskunftsrechte der Mitarbeiter und Bewerber

Die in der DSGVO enthaltenden Bestimmungen zum Arbeitnehmerschutz, gehen im Art. 15 der DSGVO auf das Auskunftsrecht der Betroffenen (Arbeitnehmer und Bewerber) ein. Die Informationspflichten, die somit auf Unternehmensseite resultieren, stecken folgenden Rahmen ab:

• Zweck der Datenverarbeitung
• Kategorisierung der personenbezogenen Daten
• Angaben zum Empfänger, gegenüber dem die Daten offengelegt worden sind bzw. noch offengelegt werden
• Die geplante Dauer der Datenverarbeitung
• Herkunft der Daten

Art. 24 DSGVO – Beweislast liegt beim Arbeitgeber

Die DSGVO enthält erhöhte Anforderungen an die Personaler, die ebenfalls eine erschwerende Rechenschaftspflicht des Unternehmens impliziert. Diese sogenannte Beweislastumkehr wird in Art. 24 Absatz 1 DSGVO normiert. Im Streitfall liegt die Beweislast bei objektiven Datenschutzverstößen demnach auf Seite des Arbeitgebers, der rechtzeitig den Nachweis erbringen muss, dass die Anforderungen des DSGVO eingehalten wurden. Entsprechend finden sich im Gesetz verschärfte Anforderungen an eine präzise Dokumentation der Datenerhebung und -verarbeitung: Der Arbeitgeber muss nachweisen, dass eine Einwilligungserklärung des Betroffenen vorliegt und er Datenschutzvorkehrungen getroffen hat, die der DSGVO genügt.

Zuwiderhandlungen werden mit Sanktionen und hohen Bußgeldern belegt. Um dieses Risiko zu vermeiden und den Arbeitnehmerschutz in Ihrem Unternehmen weithin zu stärken, sind Personaler zu einer DSGVO-konformen Behandlung von Mitarbeiter- und Bewerberdaten verpflichtet.

Key Facts

Betroffenenrechte: Die Zahl der Auskunftsanfragen nach Art. 15 DSGVO stieg seit 2018 um über 400 Prozent.

Meldepflicht: Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.

Häufige Fragen

Welche Strafen drohen bei DSGVO-Verstößen?

Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche Schadensersatzforderungen von Betroffenen.

Was ist eine Datenschutz-Folgenabschätzung?

Eine DSFA ist eine systematische Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten der Betroffenen. Sie ist Pflicht, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt — etwa bei Profiling, Videoüberwachung oder der Verarbeitung besonderer Datenkategorien.

Gilt die DSGVO auch für kleine Unternehmen?

Ja, die DSGVO gilt größenunabhängig für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet. Kleine Unternehmen profitieren von wenigen Erleichterungen (z.B. kein Verarbeitungsverzeichnis unter 250 Mitarbeitern bei nicht-risikobehafteter Verarbeitung), müssen aber alle Grundprinzipien einhalten.

Verwandte Artikel

• DSGVO 2026: Was sich ändert und worauf Unternehmen achten müssen
• So wird Machine Learning in der IT-Sicherheit eingesetzt
• Was ist eigentlich ein EU-Datenschutzkoordinator?

Mehr aus dem MBF Media Netzwerk

• Künstliche Intelligenz im Mittelstand
• KI-Trends für Entscheider: Chancen und Risiken

Quelle Titelbild: iStock / mixmagic

Fakt: Bußgelder nach DSGVO können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen.

Fakt: Die Zahl der gemeldeten Datenschutzverletzungen in Deutschland stieg laut BfDI 2024 auf über 40.000.

Das Wichtigste in Kürze

• Mit der seit Mai 2018 in Kraft getretenen Reform soll eine EU-weite Vereinheitlichung der Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen erfolgen.
• 24 DSGVO – Beweislast liegt beim Arbeitgeber Die DSGVO enthält erhöhte Anforderungen an die Personaler, die ebenfalls eine erschwerende Rechenschaftspflicht des Unternehmens impliziert.
• 6 DSGVO mindestens eine der in Absatz 1 abschließend aufgelisteten Bedingungen nachweislich erfüllt sein.
• 15 DSGVO – Auskunftsrechte der Mitarbeiter und Bewerber Die in der DSGVO enthaltenden Bestimmungen zum Arbeitnehmerschutz, gehen im Art.

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik