HR-Software erleichtert die Arbeit, ein Risiko bildet das Datenschutzrecht. Nils Möllers von Keyed schildert im Interview, wie Tools sicher und effektiv genutzt werden können.
Für viele Personalerinnen und Personaler gehören Datenschutz-Themen zum daily business. Doch gerade durch die digitale Transformation der HR-Abteilung können sich rechtliche Rahmenbedingen schnell ändern. Am 31. März bietet die Keyed GmbH gemeinsam mit der d.velop AG ein Live-Webinar zum Thema „Datenschutz für Personaler“ an. Im Vorfeld haben wir mit Nils Möllers, CEO und Gründer der Keyed GmbH, über seine Empfehlungen in Sachen Datenschutz beim Einsatz von HR-Software gesprochen.
Welche rechtlichen Herausforderungen gibt es beim Einsatz von HR-Software-Lösungen? Und was sind die größten Risiken für Personalerinnen und Personaler?
Nils Möllers: Für die konforme Einführung von HR-Software Lösungen sind diverse Rechtsgebiete zu berücksichtigen, wie zum Beispiel das Arbeitsrecht oder das Allgemeine Gleichbehandlungsgesetz (AGG). Die größten Risiken im HR-Bereich stecken allerdings im Datenschutzrecht. Insbesondere die Bereiche Recruiting, Bewerberverwaltung, E-Learning, Personalcontrolling, Weiterbildungsverwaltung, Personalentwicklung, Verwaltung der Personaldaten, Personalmarketing oder Personalabrechnungen sind hier von großer Bedeutung.
Was sind häufige Fehler im HR-Datenschutz?
Nils Möllers: Der häufigste Fehler ist sicherlich die falsche Auswahl der Rechtsgrundlage für eine Verarbeitung von personenbezogenen Daten. Leider findet man heute immer noch einige HR-Bereiche, welche aus lauter Angst oder Unwissen für jede Verarbeitung eine Einwilligung von ihren Beschäftigten einholen. Die Einwilligung ist die Rechtsgrundlage mit den höchsten Anforderungen an die konforme Umsetzung und oftmals im Beschäftigungskontext gar nicht abbildbar (zum Beispiel durch eingeschränkte Freiwilligkeit). Das hat der Gesetzgeber frühzeitig erkannt und mit dem Art. 88 DSGVO (Datenschutz-Grundverordnung) einen Bereich definiert, wo HR keine explizite Einwilligung benötigt.
Das bedeutet natürlich nicht, dass man gar keine Einwilligungen im Beschäftigungskontext wirksam einholen kann. Dennoch benötigt man die Einwilligung sicherlich nicht für Verarbeitungen, welche zwingend notwendig für die Beschäftigung sind. Die Einholung einer Einwilligung wäre hingegen sinnvoll für die Veröffentlichung von Beschäftigtenfotos auf Webseiten oder sozialen Netzwerken. Hier kann eine vollständige Freiwilligkeit gewährleistet werden, sodass die Wirksamkeit einer Einwilligung nicht beeinträchtigt wird.
Wie sieht es in puncto Datensicherheit aus: Was bedeutet der Artikel 32 zur DSGVO für HR-Abteilungen?
Nils Möllers: Grundsätzlich bedeutet der Art. 32 DSGVO für alle Unternehmensbereiche das gleiche Vorgehen. Es müssen Sicherheitsmaßnahmen eingeführt werden, welche ein angemessenes Schutzniveau für die personenbezogenen Daten gewährleisten. Um im Ergebnis ein angemessenes Schutzniveau zu erreichen, müssen auf Grundlage der Art der Daten, welche verarbeitet werden sollen, wirksame Maßnahmen entwickelt werden.
Es liegt in der Natur der Sache, dass die Sicherheitsmaßnahmen in HR-Abteilungen deutlich stärker ausfallen, da hier besondere Kategorien von personenbezogenen Daten i.S.d. Art. 9 DSGVO verarbeitet werden. Für die Bewertung des Sicherheitsniveaus empfiehlt sich in jedem Fall die Konsultation durch den Datenschutzbeauftragten. Hier liegt der Fokus auf Sicherheitsmaßnahmen in HR-Abteilungen wie der Verschlüsselung von Daten, besonderen Berechtigungskonzepten der HR-Software-Lösungen oder einem praktikablen Löschkonzept.
Gibt es interessante Rechtsprechungen, die jüngst vorgenommen worden sind oder zeitnah anstehen?
Nils Möllers: In jedem Fall werden Verstöße gegen den Arbeitnehmerdatenschutz sehr ernst genommen. So hat zum Beispiel die griechische Datenschutz-Aufsichtsbehörde bereits im Juli 2019 ein Bußgeld in Höhe von 150.000 Euro gegen PricewaterhouseCoopers (PwC) verhängt. PwC hatte bei der Verarbeitung der Daten seiner Beschäftigten eine falsche Rechtsgrundlage – nämlich die Einwilligung – zugrunde gelegt. Wichtig für HR-Abteilungen sind sicherlich auch die Wahrungen von Betroffenenrechten.
So haben zum Beispiel Bewerberinnen und Bewerber ein Recht auf Auskunftsersuchen, welches dazu führt, dass Arbeitgeber offenlegen müssen, welche Daten verarbeitet werden. Hier entstehen oftmals Fehler, denn insbesondere Bewerberdaten dürfen ohne Einwilligung i.d.R. nur 6 Monate gespeichert werden. Ersucht nun ein Bewerber, welcher nicht erfolgreich eingestellt worden ist, nach 8 Monaten Auskunft nach Art. 15 DSGVO ist Vorsicht geboten in der Antwort an diesen Bewerber.
Können Sie uns ein Beispiel nennen, wo Digitalisierung & Datenschutz über eine Softwarelösung gut funktionieren?
Nils Möllers: Da gibt es sicherlich viele spannende Cases. Gerade in Zeiten von Mobile Office und Remote Work wird das digitale Zustellen von HR-Dokumenten natürlich extrem relevant, damit Mitarbeitende orts- und geräteunabhängig auf Dokumente zugreifen können. Eine Lösung mit der das auf rechtssichere Art und Weise funktioniert ist die d.velop postbox.
Vor allem für Dokumente wie Verträge oder Gehaltsabrechnungen scheidet ein Versand per E-Mail aus diversen Gründen schnell aus. Beispielsweise enthalten Lohnabrechnungen besonders schützenswerte Daten, die aufgrund mangelnder Verschlüsselung nicht per E-Mail übermittelt werden dürfen. Daher bietet d.velop postbox sowohl für Empfängerinnen und Empfänger als auch für Personaler eine gute technologische Basis.
Welche Anforderungen müssen Unternehmen erfüllen, um HR-Dokumente digital zu verwalten und zu versenden?
Nils Möllers: Pauschal kann man das natürlich nur schwer beantworten, da es eine Vielzahl an Anforderungen aus diversen Gesetzen gibt. Für den Datenschutz sind es vornehmlich die Einhaltung der Grundsätze des Datenschutzes gemäß Art. 5 DSGVO. Darauf aufbauend ist dann die Auswahl der richtigen Rechtsgrundlagen wichtig, sowie die Berücksichtigung eines angemessenen Schutzniveau. Nicht zu vergessen ist natürlich, dass alle Datenempfänger im HR-Kontext vertraglich berücksichtigt werden müssen – mit zum Beispiel Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO.
Welche Vorteile bietet eine digitale HR-Lösung im Vergleich zum klassischen papierbasierten Prozess?
Nils Möllers: Die Vorteile für den Datenschutz liegen auf der Hand. Es finden weniger Medienbrüche statt, was im Ergebnis dazu führt, dass die Fehlerquelle für Eingaben und Weitergaben von Daten massiv reduziert werden. Aber natürlich gibt es neben dem geringeren Risiko auch einige Prozessvorteile. Papierbasierte Prozesse sind nicht nur teuer und ineffizient, sondern können auch Probleme beim Datenschutz aufweisen.
Wenn es beispielsweise um die Verteilung von Dokumenten wie Gehaltsabrechnungen per Hauspost geht, kann es im häufiger dazu kommen, dass Unterlagen lange herum liegen, wenn Mitarbeitende nicht vor Ort sind. So können unberechtigte Personen Zugriff zu personenbezogenen Daten bekommen. Das kann durch die digitale Zustellung von HR-Lösungen einfach vermieden werden, da die Dokumente im digitalen Postfach landen, auf das nur der entsprechende Mitarbeitende Zugriff hat.
Darüber hinaus profitiert auch die Umwelt von digitalen HR-Prozessen. Während bei dem postalischen Versand von HR-Dokumenten nicht nur eine große Menge an Papier verbraucht und CO2 ausgestoßen wird, fällt all das bei der digitalen Zustellung weg. Ebenso werden die vielen manuellen Schritte bei der digitalen Lösung eliminiert, da Prozesse wie Druck, Kuvertierung und Versand nicht mehr notwendig sind. Das entlastet Ihre Personalabteilung nachhaltig und es bleibt wieder mehr Zeit für die wirklich wichtigen To Do’s.
Wie können Unternehmen die Datenschutzskepsis der Mitarbeitenden verringern?
Nils Möllers: Das sollte mit der Erfüllung einer Anforderung der DSGVO kombiniert werden. Die Rede ist von der Erfüllung von Informationspflichten gemäß Art. 12 ff. DSGVO. Durch eine transparente Datenschutzerklärung zum Beschäftigungsverhältnis können einige Fragen auf Seiten der Beschäftigten geklärt werden und es kommt zu weniger Missverständnissen.
Hier geht es zum Live-Webinar am 31. März um 11:00 Uhr.
Lesen Sie auch:
Neuregelung: Arbeitgeberzuschuss bei Entgeltumwandlung
Betriebsratswahlen: Neue Regeln für das Wahlverfahren
Die Rolle von HR beim Schutz von Geschäftsgeheimnissen
Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist das Team rund um Nils Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig.