Die Inhalte auf Katja-Schoenefeld.de werden ständig aktualisiert und geprüft. Trotz aller Sorgfalt können sich allerdings Angaben oder rechtliche Sachverhalte zwischenzeitlich geändert haben. Für die Richtigkeit, Vollständigkeit und Aktualität der auf diesen Seiten veröffentlichten Informationen kann daher keine Haftung oder Garantie übernommen werden. Darüber hinaus stellen unsere Artikel keine Rechtsberatung dar und ersetzen diese auch nicht.

DSGVO: Wie Sie Mitarbeiterdaten online verwalten dürfen

DSGVO: Wie Sie Mitarbeiterdaten online verwalten dürfen

Huhu :)


Heute habe ich einen weiteren Gastartikel von Datenschutz.org für dich. Herz Wie der Titel schon verrät geht es darin um das DSGVO-konforme Verarbeiten von Mitarbeiterdaten. Viel Spaß beim Schmökern - und wie immer gilt: Fragen, Anregungen oder Gedanken zum Thema? Her damit :)




Seit dem 25. Mai 2018 müssen sich alle Unternehmen und Selbstständige an die neue Datenschutz-Grundverordnung (DSGVO) halten, sobald sie persönliche Informationen von EU-Bürgern erheben. Auch die Angaben zu den Mitarbeitern gelten dabei als personenbezogene Daten und fallen unter die verschärften Schutzmaßnahmen. Welche Änderungen Sie daher in den Bereichen Personalabteilung und -management beachten sollten, lesen Sie in diesem Artikel.

Erforderliche Einwilligung

Wie bisher auch ist die Einwilligung in die Speicherung der Personaldaten besonders wichtig. Allerdings muss diese nach den erneuerten Richtlinien spezifisch, informiert und eindeutig sein, weshalb es unter Umständen notwendig wird, die zu unterzeichnende Einwilligungserklärung umzuformulieren. So muss in verständlicher Form dargestellt werden, welche Daten für wie lange und zu welchem Zweck gespeichert werden. Außerdem sind alle Betroffenenrechte darzulegen, wie zum Beispiel das Widerspruchsrecht.

Keine unbegrenzte Speicherung von Daten

Dass ein Unternehmer Mitarbeiterdaten nur so lange aufbewahren darf, wie es zwingend erforderlich ist, ist vor allem bei der Beschäftigung von Zeitarbeitnehmern relevant. Diese Daten werden mitunter nur für sehr kurze Zeit erhoben, weshalb die Verwendung eines leicht editierbaren Personalverwaltungssystems sinnvoll ist. Ein DSGVO-konformes System sollte dabei so einfach wie möglich zu bedienen sein, indem alle Mitarbeiterdaten an einem Ort gespeichert und kontrolliert sowie nicht mehr relevante Angaben dauerhaft gelöscht werden können.

Zeitnahe Meldung von Datenschutzverletzungen

Unternehmer müssen künftig mehr tun, um die gespeicherten Daten vor potenziellen Hacker-Angriffen zu schützen. So müssen Datenschutzverletzungen innerhalb von 72 Stunden nach Kenntnisnahme derer bei der zuständigen Aufsichtsbehörde gemeldet werden. Auch die Mitarbeiter müssen in einem solchen Fall ohne unangemessene Verzögerung benachrichtigt werden, dass ihre persönlichen Informationen gestohlen wurden.


Um einen digitalen Angriff zu vermeiden, müssen – „insbesondere bei der Verwendung neuer Technologien“ (Art. 35 Abs. 1 DSGVO) – regelmäßige Datenschutz-Folgenabschätzungen durchgeführt werden. Eine solche erfordert vordergründig

  • eine umfangreiche Beschreibung der jeweiligen Verarbeitungsvorgänge, der Verarbeitungszwecke und der berechtigten Interessen, die die Verarbeitung rechtfertigen,
  • eine Bewertung der Notwendigkeit sowie der Verhältnismäßigkeit der Vorgänge,
  • eine Risikobewertung der Rechte und Freiheiten der betroffenen Personen
  • und eine Auflistung der geplanten Maßnahmen und Sicherheitsvorkehrungen, um die Risiken zu minimieren.

Verschlüsselung von Mitarbeiterdaten

Damit das Erfassen von Personaldaten den Vorschriften der DSGVO entspricht, müssen Sicherheitsmaßnahmen getroffen werden. Ein sensibler Umgang und ausreichender Schutz wird am ehesten gewährleistet, wenn eine Verschlüsselung der Angaben erfolgt. Es sollten aber nicht nur die Personaldaten an sich verschlüsselt werden, sondern auch der E-Mail-Verkehr und ähnliche Übertragungswege, damit auch beim Versenden von Informationen nicht mittels Cyber-Angriffen auf Daten zugegriffen werden kann.


Eine weitere Sicherheitsmaßnahme können zum Beispiel die Einschränkung von Zugängen und die Authentifizierung sein. Je weniger Personen Zugang zu einem bestimmten Datenpool haben, desto geringer ist das Risiko, dass Daten verloren gehen und Hackerangriffe erfolgreich sind. Jeder, der einen Zugang erhält, muss dann einen entsprechenden Geheimhaltungsvertrag unterzeichnen.

Nutzung von CRM-Systemen für Verfahrensverzeichnis

Da in der DSGVO festgeschrieben ist, dass die Einhaltung der Vorschriften jederzeit nachweisbar sein muss, besteht die Pflicht, für jeden Verarbeitungsprozess eine Beschreibung innerhalb eines sogenannten Verfahrensverzeichnisses anzulegen. Genannt werden müssen die Kontaktdaten des für die Erhebung Verantwortlichen, der Zweck der Verarbeitung und die Kategorie, in welche die jeweiligen Daten fallen. Keinesfalls dürfen die erhobenen Informationen selbst aufgeführt werden, da das Verfahrensverzeichnis von außenstehenden Personen, sprich der Aufsichtsbehörde, gesichtet wird. In der zusätzlichen Anlage sollten generelle Informationen zum datenverarbeitenden Unternehmen, gegebenenfalls dem Datenschutzbeauftragten und Ähnlichem gegeben werden.


Spezifische Informationen zur DSGVO und weitere datenschutzrechtliche Aspekte, finden Sie auf der kostenfreien Ratgeberseite www.datenschutz.org.

    Über den Autor

    Laura Gosemann studierte Germanistik und Linguistik an der Universität Potsdam. Derzeit ist sie redaktionell für verschiedene Verbände tätig, etwa für den Berufsverband der Rechtsjournalisten e.V.. In ihren Beiträgen behandelt sie schwerpunktmäßig Themen zum Datenschutz, Urheber-, Familien- und Sozialrecht.



    Datenschutz.org | info (at) datenschutz (dot) org | 030 / 208 981 217 (keine Beratung)

    Kommentare