Zum Hauptinhalt springen

Der Beschäftigtendatenschutz

Personalstellen und -räte arbeiten täglich mit besonderen Daten von Mitarbeitenden, Dozenten*innen und Studenten*innen. Dabei sind diverse Rechtsvorschriften zu beachten und richtig umzusetzen. Wir geben einen Schnellblick, was man unter der DSGVO bei Bewerbungen, im On-Boarding über die Verwaltung bis hin zur Beendigung wissen sollte.

Bewerbungen

Sind Hochschulen auf der Suche nach neuen Talenten, stellen sich ihnen die Fragen, welche Daten Sie für die Auswahl abfragen und für wie lang Sie diese behalten dürfen. Antworten finden Hochschulen in der EU-Datenschutzgrundverordnung (DSGVO) und auf nationaler Ebene u.a. im Hamburger Datenschutzgesetz (HmbDSG). Speziell für den sogenannten Beschäftigtendatenschutz gilt europaweit Artikel 88 DSGVO. Wegen seiner sogenannten Öffnungsklausel ist den Gesetzgebern auf nationaler Ebene erlaubt, Sonderregelungen zu bestimmen: Für Hochschulen finden sich diese beispielsweise in § 10 HmbDSG und in dem Allgemeinen Gleichbehandlungsgesetz wieder. Unterschiede zwischen einem Bewerbungsverfahren und Berufungsverfahren sind dabei gering, sollen aber weiter unten erwähnt sein. 

Für alle Verfahren im Personalbereich gilt der Grundsatz: Keine Verarbeitung ohne gesetzliche Erlaubnis. Hochschulen müssen sich daher immer fragen, auf welche Rechtsgrundlage sie ihre Datenverarbeitung stützen. Fehlt es dieser, ist eine Datenverarbeitung rechtswidrig.

Um passende Talente zu finden, müssen Bewerbungen diverse Daten über ihre Autoren*innen freigeben. Mit Eingang der Bewerbung verarbeiten Hochschulen häufig Stammdaten, wie Name, E-Mail-Adresse, Tel.-Nr., Geburtsdatum, aber auch Angaben zum beruflichen Werdegang. Rechtsgrundlage für die Datenverarbeitung ist § 10 Absatz 1 und 2 HmbDSG. Demnach ist es Hochschulen erlaubt, die für das Bewerbungsverfahren erforderlichen personenbezogenen Daten zu verarbeiten. 

Hochschulen ist es erlaubt, die für das Bewerbungsverfahren erforderlichen personenbezogenen Daten zu verarbeiten. Dazu können auch besonders sensible Daten zählen, wie § 10 Absatz 1 und 2 HmbDSG regelt

Besonders schützenswerte Daten können ethnische Herkünfte, Gesundheitsdaten oder politische Orientierungen, aber auch die Geschlechterkennung oder die sexuelle Orientierung von Talenten sein. Diese Angaben genießen einen hohen gesetzlich verankerten Schutz und dürfen nur dann verarbeitet werden, dienen sie tatsächlich dem Auswahlprozess.

In der Praxis ist es häufig unnötig, solche Daten abzufragen. Dennoch können Bewerbungen ungefragt sensible Daten enthalten. Hochschulen haben daher von Gesetzeswegen spezielle Sicherheitsmaßnahmen zu ergreifen, um die Rechte und Freiheiten ihrer Talente zu schützen. So kann eine Personalabteilung beispielsweise den personellen Zugriff auf Bewerbungen beschränken. Auch geeignete technische Vorkehrungen sollten beispielweise in der Bewerbungssoftware getroffen werden, um diese Daten vor Unberechtigten zu schützen.

Die Hochschulen legen damit sogenannte technische und organisatorische Maßnahmen fest. Je sensibler diese Daten sind, desto besser sollten Hochschulen sie – u.a. unter Berücksichtigung des Standes des Technik- vor unberechtigten Zugriffen, Zweckentfremdung oder Verlust etc. schützen.

Wichtig ist auch, die Talente über diese Datenverarbeitung in einer Datenschutzerklärung zu informieren.

Talente haben das Recht von den Hochschulen informiert zu werden, was mit ihren Daten geschieht. Wichtig für Hochschulen ist daher, bei der Abgabe einer Bewerbung eine Datenschutzerklärung anzubieten. Informationen darüber, welche Angaben eine Datenschutzerklärung zu beinhalten hat, finden Sie unter Artikeln 12 ff. DSGVO. So haben Hochschulen beispielsweise nicht nur über den Zweck der Verarbeitung und der Norm, die ihnen diese erlaubt, zu informieren. Hochschulen sollten ihre Talente u.a. auch wissen lassen, an wen diese Daten weitergereicht werden und an wen sich Talente bei Auskünften oder einer Löschung ihrer Daten wenden können.

Im Bewerbungsverfahren gibt es je nach Hochschule verschiedene Auswahlprozesse, weshalb sich speziell die Weitergabe von personenbezogenen Daten an interne Stellen und externe Partner unterscheiden. Hochschulen haben dabei häufig Vorgaben des Personalamtes der FHH zu berücksichtigen, die zu einem gewissen Grad wohl auch das Ausmaß der zu verarbeitenden personenbezogenen Daten bestimmen.

All diese Aspekte sollten in der Datenschutzerklärung berücksichtigt werden. Bei Fragen zu Datenschutzerklärungen, steht Ihnen das MMKH-Team gern zur Verfügung.

Hochschulen können ihren Talenten auch so genannte Karrierepools anbieten. Womöglich passen sie zu einem späteren Zeitpunkt besser auf eine Stelle. Doch dazu benötigen Hochschulen die Einwilligung ihrer Talente nach § 10 Absatz 6 Satz 2 HmbDSG. Bei zukünftigen Stellenangeboten können Hochschulen ihre Talente je nach Eignung automatisch berücksichtigen. Doch auch hier sollte die Speicherfrist begrenzt bleiben.

Nicht immer mündet ein Auswahlverfahren in eine Einstellung. Die personenbezogenen Daten abgelehnter Talente sind gemäß § 10 Absatz 6 Satz 1 HmbDSG unverzüglich zu löschen. Dies gilt nach § 10 Absatz 6 Satz 2 HmbDSG jedoch nicht, sobald überwiegende berechtigte Interessen einer Hochschule dem Entgegenstehen. Beispielweise können Talente mögliche Entschädigungs- und Ersatzansprüche im Rahmen des Allgemeinen Gleichbehandlungsgesetz (AGG) geltend machen. Erst wenn die Hochschule eine Klage des abgewiesenen Talentes nichts mehr befürchten muss, sollte sie die Unterlagen löschen. Solche Bewerbungen sollten ab dem Zeitpunkt einer Absage mindestens bis Ablauf der zweimonatigen Ausschlussfrist nach § 15 Absatz 4 AGG aufbewahrt werden. Macht ein Talent innerhalb dieser Frist Ansprüche geltend, verlängert sich die Aufbewahrung mindestens um die in § 61b ArbGG genannte dreimonatige Frist.

Von der Ausschreibung bis zur Besetzung der Professur können teilweise mehrere Jahre vergehen. Auch sind an einem Berufungsverfahren nicht nur die Personalabteilung, sondern auch eine Berufungskommission beteiligt. Auch hier gilt es die Rechtsgrundlage zu bestimmen und die Datenverarbeitung in einer Datenschutzerklärung den Bewerber*innen zu erklären. 

Wegen des längeren Auswahlverfahrens sollten Hochschulen ihre Löschungsfristen für diese Bewerbungen anpassen. Ein automatischer Prozess, der abgelehnte Bewerbungen löscht, sobald nicht mehr mit einer Klage nach AGG zu rechnen ist, kann eine Abhilfe bieten. 

Personalverwaltung

Eine wichtige Neuerung der DSGVO ist die sogenannte Rechenschaftspflicht. Hochschulen müssen nachweisen können, dass sie jederzeit die Vorschriften der DSGVO kennen, befolgen und richtig umsetzen. Personalabteilungen spielen dabei eine besondere Rolle, da sie mit diversen personenbezogenen Daten agieren und unterschiedliche Rechtsgrundlagen zu erfüllen haben. Was beim On-Boarding, Führen einer Personalakte, BEM sowie bei Fotoveröffentlichung zu berücksichtigen ist und wann Daten zu löschen sind, haben wir für Sie kurz zusammengefasst.

Haben sich Hochschulen für ein Talent entschieden, müssen zunächst weitere Daten abfragen. So benötigt die Personalabteilung beispielsweise Angaben zur Bankverbindung, Religionszugehörigkeit und zum Familienstand, um das Gehalt zu überweisen. Nur mit diesen Angaben können Hochschulen ihre Rechte und Pflichten aus einem Beschäftigtenverhältnis erfüllen.

Als Rechtsgrundlage für das Erheben von zusätzlichen personenbezogenen Daten dient § 10 Absatz 1, 2 HmbDSG. Genauso können Hochschulen ihre Verarbeitung von sensiblen Daten, wie Sozialversicherungs – oder Gesundheitsdaten, auf § 10 Absatz 1, 2 HmbDSG stützten.

Neben den allgemeinen Grundsätzen wie eine Personalakte datenschutzkonform zu führen ist, möchten wir hier auf gesetzliche Besonderheiten für Hochschulen eingehen: Bei der Datenverarbeitung bezüglich Personalakten sind in erster Linie die Auskunftsrechte und die Löschvorgaben des Hamburgischen Beamtengesetzes (HmbBG) zu nennen. Die Bestimmungen zu den Personalakten im HmbBG sind nach § 10 Absatz 3 HmbDSG auch auf Mitarbeitende an den Hochschulen anwendbar, die nicht verbeamtet sind.

Mit § 88 Absatz 1 HmbBG steht den Mitarbeitenden ein Auskunftsrecht bzgl. der in der Personalakte enthaltenen personenbezogenen Daten zu. Auch eine Einsichtnahme in die Personalakte ist hiernach möglich.

Nach § 91 Absatz 2 HmbBG sind in Personalakten auch Unterlagen beispielsweise über Beihilfen, Erkrankungen, Umzugs- und Reisekosten nach fünf Jahren zu löschen. Unterlagen über Erholungsurlaub sind gemäß § 91 Absatz 2 HmbBG nach drei Jahren zu löschen.

Um direkte Fotos von Mitarbeitenden -mit und ohne Außenwirkung- auf Websites oder in Social-Media-Kanälen zu veröffentlichen, benötigen Hochschulen eine ausdrückliche und freiwillige Einwilligung der Betroffenen. Direkte Fotos meint dabei, Portraits oder Ganzkörperfotos der mitarbeitenden Person. Denn für die Öffentlichkeit ist es nicht erforderlich zu wissen, wie Mitarbeitenden aussehen, um sie zu kontaktieren.

Wird eine solche Einwilligung widerrufen, muss die Hochschule das Foto von ihrer Website oder aus ihrem Social-Media-Kanal löschen. 

Eine Veröffentlichung des Kontakts von Mitarbeitenden auf Websites oder in Social-Media-Kanälen der Hochschulen kann nur erfolgen, wenn es erforderlich ist. Denn bezüglich der Rechte von Mitarbeitenden darf nicht vergessen werden, dass deren personenbezogenen Daten weltweit und zeitlich unbegrenzt von jedermann im Internet einsehbar sind.

Mitarbeitenden in leitenden Funktionen oder Ansprechpartner für Öffentlichkeit, Studierenden und Dozierenden, kann es zumutbar sein, dass ihre beruflichen Kontaktdaten veröffentlicht werden. Dabei handelt es sich u.a. um ihren Namen, ihre berufliche E-Mail-Adresse, die Angabe ihrer Position, die Tel.-Nr. und die Raumnummer. Hierbei dient der Beschäftigungsvertrag als Rechtsgrundlage.

Bei Mitarbeitenden ohne Außenwirkung, wie beispielsweise Kollegen*innen der Buchhaltung, ist eine Veröffentlichung von Kontaktdaten nur mit deren Einwilligung erlaubt.

Vom Betrieblichen Eingliederungsmanagement (BEM) spricht man, wenn Mitarbeitende innerhalb eines Jahres länger als sechs Wochen arbeitsunfähig sind und der Arbeitgeber mit der betroffenen Person die Möglichkeiten klärt, wie die Arbeitsunfähigkeit möglichst überwunden werden kann.

Dabei unterliegen die Hochschulen dem datenschutzrechtlichen Grundsatz der sogenannten Datenminimierung: Die Personalabteilung darf nur jene Daten der Mitarbeitenden verarbeitet, die zur Durchführung des BEM nötig sind. Erforderlich sind beispielsweise Gesundheitsdaten nach Art. 9 DSGVO, die verarbeitet werden müssen, um etwaige Krankheitsursachen zwischen dem gesundheitlichen Zustand und den Arbeitsumständen festzustellen. Auch sind gesundheitliche Daten erforderlich, um festzustellen, wie die mitarbeitende Person zukünftig im Rahmen des BEM am Arbeitsplatz eingesetzt werden kann. Aber Vorsicht, auf Einzelheiten zur Erkrankung oder detaillierte Arztberichte kann wohl verzichtet werden.

Da die Mitarbeitenden frei entscheiden können, ob sie am BEM teilnehmen möchten, benötigt die Hochschule zur Durchführung eine Einwilligung der Mitarbeitenden. Im Beschäftigtenverhältnis hat diese auf schriftlichen Wegen zu erfolgen. Kann eine Hochschule keine Einwilligung nachweisen, verarbeitet sie die personenbezogenen Daten ohne entsprechende Rechtsgrundlage und damit rechtswidrig. Hochschulen sollten beim Entwerfen einer Einwilligung auch die Art. 12 ff. DSGVO berücksichtigen. Wie grundsätzlich bei einer Einwilligung erforderlich, müssen Mitarbeitenden darauf hingewiesen werden, dass sie ihre Einwilligung jederzeit widerrufen können.

Die beim BEM erhobenen Daten müssen zudem getrennt von der Personalakte aufbewahrt werden, damit nur ein eingeschränkter Personenkreis auf diese Daten zugreifen kann.

Eine Löschung der im Rahmen des BEM verarbeiteten Daten, sollte zeitnah nach Beendigung erfolgen.

Die Übermittlung von personenbezogenen Daten eines Mitarbeitenden der Hochschule an einen künftigen Dienstherrn bzw. eine künftige Dienstfrau ist nach § 10 Absatz 4 Satz 2 HmbDSG nur mit Einwilligung des Mitarbeitenden möglich.

Personalrat

Der Personalrat kommt während seiner Tätigkeit mit diversen personenbezogenen Daten in Kontakt, insbesondere mit sensiblen Daten. Dabei muss er sich an den Grundsätzen des Datenschutzes messen lassen. Wir möchten nachstehend auf die hochschulbezogenen Besonderheiten eingehen.

Bei einem Mitbestimmungsverfahren kann es zu Einzelgespräch zwischen dem Personalrat und einem Mitarbeitenden kommen. Der Personalrat sollte sicherstellen, dass er die dabei erhobenen personenbezogenen Daten nur im Rahmen dieses Mitbestimmungsverfahrens nutzt. Seine Mitschriften aus dem Einzelgespräch sollte er sicher vor den Zugriffen anderer verwahren. Hier kann die IT-Abteilung eine Lösung anbieten.

Werden Angaben aus einem Einzelgespräch im Mitbestimmungsverfahren an mitwirkende interne Stellen weitergeleitet, sollten die personenbezogenen Daten auf ein Mindestmaß reduziert werden. Eine solche Sicherstellung der Vertraulichkeit sollte der Personalrat insbesondere auch bei der Verarbeitung von sensiblen Daten einhalten. Typisches Beispiel sind Gesundheitsdaten (auch psychische Erkrankungen), die z.B. im Zusammenhang mit Arbeitsunfällen oder Konfliktmanagement besprochen wurden. Personalräte sollten prüfen, ob in solchen Fällen eine Pseudonymisierung der personenbezogenen Daten den Ablauf sicherer gestalten kann.

Grundsätzlich sind gemäß § 78 Absatz 5 Hamburgisches Personalvertretungsgesetz (HmbPersVG) Unterlagen nach Abschluss eines Mitbestimmungsverfahrens zu löschen. Weiter kann der Personalrat personenbezogene Daten nur solange speichern, bis das Beschäftigungsverhältnis gekündigt wurde

Hochschulen haben personenbezogene Daten ihrer Personalräte deren nach Austritt oder erfolgloser Kandidatur zu löschen. Auch hier empfiehlt sich die Etablierung eines Löschkonzeptes.

Beendigung und Ausscheiden

Beschäftigtendaten sollten grundsätzlich nach Beendigung eines Beschäftigungsverhältnisses gem. § 10 Absatz 6 Satz 3 HmbDSG gelöscht werden. Eine Ausnahme besteht jedoch, wenn der Löschung Rechtsvorschriften entgegenstehen, wie beispielsweise die sogenannten Aufbewahrungspflichten. Im Bereich des Personalwesens sind grundsätzlich die Aufbewahrungspflichten des § 257 Handelsgesetzbuch und des § 147 Abgabenordnung zu berücksichtigen. Nachstehend haben wir Beispiele gewählt, die einen Löschprozess von ausgeschiedenen Mitarbeitenden verdeutlichen.

Verlässt eine mitarbeitende Person die Hochschule muss sichergestellt sein, dass Kontaktdaten von der Website und ggf. aus dem Social-Media-Kanal entfernt werden. Dasselbe gilt, wenn Mitarbeitenden in der Zwischenzeit andere Funktionen ausüben, für die eine Veröffentlichung ihrer Kontaktdaten nicht mehr erforderlich ist.

Möchte die Hochschule auf den E-Mail-Account einer ehemaligen mitarbeitenden Person zugreifen, sollte eine Einwilligung dieser Person eingeholt werden. Ohne Einwilligung sollte der E-Mail-Account nur geöffnet werden, wenn die ehemalige mitarbeitende Person nicht erreichbar ist. Es sollte sichergestellt werden, dass die Hochschule bei der Öffnung des E-Mail-Accounts private E-Mails nicht zur Kenntnis nimmt.

Stand: 01.12.2022
Author: Lille Bernstein