Einige Personaldaten gelten sogar als sensible Daten im Sinne der EU-Datenschutz-Grundverordnung und sind daher besonders heikel.
Die Beschäftigung von Arbeitnehmern ist zwangsläufig mit der Verarbeitung von Personaldaten (Human-Ressource- bzw. HR-Daten) verbunden. Dabei handelt es sich überwiegend um personenbezogene Daten im Sinne der am 25. Mai 2018 in Kraft tretenden Datenschutz-Grundverordnung (DSGVO). Manche davon gelten sogar als sensible Daten im Sinne der DSGVO und sind daher besonders heikel.
Als personenbezogene Daten definiert die DSGVO Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im HR-Bereich gibt es dafür zahlreiche Beispiele wie etwa Name, Adresse, Geburtsdatum, Kontonummer, Geschlecht, Familienstand, Qualifikationen oder Sozialversicherungsnummer. Nach der DSGVO liegt im HR-Bereich eine "Verarbeitung" fast immer vor, weil darunter jeglicher Umgang mit Daten zu verstehen ist, so etwa das Speichern, Verwenden, Bearbeiten und Übermitteln.
Die Verarbeitung sämtlicher, personenbezogener Daten ist nach der DSGVO grundsätzlich unzulässig, es sei denn, es liegt eine entsprechende Legitimation vor. Für die Verarbeitung von HR-Daten ist es somit essenziell, dass diese durch einen Erlaubnistatbestand gerechtfertigt ist.
Als Beispiel aus der praktischen Datenverarbeitung im Laufe der Beschäftigung kann die Aufzeichnung von Beginn, Unterbrechung und Ende der Arbeitszeit angeführt werden. Werden diese Daten in ein System eingetragen, so liegt eine Verarbeitung im Sinne der DSGVO vor. Diese ist allerdings rechtmäßig, weil der Arbeitgeber zu einer solchen Aufzeichnung (unter anderem zur Kontrolle der Einhaltung der Höchstarbeitszeitgrenzen) rechtlich verpflichtet ist. Anhand dieses Beispiels zeigt sich, dass Verarbeitungen von HR-Daten, die aufgrund einer rechtlichen Verpflichtung erfolgen, auch (ohne weitere Voraussetzungen, insbesondere Zustimmung der Mitarbeiter) nach Inkrafttreten der DSGVO weiterhin zulässig ist.
Die Erfüllung einer rechtlichen Verpflichtung ist jedoch nicht die einzige Legitimationsgrundlage. Zulässig ist auch die Verarbeitung von Daten, die für die Erfüllung eines Vertrages (etwa des Dienstvertrages) erforderlich sind. Die meisten Gehaltszahlungen erfolgen heute per Überweisung auf ein Bankkonto des Dienstnehmers. Zu diesem Zweck müssen die Bankdaten erhoben, gespeichert und abgerufen werden. Sämtliche dieser Vorgänge sind Datenverarbeitungen im Sinne der DSGVO. Die Bankdaten sind aber für die Gehaltsüberweisung und die Vertragserfüllung durch den Dienstgeber erforderlich und dürfen damit zulässigerweise verarbeitet werden.
Neben den bereits genannten Legitimationsgrundlagen kommt als weitere Rechtfertigung für die Verarbeitung von HR-Daten eine Einwilligung des betroffenen Dienstnehmers in Betracht. Dabei sind vor allem die Grundsätze der Zweckbindung sowie der Freiwilligkeit zu beachten.
Zweckbindung bedeutet, dass die Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.
Die Freiwilligkeit von Einwilligungen von Dienstnehmern ist aufgrund ihrer (wirtschaftlichen) Abhängigkeit vom Dienstgeber bereits generell zweifelhaft. Dies gilt insbesondere dann, wenn die Zustimmungserklärung Teil des Dienstvertrages ist. Es ist daher empfehlenswert, notwendige Einwilligungen schriftlich mittels Zusatzvereinbarungen einzuholen.
Unternehmen sollten sich (vor allem auch vor dem Hintergrund der hohen Strafdrohungen) einen Überblick darüber verschaffen, welche HR-Daten sie für welche Zwecke verarbeiten und wie bzw. ob diese Datenverarbeitungen gerechtfertigt sind.