AVG-Audit-Checklisten für HR-Abteilungen

DSGVO-Audit-Checklisten für HR-Abteilungen

Die niederländische Datenschutzbehörde verhängte 2023 Bußgelder von bis zu € 830.000 an Organisationen, die die Privatsphäre von Mitarbeitern unzureichend schützten. Für HR-Abteilungen ist dies kein abstraktes Risiko mehr, sondern eine konkrete Bedrohung, die strukturelle Aufmerksamkeit erfordert.

Gleichzeitig verarbeiten HR-Teams täglich sensible Informationen: von medizinischen Daten und Sozialversicherungsnummern bis hin zu Gehaltsabrechnungen und Mitarbeitergesprächen. Gerade diese Kombination aus hohem Risiko und intensiver Datenverarbeitung macht ein gründliches DSGVO-Audit unverzichtbar.

Warum HR-Abteilungen besonders gefährdet sind

HR-Abteilungen befinden sich in einer einzigartigen Position. Sie verwalten nicht nur große Mengen personenbezogener Daten, sondern auch besondere Kategorien personenbezogener Daten, die unter strengeren Schutz fallen. Denken Sie an Gesundheitsdaten bei Krankenstand, strafrechtliche Daten beim Screening neuer Mitarbeiter oder Gewerkschaftszugehörigkeit.

Darüber hinaus arbeiten viele HR-Teams mit externen Parteien wie Lohnabrechnungsdienstleistern, Personalvermittlungen und Betriebsärzten. Jede externe Partei, die Zugang zu Personaldaten hat, stellt ein potenzielles Risiko dar, wenn die Vereinbarungen nicht ordnungsgemäß festgelegt sind.

Die Praxis zeigt, dass viele Datenpannen durch menschliche Fehler entstehen: eine falsch versendete E-Mail mit Gehaltsdaten, ein ungesicherter USB-Stick mit Personalakten oder ein altes Personalsystem ohne angemessene Zugriffssicherung.

Die sieben Prinzipien der DSGVO für HR

Die DSGVO kennt sieben Kernprinzipien, die die Grundlage jedes Audits bilden. Für HR-Abteilungen übersetzen sich diese Prinzipien in konkrete Anforderungen, die täglich Anwendung finden.

Das erste Prinzip ist Rechtmäßigkeit. HR darf personenbezogene Daten nur mit einer gültigen Rechtsgrundlage verarbeiten: eine gesetzliche Verpflichtung, Erfüllung des Arbeitsvertrags oder in spezifischen Fällen die Einwilligung des Mitarbeiters. Eine Sozialversicherungsnummer dürfen Sie beispielsweise nur abfragen, wenn dies gesetzlich für die Lohnabrechnung vorgeschrieben ist.

Zweckbindung bedeutet, dass Sie Daten nur für den Zweck verwenden dürfen, für den Sie sie erhoben haben. Daten aus einem Bewerbungsverfahren dürfen Sie nicht einfach für zukünftige Vakanzen aufbewahren, es sei denn, der Bewerber hat dafür explizit seine Einwilligung gegeben.

Datenminimierung verlangt Zurückhaltung: Erheben Sie nur das, was unbedingt erforderlich ist. Fordern Sie standardmäßig eine Kopie des Führerscheins bei jedem neuen Mitarbeiter an, obwohl dies nur für Positionen mit Fahrtätigkeiten relevant ist? Dann verletzen Sie dieses Prinzip.

Das vierte Prinzip ist Richtigkeit. Personalakten müssen aktuell und korrekt sein. Veraltete Adressdaten oder nicht aktualisierte Stellenbeschreibungen können zu Problemen führen.

Speicherbegrenzung bedeutet, dass Sie Daten nicht länger aufbewahren als notwendig. Für Bewerber, die Sie nicht einstellen, gilt meist eine Aufbewahrungsfrist von vier Wochen. Für Personalakten ehemaliger Mitarbeiter wenden viele Organisationen sieben Jahre wegen steuerlicher Verpflichtungen an, aber medizinische Daten müssen oft früher vernichtet werden.

Integrität und Vertraulichkeit verlangen technische und organisatorische Maßnahmen: Zugriffssicherung, Verschlüsselung und klare Vereinbarungen darüber, wer welche Daten einsehen darf. Das letzte Prinzip ist Rechenschaftspflicht. Sie müssen nachweisen können, dass Sie alle Anforderungen erfüllen. Dokumentation ist dabei essenziell.

Das Verarbeitungsverzeichnis als Fundament

Jedes DSGVO-Audit beginnt beim Verarbeitungsverzeichnis. Diese Übersicht muss alle Verarbeitungstätigkeiten enthalten, die HR durchführt: von Personalbeschaffung und -auswahl bis zu Austrittsgesprächen. Für jede Verarbeitungstätigkeit legen Sie fest, welche Daten Sie erheben, warum Sie das tun, wer Zugang hat, wie lange Sie die Daten aufbewahren und mit welchen externen Parteien Sie die Daten teilen.

Das klingt administrativ aufwendig, aber in der Praxis vermeiden Sie hiermit Unklarheiten und Risiken. Ein gutes Verarbeitungsverzeichnis hilft auch bei der Beantwortung von Anfragen der Mitarbeiter. Wenn jemand fragt, welche Daten Sie von ihm verarbeiten, können Sie schnell eine vollständige Übersicht geben.

Viele HR-Abteilungen unterschätzen, wie viele verschiedene Verarbeitungen sie durchführen. Neben der naheliegenden Administration rund um Verträge und Gehälter denken Sie auch an Videoüberwachung, Zutrittssicherung mit Ausweisen, Monitoring von E-Mail oder Internet und die Nutzung von HR-Software, in der Verhaltensdaten erfasst werden.

Vertraulichkeitspflicht und Zugriffsmanagement

HR hat zwar keine absolute Schweigepflicht wie Ärzte oder Anwälte, aber eine weitreichende Sorgfaltspflicht für vertrauliche Informationen. Die DSGVO verpflichtet Organisationen, angemessene technische und organisatorische Maßnahmen zu treffen.

In der Praxis bedeutet dies, dass Sie strikt festlegen müssen, wer Zugang zu welchen Daten hat. Benötigt der Recruiter Zugang zu Gehaltsdaten bestehender Mitarbeiter? Kann der HR-Berater, der sich mit Lernen und Entwicklung beschäftigt, einsehen, wer langfristig krank ist? Oft nicht.

Implementieren Sie daher rollenbasierte Zugriffe in Ihren HR-Systemen. Sorgen Sie dafür, dass Mitarbeiter nur Zugang zu den Daten haben, die sie für ihre Arbeit benötigen. Protokollieren Sie, wer wann welche Daten einsieht, damit Sie bei einem Vorfall nachvollziehen können, was passiert ist.

Vergessen Sie auch die physische Sicherheit nicht. Liegen Personalakten offen auf Schreibtischen? Können Mitarbeiter HR-Räume betreten, wo sensible Informationen sichtbar sind? Werden vertrauliche Dokumente sicher vernichtet oder landen sie im normalen Papierkorb?

Externe Parteien und Auftragsverarbeitungsverträge

Die meisten Organisationen arbeiten mit externen HR-Dienstleistern. Jede Partei, die im Auftrag Ihrer Organisation personenbezogene Daten verarbeitet, ist ein Auftragsverarbeiter im Sinne der DSGVO. Mit jedem Auftragsverarbeiter müssen Sie einen Auftragsverarbeitungsvertrag abschließen.

Dieser Vertrag regelt, was der Auftragsverarbeiter mit den Daten tun darf und was nicht, welche Sicherheitsmaßnahmen gelten, wie lange Daten aufbewahrt werden und was bei Beendigung der Zusammenarbeit geschieht. Viele HR-Abteilungen haben zwar Auftragsverarbeitungsverträge, aber oft sind diese nicht aktuell oder unvollständig.

Überprüfen Sie regelmäßig, ob sich Ihre externen Parteien an die Vereinbarungen halten. Fragen Sie nach ihren Sicherheitsmaßnahmen, Zertifizierungen und wie sie mit Datenpannen umgehen. Ein Lohnabrechnungsdienstleister, der Ihre Daten auf ungesicherten Servern speichert, stellt ein direktes Risiko für Ihre Organisation dar.

Achten Sie auch bei internationalen Dienstleistern darauf. Datenübermittlung außerhalb der EU verlangt zusätzliche Garantien. Die Standardvertragsklauseln der Europäischen Kommission bieten hierfür eine Lösung, müssen aber korrekt implementiert werden.

Rechte von Mitarbeitern in der Praxis

Mitarbeiter haben verschiedene Rechte unter der DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. HR-Abteilungen müssen diese Anfragen innerhalb eines Monats bearbeiten.

Auskunftsanfragen kommen regelmäßig vor, oft in Konfliktsituationen oder bei Kündigung. Sorgen Sie dafür, dass Ihr Prozess hierfür in Ordnung ist. Welche Daten liefern Sie, in welchem Format und wie verifizieren Sie die Identität des Antragstellers?

Das Recht auf Löschung ist in einem Arbeitsverhältnis komplex. Mitarbeiter können nicht einfach verlangen, dass alle Daten gelöscht werden, weil Sie gesetzliche Aufbewahrungspflichten haben. Aber nach Ablauf des Arbeitsverhältnisses und der gesetzlichen Aufbewahrungsfrist müssen Sie durchaus Daten löschen.

Datenübertragbarkeit spielt vor allem bei Personalbeschaffung und -auswahl eine Rolle. Bewerber können verlangen, ihre Daten in einem strukturierten, gängigen Format zu erhalten, damit sie diese wiederverwenden können.

Üben Sie diese Prozesse regelmäßig. Simulieren Sie eine Auskunftsanfrage und prüfen Sie, ob Sie innerhalb der gesetzten Frist eine vollständige Übersicht liefern können. Dies verhindert Stress und Fehler, wenn eine echte Anfrage eingeht.

Datenpannen vorbeugen und melden

Eine Datenpanne ist jede Situation, in der personenbezogene Daten unbeabsichtigt für Unbefugte zugänglich werden, verloren gehen oder geändert werden. Eine E-Mail mit Gehaltsdaten an den falschen Empfänger ist eine Datenpanne. Ein gestohlener Laptop mit Personalakten auch.

Prävention beginnt bei Bewusstseinsbildung. Schulen Sie Ihr HR-Team regelmäßig über den sicheren Umgang mit personenbezogenen Daten. Verwenden Sie Verschlüsselung für sensible Dateien. Versenden Sie vertrauliche Informationen nicht über ungesicherte E-Mail, sondern nutzen Sie gesicherte Sharing-Lösungen.

Dennoch können Datenpannen passieren. Entscheidend ist, dass Sie einen klaren Prozess haben, um zu reagieren. Wer muss informiert werden? Wann müssen Sie die Datenschutzbehörde melden? Welche betroffenen Personen müssen Sie warnen?

Bei Datenpannen mit wahrscheinlich hohen Risiken für die Privatsphäre der Betroffenen müssen Sie innerhalb von 72 Stunden bei der Datenschutzbehörde melden. Denken Sie an geleakte medizinische Daten oder Sozialversicherungsnummern. Dokumentieren Sie jede Datenpanne, auch wenn Sie nicht melden müssen. Dies zeigt, dass Sie die Situation ernst nehmen und hilft bei der Vermeidung von Wiederholungen.

Das DSGVO-Audit in der Praxis durchführen

Ein gründliches DSGVO-Audit für HR verlangt einen systematischen Ansatz. Beginnen Sie mit der Aktualisierung Ihres Verarbeitungsverzeichnisses. Gehen Sie alle HR-Prozesse durch: von Personalbeschaffung bis Austritt, von Fehlzeitenmanagement bis Performance Management.

Überprüfen Sie anschließend Ihre technischen Maßnahmen. Sind alle HR-Systeme angemessen gesichert? Werden Backups erstellt? Gibt es einen Notfallwiederherstellungsplan? Wer hat welche Zugriffsrechte und sind diese noch aktuell?

Bewerten Sie Ihre organisatorischen Maßnahmen. Sind Mitarbeiter geschult? Gibt es klare Verfahren für den Umgang mit datenschutzsensiblen Situationen? Wissen Mitarbeiter, was sie bei einer Datenpanne tun müssen?

Kontrollieren Sie alle Auftragsverarbeitungsverträge. Sind sie vollständig und aktuell? Erfüllen Ihre externen Parteien die vereinbarten Sicherheitsanforderungen?

Testen Sie Ihre Prozesse für die Bearbeitung von Betroffenenanfragen. Können Sie innerhalb eines Monats eine vollständige Auskunftsanfrage bearbeiten? Ist klar, wer für welche Schritte verantwortlich ist?

Dokumentieren Sie alle Erkenntnisse und erstellen Sie einen Verbesserungsplan mit konkreten Maßnahmen, Verantwortlichen und Fristen. Ein Audit ist keine einmalige Übung, sondern Teil der kontinuierlichen Verbesserung.

Von Compliance zur strategischen HR-Politik

DSGVO-Compliance ist mehr als das Abhaken einer Checkliste. Es geht um eine Kultur, in der Datenschutz und sorgfältiger Umgang mit Daten selbstverständlich sind. Organisationen, die dies gut regeln, merken, dass das Vertrauen der Mitarbeiter zunimmt.

Moderne HR-Plattformen wie Deepler helfen bei der Gewährleistung von Privacy by Design. Daten werden nur erhoben, wenn dies notwendig ist, der Zugang ist strikt geregelt und Berichte sind so gestaltet, dass einzelne Mitarbeiter nicht identifizierbar sind, es sei denn, dies ist erforderlich.

Indem Sie Datenschutz und Datensicherheit in Ihre HR-Prozesse integrieren, vermeiden Sie nicht nur Bußgelder. Sie schaffen auch eine sichere Umgebung, in der sich Mitarbeiter wohl fühlen, ehrliches Feedback zu geben und sensible Informationen zu teilen.

Beginnen Sie heute mit einer gründlichen Bestandsaufnahme Ihrer aktuellen Situation. Nutzen Sie die Prinzipien und Checkpoints aus diesem Artikel, um Ihr Verarbeitungsverzeichnis zu aktualisieren, Ihre Sicherheitsmaßnahmen zu prüfen und Ihr Team zu schulen. Die Investition in gute DSGVO-Compliance zahlt sich aus in vermiedenen Risiken und gesteigertem Vertrauen.