DSGVO-Schulung für HR-Teams: Was muss enthalten sein?

DSGVO-Schulung für HR-Teams: Was muss enthalten sein?

Die Datenschutz-Grundverordnung ist für HR-Teams nicht einfach eine Compliance-Verpflichtung, die man abhakt. Sie berührt den Kern eurer Arbeit: Von der ersten Bewerbung bis zum letzten Austrittsgespräch verarbeiten HR-Professionals täglich sensible personenbezogene Daten.

Eine Datenpanne, eine falsch aufbewahrte Fehlzeitenregistrierung oder ein unsorgfältiger Umgang mit Referenzprüfungen kann nicht nur zu Bußgeldern bis zu 20 Millionen Euro führen, sondern auch zu Reputationsschäden und Vertrauensverlust bei Mitarbeitern.

Dennoch zeigt sich in der Praxis, dass viele HR-Teams vor allem theoretisches Wissen über die DSGVO haben, ohne genau zu wissen, was sie konkret für ihre täglichen Aufgaben bedeutet. Eine effektive DSGVO-Schulung für HR geht daher über juristische Prinzipien hinaus. Sie übersetzt Gesetzgebung in erkennbare HR-Situationen und gibt konkrete Handreichungen für sichere Datenverarbeitung.

Warum Standard-DSGVO-Schulungen für HR zu kurz greifen

Die meisten allgemeinen Datenschutzschulungen behandeln die DSGVO aus einer breiten Organisationsperspektive. Das ist logisch, aber für HR-Professionals wenig praktisch. Ihr arbeitet nicht mit Kundendateien oder Marketingdaten, sondern mit Arbeitsverträgen, Mitarbeitergesprächen, Fehlzeitenregistrierungen und Gehaltsdaten. Jede mit eigenen Aufbewahrungspflichten, Verarbeitungsgrundlagen und Risiken.

Ein HR-Mitarbeiter, der weiß, was die sechs Grundlagen der DSGVO sind, aber nicht versteht, wann man eine Einwilligung von einem Bewerber braucht oder nicht, hat wenig von diesem Wissen. Die Übersetzung von Theorie in die HR-Praxis fehlt oft. Deshalb ist eine spezialisierte DSGVO-Schulung für HR-Teams essenziell, nicht optional.

Die Basis: Personenbezogene Daten im HR-Kontext

Eine gute DSGVO-Schulung für HR beginnt mit Erkennung. Was sind eigentlich personenbezogene Daten in eurem Arbeitsfeld? Es geht über naheliegende Dinge wie Adressdaten und Sozialversicherungsnummern hinaus. Auch Beurteilungen, Notizen von Mitarbeitergesprächen, Arbeitsbedingungen, Schulungshistorie und sogar die Information, dass sich jemand bewirbt, fallen darunter.

Besondere Kategorien personenbezogener Daten verdienen besondere Aufmerksamkeit in der Schulung. Denkt an medizinische Informationen bei Krankheit, Gewerkschaftsmitgliedschaft, strafrechtliche Daten bei Überprüfung bestimmter Funktionen oder religiöse Überzeugung bei Urlaubsanträgen. Diese Daten dürfen nur unter strengen Voraussetzungen verarbeitet werden und erfordern zusätzliche Sicherheitsmaßnahmen.

Die Schulung muss HR-Mitarbeiter lehren, diese Daten in ihren täglichen Aufgaben zu erkennen. Ein Krankengespräch dokumentieren, eine Referenzprüfung durchführen oder eine Personalakte anlegen: Es sind alles Momente, in denen ihr euch bewusst sein müsst, was ihr festhaltet und warum.

Die sechs Rechtsgrundlagen: Wann darf HR Daten verarbeiten?

Die DSGVO kennt sechs rechtmäßige Grundlagen für die Datenverarbeitung. Für HR sind vor allem drei Grundlagen relevant und diese müssen in der Schulung klar erklärt werden.

Die Erfüllung des Arbeitsvertrags ist die wichtigste Rechtsgrundlage. Dadurch dürft ihr Daten verarbeiten, die für die Personalakte, Gehaltsabrechnung und Urlaubsregistrierung notwendig sind. Aber Achtung: Nicht alles fällt darunter. Eine Frage nach Hobbys oder Zukunftsplänen während eines Mitarbeitergesprächs ist nicht notwendig für den Arbeitsvertrag.

Gesetzliche Verpflichtungen bilden die zweite wichtige Rechtsgrundlage. Denkt an die Verpflichtung, Lohnsteuer abzuführen, Arbeitszeiten zu registrieren oder eine Fehlzeitenregistrierung zu führen. Diese Rechtsgrundlage gibt Klarheit, aber auch hier gilt: nur was wirklich gesetzlich verpflichtend ist.

Einwilligung ist die dritte Rechtsgrundlage, aber hier geht es in HR oft schief. Die Einwilligung muss freiwillig gegeben sein, aber bei einem ungleichen Machtverhältnis zwischen Arbeitgeber und Arbeitnehmer ist das schwierig. Ein Mitarbeiter, der um Einwilligung für ein Firmenfoto gebeten wird, fühlt sich nicht immer frei, nein zu sagen. Die Schulung muss HR-Professionals lehren, wann Einwilligung als Rechtsgrundlage geeignet ist und wann nicht.

Datenschutzrechte von Mitarbeitern in der Praxis

Mitarbeiter haben verschiedene Rechte unter der DSGVO, und HR-Teams müssen wissen, wie sie damit in der Praxis umgehen.

Das Auskunftsrecht bedeutet, dass ein Mitarbeiter fragen kann, welche Daten ihr von ihm verarbeitet. Klingt einfach, aber in der Praxis wirft dies Fragen auf. Müssen Notizen eines informellen Gesprächs auch geteilt werden? Wie verhält es sich mit Referenzen eines früheren Arbeitgebers?

Das Recht auf Berichtigung und Löschung erfordert klare Verfahren. Was macht ihr, wenn ein Mitarbeiter darum bittet, eine negative Beurteilung zu löschen? Oder wenn ein ehemaliger Mitarbeiter will, dass alle Daten gelöscht werden, während ihr eine gesetzliche Aufbewahrungspflicht für Gehaltsdaten habt?

Die Schulung muss konkrete Szenarien behandeln und klare Antworten geben. Nicht nur theoretisch, sondern mit Beispielen aus der HR-Praxis. Welche Formulare verwendet ihr? Innerhalb welcher Frist müsst ihr reagieren? Und wie kommuniziert ihr dies dem Mitarbeiter?

Aufbewahrungsfristen: Was muss weg und was muss bleiben?

Einer der praktischsten Teile einer DSGVO-Schulung für HR befasst sich mit Aufbewahrungsfristen. Die DSGVO schreibt vor, dass ihr personenbezogene Daten nicht länger aufbewahrt als notwendig, aber was bedeutet das konkret?

Für Bewerbungsdaten abgelehnter Kandidaten gilt meist vier Wochen, es sei denn, der Kandidat gibt seine Einwilligung für einen Talentpool. Personalakten ausgeschiedener Mitarbeiter müssen mindestens zwei Jahre aufbewahrt werden wegen möglicher rechtlicher Ansprüche, aber einige Teile länger wegen steuerlicher Verpflichtungen. Fehlzeitendaten haben wieder andere Fristen.

Die Schulung muss HR-Teams einen praktischen Überblick über relevante Aufbewahrungsfristen geben und erklären, wie ihr eine Systematik aufbaut, um dies zu verankern. Welche Erinnerungen setzt ihr in eurem System? Wie archiviert ihr so, dass ihr nach der Aufbewahrungsfrist leicht aufräumen könnt? Dies sind die Fragen, die in der täglichen Praxis eine Rolle spielen.

Datenpannen erkennen und melden

Nicht jeder Vorfall ist eine Datenpanne im DSGVO-Sinne, aber HR-Mitarbeiter müssen wissen, was die Signale sind. Ein Lebenslauf, der versehentlich an den falschen Empfänger geht, ein ungesicherter USB-Stick mit Gehaltsdaten, der verloren geht, oder eine E-Mail mit Fehlzeitendaten, die in CC statt BCC verschickt wird: Es sind alles potenzielle Datenpannen.

Die Schulung muss klarmachen, wann etwas dem Datenschutzbeauftragten oder direkt der Datenschutzbehörde gemeldet werden muss. Innerhalb von 72 Stunden muss eine Datenpanne gemeldet sein, wenn ein Risiko für die Betroffenen besteht. Das klingt nach viel Zeit, aber in der Praxis geht es schnell.

Wichtiger noch ist Prävention. Welche Situationen sind risikoreich? Wie sichert ihr Daten beim Homeoffice? Was macht ihr mit Papierakten? Und wie geht ihr sicher mit Daten in Videogesprächen oder bei Nutzung neuer HR-Tools um? Diese praktischen Beispiele müssen ausführlich behandelt werden.

Neue Mitarbeiter, Austritt und alles dazwischen

Eine gute DSGVO-Schulung für HR folgt der Employee Journey und zeigt bei jeder Phase, wo die Datenschutzrisiken liegen.

Bei Recruiting und Auswahl geht es um die Begrenzung angeforderter Daten, sichere Aufbewahrung von Bewerbungen und korrekte Abwicklung von Absagen.

Während des Arbeitsverhältnisses kommen andere Fragestellungen. Wie geht ihr mit Monitoring und Kontrolle um? Dürft ihr E-Mail-Verkehr einsehen bei Verdacht auf Missbrauch? Wie dokumentiert ihr einen Verbesserungsprozess ohne die Privatsphäre zu verletzen? Und was sind die Regeln bei Umstrukturierungen, bei denen Daten mit Sozialpartnern oder einem neuen Arbeitgeber bei Betriebsübergang geteilt werden?

Beim Austritt spielt die Frage, was ihr aufbewahrt und was ihr löscht. Auch die Übertragung von Daten an einen neuen Arbeitgeber erfordert Sorgfalt. Welche Informationen dürft ihr in einer Referenz teilen? Und wie geht ihr mit einem ausscheidenden Mitarbeiter um, der alle seine Daten gelöscht haben will?

Sicheres Arbeiten mit HR-Systemen und Tools

Die Digitalisierung von HR bringt Effizienz, aber auch Datenschutzrisiken. Eine DSGVO-Schulung muss sich mit der sicheren Nutzung von HR-Systemen, Recruiting-Systemen, Beurteilungssoftware und anderen Tools befassen.

Wichtige Fragen, die behandelt werden müssen: Wo werden die Daten gespeichert? Hat der Anbieter einen Auftragsverarbeitungsvertrag unterzeichnet? Wer hat Zugriff auf welche Daten? Und wie verhindert ihr, dass Mitarbeiter mehr sehen als für ihre Funktion notwendig ist?

Auch praktische Dinge wie Passwortrichtlinien, Zwei-Faktor-Authentifizierung, das Sperren eures Bildschirms und sicheres Drucken gehören in die Schulung. Es klingt basal, aber in der Praxis geht es hier regelmäßig schief. Ein ungesperrter Bildschirm mit offenen Personalakten, ausgedruckte Gehaltsübersichten, die auf dem Drucker liegen bleiben, oder ein gemeinsamer Login für das HR-System sind Risiken, die leicht zu vermeiden sind.

Von Theorie zu Verhaltensänderung

Eine effektive DSGVO-Schulung für HR hört nicht bei Wissensvermittlung auf. Das Ziel ist Verhaltensänderung. Deshalb arbeiten die besten Schulungen mit konkreten Fällen, Rollenspielen und Praxisübungen, die für die Teilnehmer erkennbar sind.

Lasst Teilnehmer üben, ein Auskunftsersuchen zu beantworten, zu beurteilen, ob ein neues HR-Tool DSGVO-konform ist, oder einen Auftragsverarbeitungsvertrag aufzusetzen. Besprecht Dilemmata, die in eurer Organisation eine Rolle spielen. Je mehr die Schulung an die tägliche Realität anknüpft, desto besser bleibt das Wissen haften.

Auch ein klarer Folgeplan ist wichtig. Wen können Mitarbeiter mit Fragen kontaktieren? Wo finden sie Vorlagen und Checklisten? Und wie bleiben sie über Entwicklungen auf dem Laufenden? Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.

Die Investition, die sich auszahlt

Eine fundierte DSGVO-Schulung für HR-Teams kostet Zeit und Geld, aber die Investition zahlt sich schnell aus. Nicht nur vermeidet ihr potenzielle Bußgelder und rechtliche Ansprüche, sondern ihr baut auch an einer Kultur der Sorgfalt und des Vertrauens.

Mitarbeiter, die wissen, dass ihr Arbeitgeber sorgfältig mit ihren persönlichen Daten umgeht, haben mehr Vertrauen in die Organisation. Und HR-Professionals, die genau wissen, was erlaubt ist und was nicht, arbeiten effizienter und mit mehr Selbstvertrauen.

Startet mit einer gründlichen Bestandsaufnahme des aktuellen Wissens und der Praxis innerhalb eures HR-Teams. Welche Teile der DSGVO sind klar, und wo liegen die größten Wissenslücken? Auf dieser Basis könnt ihr eine Schulung zusammenstellen oder einkaufen, die wirklich an eure Bedürfnisse anknüpft.

Sorgt dafür, dass die Schulung praktisch, interaktiv und spezifisch für HR ist. Allgemeine Datenschutzschulungen reichen einfach nicht aus für die komplexe Datenverarbeitung, mit der HR täglich zu tun hat.