Mobile-Menu

DSGVO & Co.: Mitarbeiterdaten richtig speichern Onboarding-Prozess: Datenschutz bei der Einführung in digitale Systeme

Von Matthias Merzen

Anbieter zum Thema

Ein durchdachter Onboarding-Prozess neuer Mitarbeiter ist von großer Bedeutung für eine gelingende Einarbeitung und Integration der neuen Talente. Unabhängig von der Branche fallen in jedem Unternehmen beim Onboarding Mitarbeiterdaten an. Diese gilt es, datenschutzkonform zu verarbeiten.

Auch bei der Einführung neuer Mitarbeiter in die digitalen Systeme des Unternehmens müssen die Verantwortlichen Datenschutz und Datensicherheit beachten.
Auch bei der Einführung neuer Mitarbeiter in die digitalen Systeme des Unternehmens müssen die Verantwortlichen Datenschutz und Datensicherheit beachten.
(Bild: gemeinfrei / Pixabay)

Auch bei der Einführung neuer Mitarbeiter in die digitalen Systeme des Unternehmens ist auf Datenschutz und Datensicherheit zu achten. Den wichtigsten juristischen Rahmen gibt die Datenschutz-Grundverordnung (DSGVO) vor.

Onboarding, Personalwesen und Datenschutz im Überblick

Nicht nur aus personalwirtschaftlicher Perspektive, sondern auch aufgrund datenschutzrechtlicher Aspekte ist ein klarer Onboarding-Prozess wichtig. Das Onboarding gehört, ebenso wie das Offboarding, zu den organisatorischen Maßnahmen gemäß Art. 32 der DSGVO.

Nach der Datenschutzgrundverordnung sind jederzeit angemessene Maßnahmen zu treffen, damit ein Schutz der Vertraulichkeit, der Verfügbarkeit sowie der Integrität der personenbezogenen Daten gegeben ist.

Bei der Einstellung, Einführung und Entlassung der Mitarbeiter ist eine große Zahl von Themen relevant. Dazu gehören die Erhebung und die Verarbeitung personenbezogener Daten neuer Mitarbeiter. Ein weiteres wichtiges Thema ist die Einarbeitung in die digitalen Systeme des Unternehmens. Dazu gehören beispielsweise Zugangsberechtigungen zu Storage-Lösungen und Clouds und die Vergabe von Passwörtern. Hiesige Passwörter, die nur für den neuen Mitarbeiter und nicht für allgemein zugängliche Programme vorgesehen sind, sollten nach der Einarbeitung abgeändert werden. Zumeist gibt es für verschiedene Tools, Kommunikationsprogramme und Co. Passwörter, die zur erstmaligen Nutzung bereitgestellt werden. Hier sollte der neue Mitarbeiter unter Berücksichtigung verschiedenster Sicherheitsfaktoren neue Passwörter generieren.

Weiterhin sind gegebenenfalls datenschutzrechtliche Schulungen erforderlich und Mitarbeiter datenschutzrechtlich zu verpflichten.

Die Herausforderungen gehen über den reinen Onboarding-Prozess hinaus und betreffen die gesamte Dauer der Betriebszugehörigkeit. Auch bei der Entlassung sind DSGVO-Vorgaben zu berücksichtigen. Dies reicht vom Entzug beziehungsweise der Rückgabe von Zugriffsrechten und Firmeneigentum bis zur Löschung oder Archivierung personenbezogener Mitarbeiterdaten.

Einer der wesentlichen Grundsätze des Datenschutzes sieht vor, dass eine Datenverarbeitung ohne Vorliegen einer rechtlichen Grundlage untersagt ist. In der Praxis bedeutet dies, dass sämtliche Mitarbeiterdaten zu löschen sind, wenn keine konkrete Rechtsgrundlage zu ihrer Erhebung oder Aufbewahrung vorliegt. Bei Verstoß gegen diesen Grundsatz drohen Bußgelder oder Schadenersatzforderungen. Daher ist es empfehlenswert, ein standardisiertes Konzept zur Löschung der Daten zu erarbeiten. Aus diesem müssen die Kriterien für das Löschen der personenbezogenen Daten unter Berücksichtigung entsprechender Fristen hervorgehen.

Der Onboarding-Prozess und seine Schritte vor dem Hintergrund des Datenschutzes

Die Herausforderung der Boardingzeit neuer Talente lässt sich im Wesentlichen in drei größere Schritte untergliedern. Zunächst gilt es, die neuen Mitarbeiter zu rekrutieren und einzustellen. Anschließend wird die neue Arbeitskraft mit dem Unternehmen und ihrem Arbeitsplatz vertraut gemacht. Anschließend folgt die Einarbeitung des neuen Mitarbeiters in das Team. In all diese Herausforderungen fließen datenschutzrechtliche Auflagen mit ein, die sich je nach Größe, Branche und Komplexität des Unternehmens unterscheiden können.

Der Stellenwert und die Relevanz eines professionellen Onboardings zeigt sich in dem Mehrwert für Unternehmen und Mitarbeiter. Wie aus der Haufe-Onboarding-Studie 2021 hervorgeht, sehen mehr als 90 Prozent der Befragten ein großes Potenzial in einem guten Onboarding-Prozess. 91 Prozent der 254 Studienteilnehmer sind überzeugt, dass über gutes Onboarding eine bessere soziale Integration möglich ist. Auch die fachliche Integration gelingt auf diese Weise nach Meinung von 89 Prozent der Befragten besser. Im Zuge der Covid-19-Maßnahmen hat sich ein großer Teil des Onboardings immer weiter in die digitale Sphäre verlagert. Damit gehen gleichermaßen neue Herausforderungen des Datenschutzes einher.

Personalfragebogen und Informationsaustausch

Schon im Vorfeld des ersten Arbeitstags eines neuen Mitarbeiters hat der Arbeitgeber Interesse an bestimmten Informationen sowie Dokumenten. Dazu gehören der Personalfragebogen, der Sozialversicherungsausweis, Bescheinigungen der Krankenkasse sowie gegebenenfalls Dokumente wie Aufenthaltsgenehmigungen oder Arbeitsgenehmigung. Schon dieser Vorgang ist von Datenverarbeitungen geprägt, die auf Rechtmäßigkeit angewiesen sind.

Die wichtigsten Informationen über neue Talente im Betrieb erheben Personalverantwortliche typischerweise über einen Personalfragebogen. Die entsprechenden personenbezogenen Daten unterliegen gemäß Artikel 88, Absatz 1 DSGVO der so genannten „Datenverarbeitung im Beschäftigungskontext“.

Hierbei gilt es, zu berücksichtigen, dass nur solche Daten von Personalverantwortlichen rechtmäßig erhoben werden dürfen, die für die Begründung eines Arbeitsverhältnisses erforderlich sind. Zur Erhebung der Daten muss das Unternehmen daher ein berechtigtes und schutzwürdiges Interesse an einer Beantwortung der Fragen im Personalfragebogen durch den neuen Mitarbeiter haben. In diesem Zusammenhang ist auch das Mitbestimmungsrecht im Betriebsrat gemäß § 94, Absatz 1 BetrVG (Betriebsverfassungsgesetz) zu beachten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Einführung in Unternehmenssysteme und Arbeitsplatz

Die Einrichtung des Arbeitsplatzes inklusive Einführung in die wichtigsten digitalen Systeme stellt den zweiten Schritt im Onboarding dar. Diese Phase ist nicht nur datenschutzrechtlich relevant, sondern eine wesentliche Herausforderung für eine reibungslose Eingliederung in den Betriebsablauf.

Diese Phase nimmt typischerweise den größten Teil des gesamten Onboardings in Anspruch. Das Thema Datenschutz spielt hierbei an zahlreichen Stellen eine wichtige Rolle. Ein wesentlicher Bestandteil zur Einrichtung des Arbeitsplatzes ist die Freischaltung beziehungsweise der Zugriff auf bestimmte Ordner, Storage-Lösungen, Clouds und Laufwerke.

Diese Phase der Einarbeitung ist auch und insbesondere geprägt von der Vergabe von Zugriffsberechtigungen sowie Passwörtern und Schlüsseln. Unternehmen verfügen oft über Listen darüber, welche Mitarbeiter über welche Zugriffs- und Zutrittsrechte verfügen. Ebenso sollte eine Liste über die ausgegebenen Geräte wie Mobiltelefone, Tablets und Notebooks geführt werden.

Auch die vergebenen Passwörter und Schlüssel sind in Listen festzuhalten. Hier ist zu prüfen, welche Passwörter und (digitalen) Schlüssel ein Mitarbeiter zum Zugriff auf Storage-Lösungen, Laufwerke und andere digitale Systeme benötigt. Mit der Vergabe verbunden ist eine Schulung über die Sorgfaltspflichten derjenigen, die im Besitz der Passwörter sind.

Falls an entsprechender Stelle relevant, müssen Dokumente wie Verpflichtungserklärungen und Einwilligungen berücksichtigt werden, damit es nicht zu Konflikten mit DSGVO-Vorschriften kommt.

Verpflichtung zur Vertraulichkeit

Sobald ein neuer Mitarbeiter im Unternehmen eingestellt wird, ist er gemäß Artikel 32, Absatz 1 DSGVO auf Vertraulichkeit zu verpflichten. Hierzu gehört es auch, Mitarbeiter beim Onboarding bereits über die Beachtung datenschutzrechtlicher Aufgaben bei der alltäglichen Arbeit zu informieren.

Kombiniert mit diesen Verpflichtungen werden oft auch entsprechende Geheimhaltungserklärungen. Diese betreffen beispielsweise das Betriebsgeheimnis, das Steuergeheimnis oder das Telekommunikationsgeheimnis. Aus Gründen des Nachweises sollte ein Arbeitgeber diese Verpflichtungen zur Vertraulichkeit hinreichend dokumentieren.

Bekanntmachung und Information über den neuen Mitarbeiter

Die Vorstellung und Bekanntmachung der Verstärkung im Unternehmen gegenüber der restlichen Belegschaft ist der abschließende Schritt im Onboarding-Prozess. Der erste Tag im neuen Unternehmen ist mit zahlreichen Herausforderungen und Neuerungen verbunden. Daher ist es an dieser Stelle besonders wichtig, neue Mitarbeiter möglichst früh in das bestehende Team zu integrieren. Dies leistet gleich zu Beginn einen Beitrag zum Zugehörigkeitsgefühl und sorgt für Identifikation mit dem Unternehmen. Die Wahrscheinlichkeit steigt, dass sich neue Mitarbeiter wohlfühlen, gute Arbeit leisten und dem Unternehmen lange erhalten bleiben. Weiterhin stellt sich heraus, dass sich solche Mitarbeiter, die sich schnell in das Unternehmen eingliedern, ihren Platz schneller finden. In der Folge wissen sie ihre Leistung schneller gewinnbringend im Unternehmen einzusetzen.

Im Idealfall werden neue Mitarbeiter bereits vor dem ersten Tag im neuen Unternehmen der restlichen Belegschaft vorgestellt. Hierbei können viele digitale Systeme und Plattformen zum Einsatz kommen. Dazu gehören Facebook- oder Instagram-Posts, Einträge im Firmennetz beziehungsweise Intranet oder Info-Mails. Im Hinblick auf den Datenschutz ist hierbei zu berücksichtigen, dass es sich um personenbezogene Daten nach DSGVO handelt. Im Hinblick auf den Umgang mit diesen Daten gilt daher, dass stets ein Rechtsgrund vorliegen muss, wenn es zur Verarbeitung dieser Daten kommt.

Einwilligung des Mitarbeiters

Sobald ein neuer Mitarbeiter seine Einwilligung in die interne Veröffentlichung seiner Informationen und Daten über bestimmte Plattformen gegeben hat, ist die anschließende Veröffentlichung unproblematisch. Sollte eine Einwilligung des Mitarbeiters für die Veröffentlichung fehlen, so dürfen vorerst nur Name und Eintrittsdatum veröffentlicht werden. Bei diesen Daten handelt es sich um Informationen, bei denen sich der Arbeitgeber auf sein berechtigtes Interesse berufen kann. Geht es um die Veröffentlichung eines Fotos oder eines Lebenslaufs, ist die ausdrückliche Einwilligung des neuen Mitarbeiters vorgesehen.

Ebenso sollte im Hinblick auf den Datenschutz klar abgewogen werden, welcher Teil der Belegschaft oder welcher Personenkreis ein Interesse über die Information darüber haben kann, dass ein neuer Mitarbeiter eingestellt wird. Daher sollte in einem durchdachten und standardisierten Onboarding-Prozess klar geregelt sein, wer für welche Informationen der Kollegen zuständig ist und welche Mitarbeiter unter welchen Voraussetzungen zu informieren sind. Ebenso sollte es in diesem Prozess standardisiert sein, zu welchem Zeitpunkt und auf welchem Weg die Information erfolgt.

Aktuelles eBook

Daten DSGVO-konform speichern – und löschen

eBook DSGVO
eBook „Daten DSGVO-konform speichern – und löschen“
(Bild: Storage-Insider)

Auch vier Jahre nach Beginn der Anwendung der Datenschutz-Grundverordnung (DSGVO) haben Unternehmen und Behörden Probleme damit, ihr Konzept zur Speicherung und Löschung personenbezogener Daten konform mit der DSGVO zu entwickeln und umzusetzen. Das neue eBook gibt Orientierung für die Prozesse der Aufbewahrung, Löschung und Einschränkung der Verarbeitung.

Die Themen im Überblick:

  • Speichern und Löschen personenbezogener Daten
  • Umsetzung der DSGVO
  • Beispiele aus der Datenschutz-Praxis

(ID:48585199)