Ist eine Datenschutzrichtlinie für Mitarbeiter verpflichtend?

Ja. Die DSGVO verpflichtet Sie, jede betroffene Person darüber zu informieren, wie Sie deren personenbezogene Daten verarbeiten. Mitarbeiter sind betroffene Personen, daher müssen Sie sie informieren, genau wie Ihre Kunden. Eine eigene Datenschutzrichtlinie für Mitarbeiter ist der Standardweg.

Wann sollte ich die Datenschutzrichtlinie für Mitarbeiter übergeben?

Bei Arbeitsbeginn, als Anlage zum Arbeitsvertrag. So weiß der Mitarbeiter vom ersten Tag an, welche Daten Sie verarbeiten. Ändert sich die Richtlinie später, müssen Sie die Mitarbeiter erneut informieren.

Kann ich Einwilligung als Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten verwenden?

In den meisten Fällen nicht. Einwilligung in einem Arbeitsverhältnis gilt selten als 'freiwillig erteilt' aufgrund des Machtungleichgewichts. Verwenden Sie vorzugsweise Erfüllung des Arbeitsvertrags, gesetzliche Verpflichtung oder berechtigtes Interesse als Rechtsgrundlage.

Brauche ich eine separate Richtlinie für Zeitarbeitskräfte und Freiberufler?

Zeitarbeitskräfte fallen unter die Richtlinie des Zeitarbeitsunternehmens. Für Freiberufler, die personenbezogene Daten in Ihrem Auftrag verarbeiten, benötigen Sie einen Auftragsverarbeitungsvertrag. Wenn Sie selbst Daten von Freiberuflern verarbeiten (z.B. Rechnungsdaten), müssen Sie diese informieren.

Datenschutzrichtlinie für Mitarbeiter - Was Müssen Sie Ihrem Personal Sagen? (DSGVO)

Als Arbeitgeber verarbeiten Sie viele personenbezogene Daten Ihrer Mitarbeiter. Die DSGVO verpflichtet Sie, Mitarbeiter darüber zu informieren, was Sie verarbeiten und warum. Dieser Artikel erklärt, was eine Datenschutzrichtlinie für Mitarbeiter enthalten muss und wann Sie sie übergeben sollten.

Warum eine separate Datenschutzrichtlinie für Mitarbeiter?

Die meisten Unternehmen haben eine Datenschutzerklärung auf ihrer Website, die sich an Kunden und Besucher richtet. Aber als Arbeitgeber verarbeiten Sie auch eine große Menge personenbezogener Daten Ihrer eigenen Mitarbeiter, und die DSGVO verlangt, dass Sie diese ebenso gründlich informieren.

Es lohnt sich zu erkennen, dass die personenbezogenen Daten, die Sie über Ihre Mitarbeiter erheben, oft weitaus detaillierter und sensibler sind als das, was Sie über Kunden sammeln. Denken Sie an Gehaltsinformationen, Familienzusammensetzung, Rentendetails, Leistungsbeurteilungen, krankheitsbedingte Abwesenheiten, Disziplinarakten und biometrische Daten wie Fingerabdrücke für die Zugangskontrolle. Das macht die Datenschutzrichtlinie für Mitarbeiter nicht nur zu einer Compliance-Formalität, sondern zu einem wirklich wichtigen Dokument für Ihr Team.

Eine Datenschutzrichtlinie für Mitarbeiter (auch interne Datenschutzrichtlinie genannt) ist das Dokument, das dies leistet. Es ist vollständig getrennt von Ihrer Website-Datenschutzerklärung und konzentriert sich auf Verarbeitungen im Zusammenhang mit dem Arbeitsverhältnis.

Wann übergeben?

Der richtige Zeitpunkt ist bei Arbeitsbeginn. Fügen Sie die Datenschutzrichtlinie als Anlage zum Arbeitsvertrag hinzu. So weiß der Mitarbeiter vom ersten Tag an, welche Daten Sie verarbeiten, warum und welche Rechte er oder sie hat.

Wenn Sie die Richtlinie später ändern, beispielsweise weil Sie Videoüberwachung einführen oder ein neues HR-System in Betrieb nehmen, müssen Sie alle Mitarbeiter über die Änderung informieren.

Was muss enthalten sein?

Eine Datenschutzrichtlinie für Mitarbeiter enthält im Wesentlichen dieselben Abschnitte wie eine Website-Datenschutzerklärung, aber zugeschnitten auf das Arbeitsverhältnis.

1. Wer ist der Verantwortliche?

Ihr Firmenname, Adresse und Kontaktdaten. Wenn Sie einen Datenschutzbeauftragten (DSB) haben, geben Sie auch dessen Kontaktdaten an.

2. Welche Daten verarbeiten Sie?

Seien Sie konkret. Als Arbeitgeber verarbeiten Sie typischerweise:

Identifikationsdaten: Name, Adresse, Geburtsdatum, Sozialversicherungsnummer
Gehaltsabrechnung: Bankdaten, Gehaltsabrechnungen, Steuerdaten
Personalakten: Arbeitsvertrag, Beurteilungen, Schulungen, Abmahnungen
Krankmeldungen: Abwesenheitsmeldungen, Dauer der Abwesenheit (Achtung: Sie dürfen keine medizinischen Details erfassen)
Zugangskontrolle und Ausweise: wer wann das Gebäude betritt oder verlässt
Videoüberwachung: wenn Sie Kameras am Arbeitsplatz haben
GPS-Ortung: wenn Sie den Standort von Firmenfahrzeugen erfassen
IT-Nutzung: Protokolldaten, E-Mail-Nutzung, Internetnutzung (falls Sie dies überwachen)

3. Wofür verarbeiten Sie die Daten?

Geben Sie pro Datenkategorie den Zweck an. Beispiele:

Gehaltsabrechnung: Erfüllung des Arbeitsvertrags und gesetzliche Pflichten
Videoüberwachung: Schutz von Eigentum und Sicherheit der Mitarbeiter
GPS-Ortung: Routenplanung und Effizienzmanagement
Ausweise: Zugangskontrolle und Einhaltung des Arbeitszeitgesetzes

4. Was ist die Rechtsgrundlage?

Die häufigsten Rechtsgrundlagen für Mitarbeiterdaten:

Erfüllung des Arbeitsvertrags (Gehalt, Vertragsverwaltung)
Gesetzliche Verpflichtung (Steuererklärung, Sozialversicherung)
Berechtigtes Interesse (Videoüberwachung, IT-Sicherheit)

Einwilligung ist im Arbeitskontext fast nie geeignet, da ein Mitarbeiter nicht wirklich “frei” ablehnen kann.

5. Mit wem teilen Sie die Daten?

Listen Sie alle Parteien mit Zugang auf:

Lohnabrechnungsdienstleister
Betriebsarzt / arbeitsmedizinischer Dienst
Versicherer
IT-Dienstleister mit Zugang zu HR-Systemen
Behörden (Finanzamt, Sozialversicherungsträger)

6. Aufbewahrungsfristen

Beschreiben Sie pro Datentyp, wie lange Sie ihn aufbewahren:

Gehaltsdaten: gesetzliche Aufbewahrungspflicht von 7 Jahren
Personalakte: bis zu 5 Jahre nach Ende des Arbeitsverhältnisses
Videoaufnahmen: maximal 1 Monat (es sei denn, es liegt ein Vorfall vor)
GPS-Daten: einige Wochen, je nach Zweck

7. Rechte der Mitarbeiter

Mitarbeiter haben dieselben Rechte wie andere betroffene Personen: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Geben Sie an, wie sie diese Rechte ausüben können und an wen sie sich wenden können.

Wie GDPRWise das für Sie regelt

Wenn Sie in GDPRWise das Personaldossier durcharbeiten, werden Ihnen Fragen zu Ihren HR-Prozessen, Videoüberwachung, GPS-Ortung und IT-Richtlinien gestellt. Auf Basis Ihrer Antworten generiert GDPRWise automatisch eine Datenschutzrichtlinie für Mitarbeiter, die Sie als Anlage zum Arbeitsvertrag verwenden können.

Ändert sich Ihre Situation? Aktualisieren Sie Ihre Antworten und das Dokument wird automatisch aktualisiert.

auto_awesome Datenschutzrichtlinie für Mitarbeiter automatisch generieren

GDPRWise stellt gezielte Fragen zu Ihren HR-Verarbeitungen und generiert automatisch eine Datenschutzrichtlinie für Mitarbeiter. Bereit zur Verwendung als Anlage zum Arbeitsvertrag.

Kostenlosen Scan starten

Datenschutzrichtlinie für Mitarbeiter: Was Sie Ihrem Personal Mitteilen Müssen