Bei der Einstellung neuer Beschäftigter fallen vor und unmittelbar nach Arbeitsantritt viele organisatorische Aufgaben an. Diese werden in der Regel von der Personalabteilung in Zusammenarbeit mit dem direkten Vorgesetzten und der IT-Abteilung koordiniert. Damit in der Vielzahl der Themen, die datenschutzrechtliche Komponente nicht zu kurz kommt, haben wir Ihnen eine Datenschutz-Checkliste zusammengestellt, was es bei der Einstellung neuer Beschäftigter in Sachen Datenschutz zu beachten gilt.
Verpflichtung auf Vertraulichkeit
Personen, die mit personenbezogenen Daten in Berührung kommen können, dürfen diese nach Art. 29 DSGVO ausschließlich auf Weisung des Verantwortlichen (also des Unternehmens) verarbeiten. Aus Nachweisgründen sollten die Beschäftigten schriftlich darüber belehrt und auf die Vertraulichkeit verpflichtet werden.
Da es sich dabei um eine Belehrung zu einer im Gesetz verankerten Pflicht handelt, ist der Arbeitsvertrag nicht der richtige Ort für diese Verpflichtung. Stattdessen sollten Sie über ein gesondertes Dokument verfügen, welches nach Gegenzeichnung des Beschäftigten in der Personalakte abgelegt wird. Innerhalb dieser „Verpflichtung auf die Vertraulichkeit“ können zusätzlich weitere wichtige Themen, wie z.B. das Verbot der privaten E-Mail-Nutzung integriert werden.
Datenschutzhinweise für Beschäftigte
Sie alle kennen Datenschutzhinweise auf Websites. Informationspflichten müssen Unternehmen aber nicht nur gegenüber Websitebesuchern, sondern auch gegenüber allen weiteren Betroffenengruppen erfüllen. Da Arbeitgeber zumindest Namen, Kontaktdaten und Kontodaten ihrer Beschäftigten verarbeiten, müssen sie auch hier die Informationspflichten der DSGVO beachten.
Da die Informationspflichten in Art. 13 DSGVO sehr weitreichend sind, würde die Vielzahl an Informationen den Umfang des Arbeitsvertrags sprengen. Nutzen Sie deshalb ein separates Dokument, welches den Beschäftigten bei Erhebung, also bestenfalls gemeinsam mit dem Personalfragebogen, zur Verfügung gestellt wird. Eine Unterschrift des Beschäftigten ist hier bei einseitigen Informationspflichten nicht notwendig. Eine schriftliche Bestätigung der Kenntnisnahme schadet aber auch nicht.
Einwilligung bei Fotonutzung
Wenn Sie Ihre Neueinsteiger auf der Unternehmenswebsite, den Social-Media-Kanälen oder im Intranet mit einem Foto vorstellen möchten, denken Sie daran, dass Sie hierfür die Einwilligung des Beschäftigten benötigen. Aus Nachweisgründen sollte diese schriftlich eingeholt werden. Weitere Informationen dazu haben wir Ihnen hier zusammengestellt.
Vereinbarung zur Nutzung der IT-Systeme
Vereinbarungen mit Beschäftigten zum Umgang mit IT-Systemen können als organisatorische Maßnahme das Datenschutzniveau und die IT-Sicherheit erhöhen. Dazu gehören typischerweise Regelungen zum Verhalten am Arbeitsplatz, zum Umgang mit Passwörtern und mobilen Datenträgern. Eine Vereinbarung dieser Art sollten Unternehmen gesondert erstellen, und dem Beschäftigten zu Beginn des Anstellungsverhältnisses aushändigen.
Einrichtung der Zutrittsrechte
Typischerweise benötigt der neue Mitarbeiter oder die neue Mitarbeiterin einen Schlüssel oder eine Chipkarte, um ihre tägliche Arbeit an ihrem Arbeitsplatz antreten zu können. Denken Sie daran die Ausgabe entsprechend zu dokumentieren und den Zutritt nur in Räumlichkeiten zu gewähren, die für die Erledigung der Aufgaben notwendig sind.
Einrichtung der Zugangsrechte zu IT-Systemen
Hierbei handelt es sich klassischerweise um ein Thema der IT. Denken Sie bei der Einrichtung der Zugänge zu den IT-Systemen daran, dass Beschäftigte nur auf solche personenbezogenen Daten Zugriff haben dürfen, die zur Erfüllung der Aufgaben benötigt werden (Need-to-Know-Prinzip). Achten Sie fortlaufend während des Anstellungsverhältnisses darauf, nicht mehr benötigte Zugangsrechte wieder zu entziehen.
Schulung der Beschäftigten
Beschäftigte müssen regelmäßig zum Datenschutz geschult werden. Es handelt sich dabei um eine Pflicht des Unternehmens, die vom Datenschutzbeauftragten überwacht werden soll. Regelmäßig wird diese Schulung auch vom Datenschutzbeauftragten übernommen. Konkrete Inhalte werden durch die DSGVO nicht vorgegeben. Ihre Mitarbeiter sollten aber einen Überblick zu den gesetzlichen Vorgaben erhalten und die unternehmensweiten Vorgaben zur IT-Sicherheit vermittelt bekommen. Die Schulung sollte unmittelbar nach Arbeitsantritt erfolgen und in regelmäßigen Abständen (alle ein bis zwei Jahre) wiederholt werden.
Einführung in das Datenschutz-Management
Sofern Ihr Unternehmen bereits über ein dokumentiertes Datenschutzmanagement verfügt, sind alle Beschäftigten mit den relevanten Inhalten vertraut zu machen. Das kann im Zuge einer Schulung oder sonstiger Unterweisung stattfinden. Nur wenn die Beschäftigten die Prozesse zur Einhaltung datenschutzrechtlicher Vorgaben kennen, können sie die auch befolgen.
Fazit
Alle der aufgelisteten Themen müssen bei jeder Neueinstellung beachtet werden. Eine Onboarding-Checkliste kann Ihnen dabei helfen, den Überblick nicht zu verlieren und sicherzustellen, dass Sie an alles gedacht haben. Eine solche Liste eignet sich außerdem dazu weitere administrative und organisatorische Angelegenheiten außerhalb des Datenschutzes zu regeln.
Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.