DSGVO für HR: Checkliste zur Mitarbeiterdaten-Compliance für regulierte Arbeitgeber

Warum Mitarbeiterdaten eine Compliance-Priorität sind, nicht nur eine HR-Frage

Personalabteilungen verarbeiten einige der sensibelsten personenbezogenen Daten in jeder Organisation: Gesundheitsakten, Leistungsdaten, Disziplinarunterlagen, Finanzinformationen (Gehälter, Renten, Ausgaben), familiäre Umstände und in regulierten Bereichen — Strafregisterprüfungen, Bewertungen der regulatorischen Eignung und Angemessenheit sowie obligatorische Meldedaten.

Dennoch wird der Einhaltung der DSGVO für Mitarbeiterdaten häufig eine geringere Priorität eingeräumt als der Einhaltung der Kundendaten. Die Aufsichtsbehörden haben es bemerkt. Mehrere der Durchsetzungsmaßnahmen im Jahr 2025–2026 betrafen Verstöße im Zusammenhang mit dem Personalwesen: Mitarbeiterüberwachung ohne Offenlegung, übermäßige Aufbewahrung von Daten ehemaliger Mitarbeiter, DSARs von Mitarbeitern während Streitverfahren, die systematische Versäumnisse bei der Datenverwaltung aufdeckten.

Für Unternehmen aus den Bereichen Finanzdienstleistungen, Recht, Gesundheitswesen und anderen regulierten Sektoren steht noch mehr auf dem Spiel. Regulatorische Eignungs- und Anstandsdaten, disziplinarische Aufzeichnungen, die sich auf Geldwäsche oder Betrug beziehen, und Whistleblower-Daten überschneiden sich alle mit HR-Pflichten und Compliance-Pflichten — Dadurch entsteht eine komplexere Risikolandschaft als bei typischen Arbeitgebern.

Welche Mitarbeiterdaten verarbeitet Ihr Unternehmen?

Bevor Sie die Compliance beurteilen können, benötigen Sie eine vollständige Bestandsaufnahme. Die meisten HR-Funktionen unterschätzen, wie viele Daten sie speichern. Eine vollständige Bestandsaufnahme umfasst Daten zu jeder Phase des Beschäftigungslebenszyklus:

Rekrutierung und Voreinstellung

• Lebenslauf, Anschreiben, Bewerbungsformulardaten
• Interviewnotizen und Beurteilungsergebnisse
• Referenzschreiben und Kontaktinformationen des Schiedsrichters
• Dokumente zur Überprüfung der Arbeitsberechtigung
• Strafregisterprüfungen (DBS/Offenlegungsprüfungen), sofern gesetzlich zulässig
• Finanzielle Hintergrundüberprüfungen für regulierte Rollen (FCA-Fit and Proper, FINMA usw.)
• Anfragen und Antworten zu regulatorischen Referenzen (obligatorisch für britische Finanzdienstleistungen)

Aktive Beschäftigung

• Persönliche Daten (Name, Adresse, Geburtsdatum, Sozialversicherungs-/Steuernummer)
• Arbeitsvertrag und Bedingungen
• Lohn-, Gehalts- und Leistungsdaten
• Nominierungen für Renten- und Lebensversicherungen
• Leistungsbeurteilungen und Ziele
• Ausbildungsnachweise und Berufsqualifikationen
• Disziplinar- und Beschwerdeprotokolle
• Abwesenheits- und Krankenakten
• Flexible Arbeits- und Familienurlaubsdokumentation
• IT-Zugriffsprotokolle, E-Mail-Überwachungsdaten (falls zutreffend)
• Reisekostenabrechnungen und Firmenkartendaten
• Regulatorische Registrierungen (SMF, AR-Status im Vereinigten Königreich; MiFID-Registrierung als gebundener Agent)

Nach Beendigung des Arbeitsverhältnisses

• Rücktritts-/Kündigungsdokumentation
• Vergleichsvereinbarungen und NDA-Bedingungen
• Regulatorische Referenzdaten (obligatorisch bei Finanzdienstleistungen)
• Rentenunterlagen und Dokumentation der aufgeschobenen Leistungen
• Einreichungen bei der HMRC/Steuerbehörde
• Litigation-Hold-Daten (bei laufenden Streitigkeiten)

Rechtliche Grundlage für die Verarbeitung von Arbeitnehmerdaten

Die DSGVO verlangt für jede Verarbeitungstätigkeit eine Rechtsgrundlage. Für Mitarbeiterdaten sind die am häufigsten anwendbaren Grundlagen:

Sonderkategorie Daten in HR

Mehrere Kategorien von HR-Daten sind "Sonderkategorie" nach Art. 9 DSGVO, die eine ausdrückliche Zustimmung oder eine bestimmte Art. 9 Bedingung neben dem Art. 6 rechtmäßige Grundlage erfordern. In HR sind die häufigsten Sonderkategorien:

• Gesundheitsdaten — Krankheitsausfälle, Arbeitsgesundheitsberichte, Behindertenunterkünfte, Phasenrückkehrpläne. Häufigste Sonderkategorie in HR. Rechtliche Grundlage ist typischerweise Artikel 9 Absatz 2 Buchstabe b (Arbeitsrechtspflichten) in Verbindung mit Artikel 6 Absatz 1 Buchstabe c.
• Gewerkschaftsmitgliedschaft & #x2014; wo Mitarbeiter Mitgliedschaft offenlegen oder wenn Abzüge für Gewerkschaftsgebühren gemacht werden. Typischerweise gilt Artikel 9 Absatz 2 Buchstabe b.
• Biometrische Daten — Fingerabdruck-Eintaktsysteme, Gesichtserkennung Zugriffskontrolle. Erfordert eine ausdrückliche Zustimmung oder Artikel 9 Absatz 2 Buchstabe b) die Rechtfertigung eines DPIA.
• Kriminelle Überzeugungsdaten — DBS-Checks, Finanzkontrolle, AML-bezogene Screenings. Artikel 10 gilt (nicht Artikel 9) — erfordert eine spezifische innerstaatliche Rechtsvorschrift. Im Vereinigten Königreich wird dies durch die Rehabilitation des Offenders-Gesetzes geregelt; in anderen Zuständigkeiten der EU gelten gleichwertige nationale Bestimmungen.

Mitarbeiter Monitoring: Die DSGVO High-Risk-Zone

Die Umstellung auf Remote- und Hybrid-Arbeit erhöht drastisch den Arbeitgebereinsatz von Monitoring-Software & #x2014; Produktivitätstracker, Keylogger, Screenshot-Tools, E-Mail-Überwachung und GPS-Tracking für Remote-Arbeiter. Dies ist jetzt einer der aktivsten Bereiche der Mitarbeiterdaten DSGVO Compliance.

Die Rechtsstellung der EU-Aufsichtsbehörden ist konsequent:

• Die Mitarbeiterüberwachung ist nicht inhärent rechtswidrig — sie muss jedoch eine gültige Rechtsgrundlage (typischerweise legitime Interessen oder gesetzliche Verpflichtung) haben
• Es muss verhältnismäßig sein — die am wenigsten aufdringlichste Methode, die das legitime Ziel erfüllt
• Mitarbeiter müssen transparent informiert werden & #x2014; in ihrem Vertrag, ein Policy-Dokument oder eine bestimmte Datenschutzerklärung & #x2014; bevor die Überwachung beginnt
• Ein DPIA ist für die systematische oder groß angelegte Mitarbeiterüberwachung erforderlich (DSGVO Artikel 35)
• In vielen EU-Behörden (Deutschland, Niederlande, Frankreich, Österreich) ist vor der Umsetzung von Überwachungssystemen eine Konsultation des Betriebsrates erforderlich

Betroffenenrechte für Mitarbeiter

Mitarbeiter haben dieselben Rechte wie jede Person der DSGVO. In der Praxis sind die am häufigsten ausgeübten:

Zugriffsrecht (DSAR)

Mitarbeiter können alle über sie gespeicherten personenbezogenen Daten anfordern. Dies wird am häufigsten während Disziplinarverfahren, Trauerverfahren oder Arbeitsgerichtsansprüchen & #x2014 ausgeübt; genau wenn Sie am wenigsten wissen wollen, dass Ihr Datenmanagement Lücken hat. Häufige Fragen in der Mitarbeiter-DSARs umfassen:

• E-Mail-Aufzeichnungen und informelle Manager-Kommunikation, die negative Bewertungen enthalten
• Performance Note Dateien außerhalb formaler HR-Systeme gehalten
• IT-Überwachungsdaten, die das Ausmaß der Überwachung erkennen
• Daten über das Payroll-System, die Zahlungsbilanzen offenlegen
• Verweise auf andere Arbeitgeber ohne Kenntnisse des Arbeitnehmers

Recht auf Löschung

Erasure-Anfragen von Mitarbeitern sind komplexer als Client-Änderungsanträge, weil das Beschäftigungsrecht überlappende Rückhalteverpflichtungen schafft. Sie können keine Payroll-Aufzeichnungen löschen, die HMRC erfordert, dass Sie für 6 Jahre, oder Rentenaufzeichnungen für 60 Jahre benötigt, als Reaktion auf eine Löschanfrage. Rückforderungspflichten überwiegen das Recht auf Löschung & #x2014; nur für die Daten, die tatsächlich von der Verpflichtung erfasst werden. Extrane Daten (informale Notizen, übermäßige Überwachungsdaten, alte Performance-E-Mails) können und sollten gelöscht werden, wenn nicht mehr erforderlich.

Recht auf Widerspruch

Mitarbeiter können gegen die Verarbeitung auf Grundlage berechtigter Interessen Widerspruch einlegen. Wenn ein Mitarbeiter einem Überwachungsprogramm widerspricht, müssen Sie prüfen, ob zwingende schutzwürdige Gründe ihre Interessen überwiegen. Dies ist eine echte Balance Übung & #x2014; nicht ein Gummistempel, um die Überwachung unabhängig davon fortzusetzen.

HR-Datenaufbewahrung: Schlüsselzeiträume

Überretention ist eines der häufigsten Fehler von HR-DSGVO & #x2014 und einer der einfachsten zu beheben. Erstelle einen Aufbewahrungsplan und ersetze ihn mit regelmäßigen Löschprüfungen.

Die HR-DSGVO-Compliance-Checkliste

• Datenschutzhinweise des Personals (Mitarbeiter-Ansicht) an Ort und Stelle und aktuell — getrennt von der Datenschutzhinweise des Kunden
• Artikel 30 Aufzeichnungen über Verarbeitungstätigkeiten (RoPA) umfasst alle Tätigkeiten der Personalverarbeitung
• Rechtliche Grundlage für jede HR-Verarbeitungstätigkeit (Vertrag, gesetzliche Verpflichtung, berechtigte Interessen, gegebenenfalls Zustimmung)
• Besondere Kategorie Datenverarbeitung dokumentiert mit Artikel 9
• Arbeitsverträge, aktualisiert auf Referenzdatenverarbeitungstätigkeiten
• Recruitment Datenretention Politik an Ort und Stelle (unerfolgreiche Kandidaten innerhalb von 12 Monaten gelöscht)
• DBS / Offenlegung Check-Richtlinie: Ergebnisse nicht gespeichert, Notierung nur
• Personaldatensysteme Zugriffskontrollen: Mindestprivileg, rollenbasierter Zugriff auf sensible Daten
• Arbeitnehmer-Überwachungspolitik dokumentiert, offengelegt in Verträgen / Kündigungsfrist, verhältnismäßig
• DPIA abgeschlossen für jede systematische Mitarbeiterüberwachung
• Betriebsrat / Arbeitnehmervertretung Beratung zur Überwachung (sofern erforderlich)
• DSAR-Verfahren umfasst Mitarbeiteranfragen, nicht nur Kundenanfragen
• Retentionsplan für alle HR-Datenkategorien
• Jährliche Streichungsüberprüfung für abgelaufene Aufzeichnungen geplant
• Datenverstoßverfahren umfasst HR-Datenverstöße (z.B. E-Mail-Zahlungsdaten an einen falschen Empfänger)
• Drittanbieter HR-Software und Payroll-Anbieter haben DPAs unterschrieben (DSGVO Artikel 28)
• Grenzüberschreitende Überweisungen, die bei der Verarbeitung von Gehalten durch einen US-amerikanischen Anbieter bewertet werden
• HR-Team ausgebildet auf DSGVO-Datensubjektrechte, Verletzungsmeldung und Datenminimierung

Häufig gestellte Fragen

← Zurück zum Blog