DS-GVO-konformer Umgang mit personenbezogenen Daten
Mitarbeiter sind aus Sicht des Datenschutzes auch sogenannte Betroffene, da deren personenbezogene Daten verarbeitet werden. Das bedeutet für die Verarbeitung dieser Daten gelten alle gesetzlichen Vorgaben des Datenschutzes.
Wir sind schon auf unterschiedliche Themen im Mitarbeiterdatenschutz eingegangen. Was aber passiert mit den verarbeiteten personenbezogenen Daten, wenn ein Mitarbeiter das Unternehmen verlässt?
BLOG-TIPP: PERSONALAKTE UND DATENSCHUTZ – WORAUF ARBEITGEBER IN NRW ACHTEN SOLLTEN
Wenn der Mitarbeiter ausscheidet – was ist im Datenschutz zu beachten
Wenn der Mitarbeiter aus der Organisation ausscheidet, hat er genauso wie jeder andere Betroffene unter Umständen das Recht, auf Löschung seiner personenbezogenen Daten im Rahmen der gesetzlichen Vorgaben. Das bedeutet allerdings nicht, dass Sie einfach alle personenbezogenen Daten des Mitarbeiters löschen dürfen.
Lösch- und Aufbewahrungsfristen beachten
Verschiedene gesetzliche Vorgaben, geben Aufbewahrungsfristen für unterschiedliche Daten vor. Die dabei notwendigen personenbezogenen Daten dürfen natürlich in diesem Rahmen ebenfalls nicht gelöscht werden. Daher orientieren sich die Löschfristen im Datenschutz in der Regel an den entsprechenden Aufbewahrungspflichten der unterschiedlichen Gesetze.
Wer also personenbezogene Daten eines Mitarbeiters nach seinem Ausscheiden aus dem Unternehmen löschen muss oder will, sollte sich vorab genau informieren. Diese Lösch- bzw. Aufbewahrungspflichten sollten bei Nachfrage auch dem ehemaligen Mitarbeiter mitgeteilt und ebenso dokumentiert werden.
BLOG-TIPP: DATENSCHUTZ IN NRW: LÖSCHFRISTEN FÜR UNTERNEHMEN
Wo werden die Mitarbeiterdaten verarbeitet?
Um zu wissen, welche personenbezogenen Daten überhaupt berücksichtigt werden müssen, sollte festgestellt werden, wo diese überall verarbeitet werden. Dabei gilt es sowohl die digitalen Verarbeitungen als auch die manuellen Verarbeitungen zu beachten.
Biometrische Daten und mobile Endgeräte auf Daten überprüfen
Es gilt alle Bereiche zu bewerten, in denen personenbezogene Daten in Form von Mitarbeiterdaten verarbeitet werden. Überlegen Sie daher genau, wo sich noch Daten befinden können. Einige Beispiele, wo personenbezogene Daten verarbeitet werden können, sind:
- ERP-Systeme
- Zeiterfassung und Arbeitspläne
- Systeme, die mit biometrischen Daten (wie Fingerabdrücken) arbeiten
- Navigationssysteme
- Firmenhandys
- Firmencomputer oder mobile Endgeräte
- Firmenwagen und Fahrtenbücher
- E-Mail-Account
- Telefonsysteme (Telefonlisten)
- Andere IT-Systeme
- Persönliche Daten, Notizen usw.
Keine personenbezogenen Daten vergessen
Bei der Entscheidung, welche personenbezogenen Daten, wann und wie gelöscht bzw. vernichtet werden müssen oder eben auch noch aufbewahrt werden müssen, kommt es darauf an, dass man ausnahmslos alle personenbezogenen Daten findet und bewertet.
Es macht daher Sinn, einen Plan für das Ausscheiden eines Mitarbeiters schon vorher festzulegen. Zu beachten sind dabei auch Daten, die durch Auftragsverarbeiter erfasst werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Datenschutzkonzept mit dem Datenschutzbeauftragten festlegen
Vor allem das Löschen und der Umgang mit personenbezogenen Daten von ehemaligen Mitarbeitern ist ein extrem komplexer Vorgang, den wir in diesem Blogartikel nur kurz anreißen können. Für das Ausscheiden von Mitarbeitern aus einer Organisation, empfiehlt es sich, bereits ein Datenschutzkonzept mit dem Datenschutzbeauftragten festzulegen. So kann sichergestellt werden, dass alle Bereiche ausreichend bearbeitet und keine Daten vergessen werden. Aber auch die Einhaltung der Löschfristen und mögliche Betroffenenanfragen können Sie so sicher bearbeiten.
Wenn per gesetzlicher Vorgaben kein Datenschutzbeauftragter verpflichtend berufen werden muss, macht es Sinn spätestens jetzt einen Fachmann hinzuzuziehen. Ein externer Datenschutzbeauftragter kann sowohl die gesetzlichen Vorgaben erfüllen, aber auch für spezielle Aufgaben hilfreich sein.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.