Datenschutz im Personalwesen / 2 Wichtige Begriffe des Datenschutzrechts

Die DSGVO und das Bundesdatenschutzgesetz stellen einige Begriffe auf, deren Bedeutung klar sein muss. Dies ist besonders für den täglichen Umgang mit personenbezogenen Daten wichtig. An dieser Stelle liefern die Vorschriften recht verständliche Definitionen: viele Begriffe sind bereits im Gesetzestext definiert (sog. Legaldefinition).

2.1 Personenbezogene Daten

Personenbezogene Daten – kurz pbD – sind einer der wichtigsten Begriffe im Datenschutzrecht. Die DSGVO definiert pbD als "Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen".[1] Vereinfacht ausgedrückt bedeutet dies, dass jede Information bzw. jedes Datum personenbezogen ist, wenn es einen Rückschluss auf einen Menschen erlaubt.

 
Praxis-Beispiel

Beispiele für personenbezogene Daten in der Personalabteilung

  • Name
  • Personalnummer
  • Geburtsdatum
  • Gehalt
  • Bankverbindung
  • Religionszugehörigkeit
  • Staatsangehörigkeit
  • beruflicher Werdegang
  • Abmahnungen
  • Bildaufnahmen

2.2 Betroffener

Das Gesetz spricht ferner von Betroffenen. Betroffene – und damit anspruchsberechtigt – im Sinne der Datenschutzvorschriften können nur natürliche Personen (Menschen) sein.[1] Folglich schützen die Datenschutzvorschriften nicht die Daten juristischer Personen, wie z. B. Daten von Unternehmen. In der Personalabteilung sind in der Regel die Beschäftigten die Betroffenen. Der Begriff des Beschäftigten ist in § 26 Abs. 8 BDSG geregelt. Demnach sind Beschäftigte und somit betroffene Personen im Sinne des BDSG unter anderem Arbeitnehmerinnen und Arbeitnehmer, Bewerberinnen und Bewerber, sowie Personen, deren Beschäftigungsverhältnis beendet wurde.

 
Praxis-Beispiel

Abgrenzung zwischen Daten über das Unternehmen und Daten über Beschäftigten

Sofern Angaben nicht einzelnen Beschäftigten zuzuordnen sind, handelt es sich nicht um personenbezogene Daten. So ist z. B. die reine Angabe des Umsatzes bzw. des Gewinns eines Unternehmens in der Regel nicht personenbezogen.

Anders verhält es sich, wenn die Angaben einer Person zugeordnet werden können. Hat ein Unternehmen z. B. in der Region "Südwest" nur einen Außendienstmitarbeiter und erzielt er in dieser Region "Südwest" einen Umsatz von 250.000 EUR, so ist diese Umsatzangabe personenbezogen. Diese Umsatzangabe von 250.000 EUR basiert schließlich auf den Tätigkeiten des einen Außendienstmitarbeiters.

2.3 Verantwortlicher

Die Pflichten der DSGVO treffen immer den "Verantwortlichen" (früher "Verantwortliche Stelle"). Verantwortlicher ist "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet".[1] Werden also personenbezogene Daten von aktuellen oder ehemaligen Mitarbeitern von der Personalabteilung verarbeitet, ist das Unternehmen Anspruchsgegner für die Ansprüche der aktuellen oder ehemaligen Mitarbeiter. Verantwortlicher im Sinne der DSGVO ist damit in der Regel das Unternehmen selbst.

2.4 Verarbeiten personenbezogener Daten

Das Verarbeiten von personenbezogenen Daten ist in Art. 4 Nr. 2 DSGVO geregelt. Demnach meint Verarbeiten u. a. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Pseudonymisieren meint das Ersetzen des Namens oder anderer Identifikationsmerkmale durch ein Kennzeichen (Pseudonym), um die Bestimmung der betroffenen Person zu erschweren. Dies kann z. B. die Personalnummer anstelle des Namens des Beschäftigten sein. Anonymisiert sind Daten dann, wenn ein Rückschluss auf die Person nicht nur erschwert, sondern gänzlich ausgeschlossen ist. Während es sich bei anonymisierten Daten nicht mehr um personenbezogene Daten handelt, handelt es sich bei pseudonymisierten Daten weiter um personenbezogene Daten.

 
Praxis-Beispiel

"Anonyme" Bestenliste

Ein Unternehmen in der pharmazeutischen Industrie hat über das gesamte Bundesgebiet 250 Außendienstmitarbeiter. Auf dem Schwarzen Brett sind die Umsatzzahlen der jeweiligen Außendienstmitarbeiter für das abgelaufene Geschäftsjahr veröffentlicht. In der ausgehängten Tabelle wurde der Name der Außendienstmitarbeiter durch die Personalnummer ersetzt.

Damit sind die Daten hier nicht anonymisiert, sondern lediglich pseudonymisiert. Der Personalabteilung ist es über die Personalnummer möglich, den einzelnen Außendienstmitarbeiter zu bestimmen. Anonymisiert wären die Daten erst, wenn ein Rückschluss auf die Person nicht mehr möglich ist. Dies wäre in diesem Beispiel nur dann möglich, wenn die Umsatzzahlen ohne die Nennung weiterer Kennzeichen veröffentlicht werden.

2.5 Der Beschäftigtendatenschutz

Der Begriff "Beschäftigtendatenschutz" ist auf den ersten Blick irreführend, da er kein gesetzlicher Begriff ist und somit nicht im Gesetzestext zu finden ist. Der Beschäftigtendatenschutz sollte ursprünglich in einem ...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge