Onboarding von Beschäftigten – Datenschutzrechtliche Besonderheiten
Auch datenschutzrechtliche Aspekte sind bei dem Onboarding-Prozess zu berücksichtigen, denn die Durchführung von Onboarding-Prozessen ohne die Verarbeitung von personenbezogenen Daten des Beschäftigten bzw. zukünftig Beschäftigten, ist praktisch nicht möglich.
Im Nachfolgenden werden einzelne zu berücksichtigende Aspekte aus Sicht des Datenschutzes näher erläutert.
Erfüllung der Informationspflicht gem. Art. 13 DS-GVO
Nach erfolgreichem Abschluss des Bewerbungsverfahrens erhält der Bewerber im Regelfall seinen Arbeitsvertrag. Auch wenn der Bewerber zu diesem Zeitpunkt noch nicht zu der Gruppe der Beschäftigten zählt, sind auch hier datenschutzrechtliche Besonderheiten zu beachten.
Zum einen können bereits im Arbeitsvertrag datenschutzrechtliche Regelungen vereinbart werden (z.B. eine Verpflichtung zur Vertraulichkeit), zum anderen greift die Informationspflicht gem. Art. 13 DS-GVO auch für Beschäftigte.
Konkret bedeutet dies, dass der Arbeitgeber auch die (neuen) Beschäftigten über die Verarbeitung ihrer personenbezogenen Daten informieren muss. Informiert werden muss dabei u.a. darüber, welcher Verarbeitungszweck und welche Rechtsgrundlage der Verarbeitung gegeben sind. Außerdem sollte über die Kontaktdaten des Datenschutzbeauftragten sowie die allgemeinen datenschutzrechtlichen Betroffenenrechte (§§ Art. 12 ff. DS-GVO) aufgeklärt werden.
Die Informationserteilung sollte dabei vor Verarbeitung der personenbezogenen Daten erfolgen. In der Praxis bedeutet dies, dass bereits mit Zusendung des Arbeitsvertrages auch ein entsprechendes Informationsblatt zugesendet werden sollte.
Personalfragebögen
In vielen Unternehmen werden zur Abfrage bestimmter Informationen des Beschäftigten Personalfragebögen eingesetzt.
Abgefragt werden sollten dabei nur solche Daten, die für die Begründung und Abwicklung des Arbeitsverhältnisses auch tatsächlich notwendig sind (§ 26 BDSG). Dazu gehören etwa Sozialversicherungsangaben oder Kontoinformationen.
An dieser Stelle ist zu berücksichtigen, dass bei dem Einsatz von Personalfragebögen gem. § 94 Abs. 1 BetrVG das Mitbestimmungsrecht des Betriebsrates zu berücksichtigen ist.
Einrichtung des Arbeitsplatzes und Einarbeitungsprozess
Für die Einrichtung des Arbeitsplatzes ist u.a. die Freischaltung von Laufwerken, die Berechtigungsvergabe und die Ausgabe von mobilen Endgeräten wie z.B. Diensthandy, Laptop oder Tablet notwendig.
Innerhalb des Unternehmens sollte dafür gesorgt werden, dass der neue Beschäftigte nur Zugriff auf solche personenbezogenen Daten erhält, die für die Absolvierung seiner Arbeitsaufgabe notwendig sind. Ferner sollte das Unternehmen einen Überblick über die ausgebenden Endgeräte haben. In der Praxis empfiehlt sich dabei das Führen einer (elektronischen) Liste. Auch im Hinblick auf einen möglichen Offboarding-Prozess ist dies zu empfehlen. Gleiches gilt selbstverständlich auch für ausgebende Schlüssel, Zugangskarten o.Ä..
Zu einem erfolgreichen Einarbeitungsprozess gehört es auch, die Bestandsbeschäftigten über ihren neuen Kollegen zu informieren.
In einigen Unternehmen wird der neue Beschäftigte durch eine Mitteilung im Intranet oder etwa auf dem unternehmenseigenen Social-Media-Account vorgestellt. Zu beachten ist dabei, dass es sich auch hier um eine Verarbeitung von personenbezogenen Daten des Beschäftigten handelt. Erforderlich ist daher entweder das Vorliegen eines berechtigten Interesses des Unternehmens (Art. 6 Abs. 1 lit. f DS-GVO) oder die Einwilligungserteilung durch den Beschäftigten.
Eine interne Mitteilung über den Namen des Beschäftigten und seine zuständige Abteilung dürfte dabei vom berechtigten Interesse des Unternehmens gedeckt sein. Für die Veröffentlichung eines Fotos auf einer Social-Media-Plattformen ist hingegen stets eine vorherige (schriftliche) Einwilligung einzuholen.
Sensibilisierung des Beschäftigten für den Datenschutz
Zur Einarbeitung des neuen Beschäftigten sollte auch eine datenschutzrechtliche Schulung gehören. Regelmäßige Datenschutzschulungen sind ferner auch für Bestandsbeschäftigte sinnvoll.
Eine explizite Schulungspflicht sehen die einschlägigen Datenschutzgesetze zwar nicht vor, allerdings mindestens eine indirekte Pflicht. So hat der Verantwortliche gem. Art. 5 Abs. 2 DS-GVO den Nachweis über die Einhaltung des Datenschutzes zu leisten. Schulungen können dabei als Nachweis dienen, dass die Datenschutzregeln unternehmensintern kommuniziert worden sind und die Beschäftigten dahingehend sensibilisiert worden sind. Ferner fordert die DS-GVO in Art. 32 die Implementierung von technisch-organisatorischen Maßnahmen zum Schutze von personenbezogenen Daten. Auch Datenschutzschulungen gehören zu diesen Maßnahmen.
Die Aufklärung über unternehmensinterne Datenschutzrichtlinien, z.B. zur Nutzung dienstlicher mobiler Endgeräte, sollte bei dem Onboarding-Prozess ebenfalls nicht vergessen werden.
Sollten Sie weitere Fragen zu den datenschutzrechtlichen Besonderheiten bei Onboarding-Prozessen oder zu weiteren Themen des Datenschutzes haben, dann können Sie sich selbstverständlich gerne bei uns melden!