DSGVO in der Hotellerie und deine Aufgabe als Arbeitgeber (4/5)

| Ein Kommentar

In den ersten Episoden dieser Serie DSGVO im Hotel ging es um analogen und digitalen Datenschutz und zuletzt um Videoüberwachung in Hotels. Heute spreche ich mit Ingo Busch über die DSGVO in Bezug auf Mitarbeiter.

Was darf und was darf nicht.

Wo und wofür brauchst du eine Einwilligung?

[blue_box]

Ich möchte aber daraufhin weisen, dass weder Ingo noch ich Rechtsanwälte sind und das hier keine Rechtsberatung darstellt. Ich möchte dich bitten für deinen speziellen Fall zu dem Anwalt deines Vertrauens zu gehen. Ingo ist Datenschutzbeauftragter und deshalb spreche ich heute mit ihm.

[/blue_box]

Die DSGVO greift bereits beim Bewerbungsprozess

Valerie: Herzlich Willkommen Ingo, schön dass du da bist!

Für alle die es nicht wissen, weil sie die ersten Episoden noch nicht gehört haben: Wer bist du und was machst du?

Ingo Busch: Danke für die Begrüssung und auch hallo an die Hörer und Leser!

Ich bin von Haus aus gelernter Software-Entwickler und habe auch viele Jahre als Projektleiter in Software-Projekten gearbeitet. Durch diese Tätigkeiten bin ich schon seit vielen Jahren immer wieder mit Fragen des Datenschutzes konfrontiert gewesen. Natürlich verstärkt im letzten halben Jahr, bevor die Datenschutzgrundverordnung Gültigkeit erlangte. 
Letztendlich habe ich mich also dazu entschieden, mein vorhandenes Wissen auszubauen und mich von der Dekra im Datenschutz zertifizieren zu lassen. Ich bin nun als Datenschutzberater tätig und übernehme auch die Rolle als externer Datenschutzbeauftragter bei meinen Mandanten.

Informiere bereits bei der Stellenausschreibung

Valerie: Bei den Mitarbeitern fängt es ja in der Bewerbungsphase schon an. Wir gehen mal davon aus, dass die Bewerbung per E-Mail und als PDF eingeht. Muss die HR-Abteilung dabei schon etwas berücksichtigen? Und sind automatische Antworten an den Bewerber noch möglich?

Ingo: Eine automatische Antwort ist selbstverständlich möglich! Das Absenden der E-Mail und der damit einhergehenden Übermittlung der E-Mail-Adresse des Bewerbers an das Unternehmen kann als Einwilligung in die Speicherung und Nutzung der E-Mail-Adresse angesehen werden.

Damit der Bewerber trotzdem über seine Betroffenenrechte und insbesondere über die Speicherdauer informiert ist, empfehle ich, diese Informationen in Kurzform bereits in die Stellenausschreibung mit aufzunehmen. Und zwar direkt vor der Angabe der E-Mail-Adresse, an die der Bewerber seine Bewerbung senden soll.

Zusätzlich ist es sinnvoll eine Datenschutz-Erklärung für den Bewerbungsprozess online zur Verfügung zu stellen. Dort kann der Bewerber in Langform alles nachlesen. Diese URL würde ich ebenfalls in der Stellenausschreibung mit angeben.

Die Bewerbungsunterlagen sollten durch die Personalabteilung spätestens drei Monate nach Beendigung des Bewerbungsprozesses vernichtet werden.

Valerie: Und auch hier heisst es: ADV mit Email-Provider, oder? Die es ja sowieso schon geben sollte.

Ingo: So ist es.

Wie muss mit diesen Dokumenten DSGVO-konform umgegangen werden?

Valerie: Trotz aller Digitalisierung, gehe ich immer noch schwer davon aus dass der Grossteil der Bewerbungen ausgedruckt wird. Dann sind wir im analogen Bereich. Ein Anschreiben und ein Lebenslauf enthalten personenbezogenen Daten, darüber sind wir uns einig. Wie muss mit diesen Dokumenten DSGVO-konform umgegangen werden?

Ingo: Dadurch, dass die Bewerbung per E-Mail eingegangen ist, findet bereits eine automatisierte Verarbeitung statt.

Generell sind auch Bewerbungsunterlagen unter Verschluss aufzubewahren. Das heisst auch in der Fachabteilung, die eine Bewerbung fachlich prüft, dürfen die Bewerbungsunterlagen nicht offen auf dem Schreibtisch herum liegen.

Auch wäre zu prüfen, ob Teile einer Bewerbung nur geschwärzt innerhalb des Unternehmens weitergegeben werden. Auch die Ausdrucke und Kopien der Bewerbung müssen vernichtet werden. Also wie eben erwähnt nach spätestens drei Monaten.

Und bitte, bitte nicht die Bewerbungsunterlagen in den Papierkorb werfen oder ins Altpapier geben. Diese Unterlagen müssen geshreddert werden!

Personalakten grundsätzlich einschliessen

Valerie: Auch Personalakten werden meist in Papierform aufbewahrt. Was gilt es hier zu beachten?

Ingo: Personalakten sollten grundsätzlich unter Verschluss aufbewahrt werden. Das gilt selbstverständlich auch für Papierakten. Ebenso sollte man darauf achten, dass nur Befugte Zugriff auf die Personalakten haben.

In der Praxis muss ich als Personal-Sachbearbeiter bei jeder Arbeitsunterbrechung, zum Beispiel weil ich mir eine Tasse Kaffee holen möchte, das Büro abschliessen oder die Personalakten wieder im Schrank einschliessen.

Outsourcing: Lohnbüro

Valerie: Ausserdem gibt das Hotel oder jedes andere Unternehmen auch, Daten an Dritte weiter. Nämlich immer dann wenn die Lohnbuchhaltung ausgelagert ist. Was ist dabei zu beachten?

Ingo: Wichtig ist, dass die Mitarbeiter darüber informiert sind, dass die Daten an Dritte weitergegeben werden. Wenn die Daten an ein Lohnbüro weiter gegeben werden, muss das Unternehmen mit dem Lohnbüro einen Vertrag über Auftragsverarbeitung schliessen.

Werden die Gehaltsabrechnungen durch einen Steuerberater erstellt, wäre prinzipiell auch ein Auftragsverarbeitungsvertrag notwendig. Allerdings sehen die Aufsichtsbehörden hier eine Inanspruchnahme fremder Fachleistungen, die keine Auftragsverarbeitung darstellt.

Wichtig ist, dass all das auch in das Verfahrensverzeichnis mit aufgenommen wird. Auch, dass die Daten eben nicht nur an ein Lohnbüro oder einen Steuerberater übermittelt werden, sondern auch an das Finanzamt an die Berufsgenossenschaft und an die Krankenkasse.

Widerspruch zwecklos

Valerie: Und eine ergänzende Frage zur letzten: Kann der Mitarbeiter der Weitergabe widersprechen und erhält dann einfach keinen Lohn? Oder muss der Arbeitgeber das einfach lösen? Etwas provokant die Frage, ich weiss 😉

Ingo: Nein. Das kann der Mitarbeiter nicht. Es liegt hier einerseits eine Verarbeitung personenbezogener Daten aufgrund einer gesetzlichen Grundlage vor, zum Beispiel die Daten, die an Krankenkasse und an das Finanzamt gemeldet werden müssen. Andererseits dienen diese personenbezogenen Daten auch zur Erfüllung eines Vertragsverhältnisses. Eben des Arbeitsvertrages.

In der Praxis sind diese Überlegungen allerdings zweitrangig, da im Bundesdatenschutzgesetz die Verarbeitung im Rahmen des Beschäftigungsverhältnisses explizit erlaubt ist.

Valerie: Ich hab mal in einem Hotel gearbeitet in dem die Arbeitszeit per Fingerabdruck erfasst wurde. Ist das DSGVO-konform?

Ingo: Das kommt drauf an. Wenn der Fingerabdruck bei einem externen Dienstleister braucht man – Du ahnst es bestimmt – einen Vertrag über Auftragsverarbeitung.

Wenn der Fingerabdruck bzw. ein Hashwert, also eine Prüfsumme der Merkmale des Fingerabdrucks, auf der Stempeluhr bzw. beim Einsatz mehrerer Stempeluhren auf einem zentralen Zeiterfassungsserver gespeichert wird, sollte es DSGVO-konform sein. Ich würde das aber im Einzelfall prüfen.

Digitales Recruiting nach DSGVO

Valerie: Nun geht es bei mir immer darum, welche Abläufe und Prozesse digitalisiert werden können. Und es gibt bereits One-Klick-Recruitung-Apps. Damit befinden wir uns im digitalen Bereich. Wir wissen aus unserer Episode „DSGVO in der Hotellerie: Lass das mal mit der Digitalisierung“, dass wir mit sämtlichen Software-Partnern einen ADV brauchen.

Das wird hier nicht anders sein, oder? Gibt es hier noch etwas spezielles zu beachten?

Ingo: Vollkommen richtig. Auch hier liegt eine Auftragsverarbeitung vor. Und für diese müssen wir auch einen entsprechenden Vertrag mit dem Auftragsverarbeiter schliessen.

Social Media und Mitarbeiter

Valerie: Ich hab schon ein paar Artikel über Social Media geschrieben und auch ein Interview über Social Media Strategie geführt. Hotelgäste interessieren sich immer besonders für das was sie nicht sehen. Wie sieht es hinter den Kulissen eines Hotels aus usw.

Dabei lässt sich nicht vermeiden, dass auf Social Media auch Bilder verwendet werden, auf denen auch Mitarbeiter zu sehen sind. Oder begeisterte Mitarbeiter posten Inhalte vom Hotel und bilden sich selbst ab, in Arbeitskleidung oder so ähnlich. Die Marketing-Abteilung macht z.B. persönliche Newsletter und bildet das Marketing-Team im Newsletter ab oder oder oder.

Was muss dabei berücksichtigt werden? Mit Sicherheit ist doch eine Einwilligung erforderlich, oder?

Ingo: Da die Erhebung der Mitarbeiterfotos nicht zwingend für die Erfüllung des Arbeitsvertrages durch den Arbeitnehmer notwendig ist, brauche ich hier als Arbeitgeber die Einwilligung. Willigt der Mitarbeiter nicht in die Speicherung und Veröffentlichung von Fotos ein, darf ihm daraus allerdings kein Nachteil entstehen. So eine Einwilligung muss 100% freiwillig erfolgen!

Für das Verhalten auf Social Media einzelner Mitarbeiter auf ihren persönlichen Social Media Accounts sollte man die Mitarbeiter sensibilisieren. Auch die Erarbeitung von Social Media Guidelines sollte man in Betracht ziehen.

Die DSGVO-konforme Kündigung

Valerie: Und jetzt scheidet der Mitarbeiter aus dem Unternehmen aus und dann? Wie lange dürfen Arbeitgeber, in diesem Fall Hotels, diese Daten aufbewahren?
Was muss mit den Fotos auf Social Media, dem Hotelflyer oder auf der Website passieren?

Ingo: Die Löschung personenbezogener Daten erfolgt mehrstufig.

Zuerst einmal sollten alle Informationen gelöscht werden, die keinen gesetzlichen Aufbewahrungsfristen unterliegen. Also das Foto vom Mitarbeiter auf der Website sollte nicht mehr weiter erscheinen.

Den Hotelflyer kann man aber durchaus noch weiter verteilen, bis der Rest-Vorrat aufgebraucht ist, da hier die Löschung unverhältnismässig wäre. Wenn ich als Hotelier allerdings Flyer nachdrucken möchte, muss der Flyer geändert werden.

Für alle personenbezogenen Daten die gesetzlichen Aufbewahrungsfristen und -Pflichten unterliegen, muss ich als Arbeitgeber Zug um Zug die Daten löschen. Also Arbeitszeugnisse bereits nach drei Jahren und Stundenzettel nach sechs Jahren.
Alles andere dann spätestens nach zehn Jahren, es sei denn es sind Informationen zur Altersvorsorge über eine Pensionskasse. Diese müssen 30 Jahre aufbewahrt werden und können daher erst nach dieser Zeit gelöscht werden.

Da ich halt bestimmte personenbezogene Daten nicht sofort löschen kann, sollte ich als Hotelier die Verarbeitung einschränken. Das bedeutet in der Praxis, dass ich die Personalakten ausgeschiedener Mitarbeiter separat und weiterhin unter Verschluss aufbewahren sollte und nur einem ganz engen Personenkreis zugänglich mache. Also etwa dem Leiter der Personalabteilung.

Vielen Dank für das Gespräch.

[blue_box]

An dieser Stelle nochmal der Hinweis, dass es ich hier um keine Rechtsberatung handelt, sondern Ingo als Datenschutzbeauftragter einfach mehr weiss und zur DSGVO sagen kann. Bitte wende dich für dein Unternehmen an den Anwalt deines Vertrauens.

[/blue_box]

[blue_box]

Und jetzt zu dir!

Hast du alle Punkte bereits bedacht? Liegen dir die Einwilligungen deiner Mitarbeiter schon vor?

Hast du Fragen zum Thema oder willst etwas zur DSGVO sagen, dann schreib es gerne in die Kommentare!

Ingo und ich wollen noch eine weitere Episode aufnehmen und deine Fragen darin beantworten!

[/blue_box]

 

Über den Interviewpartner: Ingo Busch, Datenschutzbeauftragter

Ingo Busch ist gelernter Fachinformatiker und langjähriger IT-Projektleiter. Als TÜV-zertifizierter Datenschutz-Beauftragter und -Auditor kümmert er sich bei einer Unternehmensgruppe mit 5000 Mitarbeitern in Deutschland um die datenschutzrechtlichen Belange. Privat führt er seit über 10 Jahren einen erfolgreichen Reiseblog und podcastet zu Luftfahrt-Themen.

author avatar
Valerie Wagner Journalistin & Podcasterin
… und ich bin leidenschaftliche Podcasterin und Journalistin. Ich hoste vier Podcast-Sendungen. Zwei produziere und hoste ich selbst: Die Podcast-Reportage ist ein Interview-Podcast in dem ich mit interessanten Menschen und Experten spreche. Im Text & Podcast Podcast zeige ich dir wie du einen Podcast startest und dran bleibst. Im Format Follows Story Podcast den ich mit Heike Stiegler co-hoste, geht’s um Geschichten. Und im Die Büchestaplerinnen-Podcast spreche ich regelmäßig mit Antje Tomfohrde über Bücher. Außerdem schreibe ich journalistische Texte für Magazine und bin Mitglied im Redaktionsteam des DFJV-Podcasts.

Folge mir auf:


Kommentare

Eine Antwort zu „DSGVO in der Hotellerie und deine Aufgabe als Arbeitgeber (4/5)“

  1. […] Die aktuelle Folge zum Nach-Hören und -Lesen gibt es hier. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert