Schutzbedarfsfeststellung: Abteilung HR

In diesem Abschnitt werden die typischen Schutzgüter der HR-Abteilung benannt und hinsichtlich ihres Schutzbedarfs bewertet. Unter Schutzgütern verstehen wir hier die maßgeblichen Datenkategorien, Dokumente und Prozesse, die in den verschiedenen HR-Funktionsbereichen anfallen. Für jeden Bereich werden die besonderen Anforderungen an Vertraulichkeit (V), Integrität (I) und Verfügbarkeit (A) dargestellt und begründet.

Die Personaladministration umfasst alle Basisdaten und Akten zu bestehenden Beschäftigungsverhältnissen. Dazu zählen Stammdaten (Personalien wie Name, Adresse, Kontaktdaten, Geburtsdatum, Familienstand, Sozialversicherungsnummer, Bankverbindung etc.), die individuellen Arbeitsverträge und Vertragsänderungen, Behördenauskünfte, sowie die laufend geführte Personalakte zu jedem Mitarbeitenden. In Personalakten werden typischerweise auch Leistungs- und Verhaltensbeurteilungen, Abmahnungen/Ermahnungen, Versetzungen, Fehlzeiten, Urlaubsanträge, Unfallmeldungen, ggf. Gesundheitsatteste oder Schwerbehindertenausweise, Fortbildungsnachweise, Kommunikation mit Behörden oder dem Betriebsrat und ähnliche Unterlagen aufbewahrt. Es handelt sich demnach um einen ganzheitlichen Datensatz pro Mitarbeiter, der einen vollständigen Einblick in dessen Beschäftigung ermöglicht.

• Vertraulichkeit: Für alle personenbezogenen Inhalte der Personaladministration ist die Vertraulichkeit von herausragender Bedeutung. Unbefugter Zugriff hätte eine Verletzung höchstpersönlicher Rechte der Beschäftigten zur Folge. Entsprechend stufen offizielle Richtlinien Personalakten mindestens in die Kategorie „hoch“ für Vertraulichkeit ein. Tatsächlich dürfte ein großer Teil der Personalaktendaten sogar als sehr schutzwürdig gelten. Die Akte enthält mitunter besonders sensible Informationen – etwa Gesundheitsdaten, Angaben zu Familienstand und Kindern (relevant z.B. für Steuerklasse oder Elternzeit), Leistungsbeurteilungen und disziplinarische Vermerke. Gelangen solche Details unberechtigt nach außen oder auch nur konzernintern an falsche Stellen, drohen schwerwiegende Schäden: individuelle Persönlichkeitsverletzungen, mögliche Diskriminierung oder Mobbing betroffener Mitarbeiter, Verletzung von Vertraulichkeitspflichten des Arbeitgebers sowie Imageschäden durch Vertrauensverlust. Nicht zuletzt wären datenschutzrechtliche Schritte wahrscheinlich – von Beschwerden beim Datenschutzbeauftragten bis zu Schadensersatzforderungen nach Art. 82 DSGVO. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) wie Gesundheitsdaten genießen einen noch höheren Schutz; hier ist von einem hohen bis sehr hohen Vertraulichkeitsschutzbedarf auszugehen. Insgesamt muss Vertraulichkeit in der Personaladministration also mindestens hoch, eher sehr hoch eingestuft werden.

• Integrität: Die Richtigkeit und Unversehrtheit von Personalstammdaten und -akten ist essenziell, denn auf ihrer Grundlage werden personalwirtschaftliche Entscheidungen und Rechtsakte getroffen. Wenn etwa Vertragskonditionen oder die dokumentierte Qualifikation eines Beschäftigten unbemerkt verfälscht würden, könnte dies zu falschen Entscheidungen (z.B. unberechtigter Beförderung oder Kündigung) führen. Manipulationen an Arbeitszeit- oder Gehaltsdaten könnten finanziellen Schaden nach sich ziehen. Auch müssen Personalunterlagen im Streitfall (etwa vor dem Arbeitsgericht) lückenlos und unverfälscht vorgelegt werden können – ihre Integrität hat damit unmittelbare rechtliche Relevanz. Eine Verletzung der Integrität (z.B. Verlust von Dokumententeilen, nachträgliche Änderungen) kann die Beweiskraft der Unterlagen zerstören und rechtliche Nachteile für den Arbeitgeber verursachen. Deshalb wird auch für Personalakten mindestens hoher Schutzbedarf in Bezug auf Integrität gefordert. Wo Personalakten elektronisch geführt werden (digitale Personalakte), sind z.B. qualifizierte elektronische Signaturen oder Siegel ein Mittel, um die Dokumentintegrität sicherzustellen. Fazit: Die Integrität aller wesentlichen Personaladministrationsdaten ist als hoch einzustufen.

• Verfügbarkeit: Eine zuverlässige Verfügbarkeit der Personalstammdaten und -akten ist wichtig, aber in der Regel nicht so kritisch wie Vertraulichkeit und Integrität. Personalakten werden häufig vorfallsbezogen benötigt – z.B. im Rahmen eines Personalgesprächs, einer Beförderungsrunde oder bei Rechtsstreitigkeiten – und müssen dann griffbereit sein. Zeitweise Verzögerungen bei der Zugreifbarkeit wären meist tolerierbar, solange keine Fristen versäumt werden. Allerdings gibt es auch in der Personalverwaltung zeitkritische Vorgänge: Z.B. muss bei behördlichen Prüfungen (Finanzprüfung, Betriebsprüfung der Rentenversicherung) die relevante Personaldokumentation fristgerecht bereitgestellt werden; Auskunftsersuchen von Betroffenen nach Art. 15 DSGVO sind „unverzüglich, spätestens innerhalb eines Monats“ zu beantworten. Ist die Personalakte unauffindbar oder das HR-System ausgefallen, drohen gesetzliche Fristverstöße und ggf. Bußgelder oder rechtliche Nachteile. Zudem kann eine längere Nichtverfügbarkeit die Arbeitsfähigkeit der HR-Abteilung einschränken (etwa wenn Einstellungsprozesse stocken, weil Verträge nicht erstellt werden können). In Anbetracht dieser Aspekte ist der Verfügbarkeits-Schutzbedarf der Personaladministration überwiegend als normal bis hoch zu bewerten. Kritische Teilsysteme (z.B. zentrale Personalstamm- und Vertragsdatenbanken) sollten hoch verfügbar sein, wohingegen weniger zeitkritische Archivdokumente mit normaler Verfügbarkeit auskommen. In einzelnen Bereichen – etwa der fristgebundenen Entgeltabrechnung – wird Verfügbarkeit im nächsten Abschnitt noch gesondert betrachtet.

Die Entgeltabrechnung umfasst alle Prozesse zur Berechnung und Auszahlung von Gehältern, Löhnen, Boni und Sozialleistungen. Hier werden sensible finanzbezogene Personaldaten verarbeitet: regelmäßiges Gehalt, variable Vergütungen, Steuerklasse, Krankenkassenzugehörigkeit, eventuelle Pfändungen, Überstundennachweise, Bankverbindungsdaten etc. Auch entstehen monatlich Lohn- und Gehaltsabrechnungsdokumente für jeden Mitarbeiter, die vertrauliche Details zu Einkommen und Abzügen enthalten.

• Vertraulichkeit: Gehaltsdaten und finanzielle Personalinformationen zählen zu den am strengsten vertraulich zu haltenden Daten im Unternehmen. In der Regel wissen Kollegen untereinander nicht, was der jeweils andere verdient – diese Informationen sind privat und ihre unbefugte Offenlegung kann Neid, Konflikte und Störungen des Betriebsfriedens auslösen. Zudem handelt es sich um wirtschaftliche Verhältnisse der Beschäftigten; dringen solche Details nach außen, kann der Betroffene gesellschaftlich bloßgestellt oder benachteiligt werden. Deshalb ist die Gehaltsvertraulichkeit meist arbeitsvertraglich vereinbart. Ein Verstoß (z.B. ein Datenleck, bei dem Gehälter öffentlich werden) hätte reputationelle Schäden für den Arbeitgeber (Vertrauensbruch) sowie persönliche Nachteile für Betroffene zur Folge. Auch drohen rechtliche Schritte: die DSGVO klassifiziert Gehaltsdaten zwar nicht als „besonders“ (wie Gesundheitsdaten), stellt aber dennoch hohe Anforderungen an deren Schutz. Selbst intern darf der Zugang nur einem eng begrenzten Personenkreis ermöglicht werden (z.B. Payroll-Mitarbeiter, Finanzbuchhaltung, jeweils mit Verschwiegenheitspflicht). Insgesamt ist für Entgeltdaten ein hoher Vertraulichkeitsschutz erforderlich – Datenlecks müssen um jeden Preis vermieden werden.

• Integrität: Korrektheit und Vollständigkeit der Lohnabrechnungen sind geschäftskritisch. Fehlerhafte Gehaltsabrechnungen können gesetzliche Ansprüche verletzen (z.B. aus § 614 BGB: rechtzeitige und vollständige Entlohnung). Würden Zahlen unbemerkt manipuliert, könnte es zu finanziellen Verlusten kommen – etwa wenn ein Angreifer Kontodaten ändert, um Zahlungen umzuleiten, oder wenn Überstunden falsch erfasst werden. Auch aus arbeitgeberseitiger Sicht ist die Integrität zentral: Überzahlungen aufgrund von Datenfehlern lassen sich oft nur schwer zurückholen; Unterzahlungen führen zu Unzufriedenheit und ggf. rechtlichen Ansprüchen. Zudem müssen Lohnunterlagen für Prüfungen (Finanzamt, Sozialversicherung) unverändert und nachvollziehbar vorliegen. Eine Verletzung der Integrität (z.B. korrupte Abrechnungsdatenbank, manipulierte Lohnkonten) hätte rechtliche Konsequenzen (Steuernachforderungen, Strafen) und könnte den Tatbestand der Urkundenfälschung oder des Abrechnungsbetrugs erfüllen, falls z.B. Sozialabgaben bewusst falsch ausgewiesen würden. Daher ist der Integritätsschutz in der Payroll als sehr hoch einzustufen – jegliche unbeabsichtigte oder unbefugte Veränderung der Daten muss ausgeschlossen oder sofort erkennbar sein.

• Verfügbarkeit: Die termingerechte Verfügbarkeit der Payroll-Systeme hat höchste Priorität zu fest definierten Zeiten (insbesondere am Monats- oder Quartalsende zur Gehaltszahlung). In Deutschland besteht die Pflicht, Löhne und Gehälter pünktlich auszuzahlen (regelmäßig zum vereinbarten Zahltag). Verzögerungen durch IT-Ausfälle könnten nicht nur Vertragsverstöße darstellen, sondern auch Existenzängste bei den Beschäftigten auslösen. Fällt das Abrechnungssystem z.B. durch einen Cyberangriff (Ransomware) aus, kann bereits eine um wenige Tage verspätete Lohnzahlung rechtliche Ansprüche (Verzugslohn, Schadensersatz bei finanziellen Dispositionen der Arbeitnehmer) und Imageschäden verursachen. Zudem hängen andere Prozesse an der Entgeltabrechnung (Abführen von Lohnsteuer und Sozialversicherungsbeiträgen bis zum gesetzlichen Stichtag). Daher ist für die Zeitpunkte der Abrechnung ein hoher Verfügbarkeitsbedarf gegeben – hier müssen Notfallpläne (etwa manuelle Auszahlung oder Ausweichsysteme) bestehen, um die Deadline einzuhalten. Außerhalb dieser Stichtage kann ein temporärer Ausfall der Payroll-Software zwar lästig sein, aber eher verkraftet werden (normaler Schutzbedarf). Insgesamt lässt sich sagen: Kurzfristige Hochverfügbarkeit zu kritischen Terminen ist unabdingbar (Schutzbedarf hoch), während über lange Zeiträume betrachtet zumindest ein zügiges Wiederanlaufen im Falle eines Falles gewährleistet sein muss (-> Notfallplanung, siehe Maßnahmen).

Im Bewerbungsmanagement werden personenbezogene Daten von Bewerberinnen und Bewerbern erhoben, verarbeitet und gespeichert. Dies umfasst eingereichte Bewerbungsunterlagen (Anschreiben, Lebenslauf, Zeugnisse, Zertifikate, Bewerbungsfoto etc.), häufig auch sensible Angaben wie Geburtsdatum, Familienstand, ggf. Schwerbehindertenstatus, und im Verlauf des Verfahrens Bewertungen der Kandidaten, Interviewnotizen, Testergebnisse sowie die Kommunikation mit den Bewerbern. Auch Daten abgelehnter Bewerber werden über einen gewissen Zeitraum vorgehalten.

• Vertraulichkeit: Bewerberdaten sind ebenfalls hochgradig vertraulich zu behandeln. Bewerber vertrauen dem Unternehmen private Informationen an in der Erwartung, dass diese nur intern für Auswahlzwecke genutzt werden. Unbefugte Weitergabe oder Veröffentlichung könnte die Privatsphäre und berufliche Zukunft der Bewerber gefährden (man denke etwa an den Fall, dass ein aktueller Arbeitgeber von einer verdeckten Bewerbung erfährt). Dementsprechend dürfen Bewerbungsunterlagen nur einem eng begrenzten Personenkreis zugänglich sein – typischerweise der HR-Rekrutierungsabteilung und den unmittelbar am Auswahlprozess beteiligten Führungskräften. Es gilt strikt das Need-to-know-Prinzip: nur wer an der Entscheidung mitwirkt, darf die Daten sehen. Insbesondere sollten interne „Neugierige“ (Kollegen, die nicht im Auswahlgremium sind) keinen Zugang erhalten. Die Unterlagen müssen vor Zugriff durch Unbefugte gesichert aufbewahrt werden, egal ob in Papierform (abschließbare Schränke) oder elektronisch (Zugriffsschutz). Auch beim digitalen Versand ist auf Vertraulichkeit zu achten – Bewerbungen per E-Mail sollten z.B. verschlüsselt übertragen oder in geschützten Portalen hochgeladen werden. Ein Datenleck im Bewerbermanagement hätte rechtliche Folgen (Verstoß gegen DSGVO, ggf. Vertraulichkeitsabreden) und reputationellen Schaden: das Unternehmen würde als unsensibel im Umgang mit personenbezogenen Daten gelten, was potentielle Talente abschreckt. Daher ist Vertraulichkeit im Bewerbungsprozess mit hohem Schutzbedarf zu veranschlagen.

• Integrität: Die Korrektheit von Bewerberdaten und Bewertungsergebnissen ist für ein faires Auswahlverfahren unabdingbar. Manipulationen könnten z.B. darin bestehen, dass ein Insider die Bewertungen eines favorisierten Kandidaten verbessert oder die eines Konkurrenten verschlechtert – damit wäre der Prozess verfälscht und ggf. ein besser geeigneter Bewerber würde übergangen. Dies könnte Haftungsrisiken (Stichwort: “Missachtung des Gleichbehandlungsgrundsatzes“, AGG) mit sich bringen und die beste Person für die Stelle würde evtl. nicht ausgewählt, was auch wirtschaftliche Nachteile verursacht. Außerdem müssen Bewerbungsunterlagen für eventuelle spätere Rechtsstreitigkeiten (etwa eine Klage nach AGG wegen Diskriminierung) im Originalzustand als Beweismittel dienen. Wenn Datensätze unvollständig oder verändert sind, schwächt das die Position des Unternehmens. Der Integritätsschutz ist daher als hoch einzustufen: Bewerberdaten sollen so gespeichert werden, dass Vollständigkeit und Unverändertheit gewährleistet sind. In der Praxis heißt das z.B., dass Bewertungsergebnisse dokumentiert und gegen nachträgliche Änderung geschützt werden (z.B. Protokolle nur durch Berechtigte editierbar, Änderungsprotokolle führen). Insgesamt ist Integrität im Recruiting wichtig, wenngleich die unmittelbaren Schäden bei einzelnen Datenfehlern nicht immer katastrophal wären – daher hoher, aber nicht unbedingt sehr hoher Schutzbedarf.

• Verfügbarkeit: Im Bewerbungsmanagement ist zeitnahe Kommunikation und Bearbeitung ein Erfolgskriterium. Allerdings sind die Prozesse meist flexibel planbar: Falls ein Bewerbungsmanagement-System kurzzeitig ausfällt, kann ein Vorstellungsgespräch verschoben oder die Sichtung von Unterlagen um einige Tage verzögert werden. Akute Schäden entstehen selten sofort. Dennoch kann eine längere Nichtverfügbarkeit dazu führen, dass gute Bewerber abspringen (wenn Zusagen verspätet kommen) oder dass Stellen unbesetzt bleiben und dadurch wirtschaftlicher Schaden entsteht. Gewisse Fristen gilt es zu beachten – z.B. die Aufbewahrungsfristen abgelehnter Bewerbungen: Hat ein Bewerber eine Absage erhalten, sollte dessen Daten nach spätestens ~6 Monaten gelöscht werden, um möglichen Diskriminierungsklagen vorzubeugen. Eine Systemunverfügbarkeit darf nicht dazu führen, dass Löschfristen versäumt werden (was ein DSGVO-Verstoß wäre). Insgesamt ist der Verfügbarkeitsbedarf hier als normal bis moderat hoch einzuordnen. Ein kurzzeitiger Ausfall ist verkraftbar, aber das System sollte zeitnah wiederhergestellt sein, um den Bewerbungsprozess nicht ins Stocken zu bringen. In kritischen Phasen (z.B. Massenrekrutierungen mit engen Terminzielen) steigt der Bedarf entsprechend an.

Dieser Bereich umfasst leistungsbezogene Bewertungen, Mitarbeitergespräche, Fort- und Weiterbildungsdaten, Karriere- und Nachfolgeplanungen und ähnliche Prozesse, mit denen die Entwicklung der Mitarbeiter gefördert und beurteilt wird. Typische Dokumente sind z.B. Mitarbeiterbeurteilungen (jährliche Performance Reviews), Zielvereinbarungen, Feedback-Protokolle von Mitarbeitergesprächen, Trainingszertifikate und ggf. persönliche Entwicklungspläne. Auch Daten über Disziplinarmaßnahmen (Abmahnungen) oder persönliche Umstände können im Kontext von Mitarbeitergesprächen thematisiert und festgehalten werden.

• Vertraulichkeit: Vertrauliche Mitarbeitergespräche und Beurteilungen unterliegen dem besonderen Vertrauen zwischen Mitarbeiter, Vorgesetztem und HR. Bewertungen der Leistung oder Informationen über persönliche Probleme sind äußerst schutzbedürftig, da ihre Bekanntmachung gravierende Konsequenzen für den Betroffenen haben kann. So könnte ein mittelmäßiges Beurteilungsergebnis, falls es allgemein bekannt wird, die Reputation des Mitarbeiters im Kollegenkreis schädigen und dessen Karrierechancen mindern – ein klarer Eingriff in das Persönlichkeitsrecht. Gesprächsinhalte wie etwa gesundheitliche oder familiäre Probleme, die ein Mitarbeiter dem Vorgesetzten anvertraut, dürfen keinesfalls in falsche Hände gelangen. Eine Offenlegung könnte Vertrauensbrüche verursachen und im Extremfall juristische Schritte (Klage wegen Verletzung des Allgemeinen Persönlichkeitsrechts, § 823 BGB analog) auslösen. Arbeitgeber haben zudem aus dem Arbeitsrecht eine Fürsorgepflicht, die Vertraulichkeit solcher Personalentwicklungsdaten zu wahren. Es ist daher geboten, Zugriffsbeschränkungen strikt einzuhalten: Leistungsbeurteilungen sollten nur dem jeweiligen Vorgesetzten, der HR und ggf. der Geschäftsführung zugänglich sein, nicht aber anderen Mitarbeitern. Aufgrund dieser hohen Sensitivität ist der Vertraulichkeitsschutz hier als hoch einzustufen, in bestimmten Fällen (etwa Dokumentation einer schweren Erkrankung oder eines vertraulichen Coachings) sogar sehr hoch.

• Integrität: Bei Leistungsbeurteilungen und Entwicklungsdokumenten ist Integrität vor allem deshalb wichtig, weil sie Grundlage für Personalentscheidungen (Beförderungen, Gehaltsentwicklung, Versetzungen) sind. Verfälschungen könnten dazu führen, dass ungeeignete Entscheidungen getroffen werden – etwa ein eigentlich leistungsstarker Mitarbeiter keine Beförderung erhält, weil sein Beurteilungsbogen manipuliert wurde, oder umgekehrt. Dies hätte nicht nur individuelle Gerechtigkeitsprobleme, sondern könnte auch dem Unternehmen schaden, wenn Talente verkannt oder Fehlbesetzungen vorgenommen werden. Zudem könnten Manipulationen an offiziellen Leistungsdokumenten (z.B. nachträgliches Ändern eines Zeugnisses) Rechtsfolgen haben, da ein Arbeitszeugnis eine Urkunde darstellt. Daher müssen derartige Unterlagen fälschungssicher aufbewahrt werden. Ein weiterer Aspekt: Wenn Mitarbeitergespräche protokolliert werden, ist es wichtig, dass die Inhalte authentisch bleiben, um bei späteren Unstimmigkeiten (etwa Vorwürfen, Zusagen seien nicht eingehalten) belastbare Aufzeichnungen zu haben. Summiert man dies, ergibt sich ein hoher Integritätsschutzbedarf. Praktisch ist dafür Sorge zu tragen, dass z.B. digital erfasste Beurteilungen mit Zugriffskontrolle und Änderungenachweis geführt werden.

• Verfügbarkeit: In der Personalentwicklung ist Verfügbarkeit weniger zeitkritisch im Tagesgeschäft. Ein Performance-Management-System oder Talent-Management-Tool kann auch mal kurzfristig ausfallen, ohne dass sofort ein Schaden entsteht. Allerdings gibt es periodische Fristen – z.B. müssen jährliche Mitarbeitergespräche bis zu einem Stichtag dokumentiert sein oder Schulungsnachweise rechtzeitig vorgelegt werden (etwa Qualifikationsnachweise vor Projektstart). Bei langfristigem Ausfall solcher Systeme könnten Fristen versäumt oder Fördermaßnahmen verzögert werden, was indirekte negative Auswirkungen auf die Mitarbeiterzufriedenheit und -entwicklung hätte. Dennoch ist insgesamt der Verfügbarkeitsbedarf als normal anzusehen. Wichtig ist vor allem, dass keine Daten verloren gehen (-> Backup, Archiv), da der Verlust von Entwicklungsdokumentationen auch einen Integritätsaspekt hat. In Notfällen lassen sich Gespräche auch analog protokollieren und später nachtragen. Fazit: Verfügbarkeit normal, mit dem Hinweis, dass bei größeren Personalentwicklungszyklen (z.B. konzernweite Talent Programme mit fixem Kalender) temporär erhöhter Bedarf besteht, der durch Planung (Pufferzeiten, Offline-Exportmöglichkeiten) abgemildert werden sollte.

Unterlagen mit arbeitsrechtlichem Bezug – etwa Abmahnungen, Kündigungsschreiben, Gerichtsdokumente aus arbeitsrechtlichen Streitigkeiten, Betriebsratsvereinbarungen zu einzelnen Personen, Arbeitsunfähigkeitsbescheinigungen (Krankschreibungen) etc. – bilden eine Querschnittskategorie, die teils in Personalakten eingeht, aber besonderen Anforderungen unterliegt. Oftmals handelt es sich um Dokumente, die später in Rechtsverfahren als Beweismittel dienen könnten (z.B. Abmahnungen als Vorstufe zur Kündigung, Dokumentationen von Compliance-Verstößen, Ergebnisse interner Untersuchungen).

• Vertraulichkeit: Diese Dokumente sind in hohem Maße vertraulich, da sie häufig konfliktbehaftete Inhalte aufweisen (z.B. Vorwürfe gegen einen Mitarbeiter) oder sensible persönliche Umstände (Krankheiten, Kündigungsgründe). Eine unautorisierte Weitergabe kann Persönlichkeitsrechte verletzen und sogar strafrechtliche Relevanz haben, wenn z.B. ein Betriebsratsmitglied Interna aus einem laufenden Verfahren ausplaudert. Hier greifen besondere Geheimhaltungspflichten: Betriebsratsmitglieder etwa sind nach § 79 BetrVG zur strikten Verschwiegenheit verpflichtet, was Betriebs- und Geschäftsgeheimnisse sowie „personenbezogene Daten, die ihnen wegen ihrer Zugehörigkeit zum Betriebsrat bekannt geworden sind“ umfasst. Auch HR-Mitarbeiter selbst unterliegen einer arbeitsvertraglichen Schweigepflicht bezüglich solcher Interna. Gerade bei laufenden Kündigungsschutzprozessen oder internen Ermittlungen wäre ein Leak fatal – es drohen Imageschäden (wenn z.B. ein Vorwurf öffentlich bekannt wird, bevor er geklärt ist) und juristische Nachteile (Beeinflussung des Verfahrens, Verletzung von Persönlichkeitsrechten des Betroffenen, ggf. Behinderung der Justiz). Daher ist Vertraulichkeit hier klar sehr hoch einzustufen. Solche Unterlagen sollten technisch wie organisatorisch nur einem absoluten Need-to-know-Kreis zugänglich sein (HR-Leitung, Rechtsabteilung, betroffene Führungskräfte) und z.B. durch Passwortschutz oder physische Tresore gesichert werden.

• Integrität: Arbeitsrechtliche Dokumente müssen authentisch und unverfälscht sein. Bei Abmahnungen und Kündigungen kommt es auf das genaue Wortlaut und Zustelldatum an; eine Veränderung könnte ihre Gültigkeit beeinflussen. Vor Gericht hat das Originaldokument Beweiskraft. Jede Manipulation (bewusst oder unbewusst) kann die Beweisführung erschweren – etwa wenn digitale Dokumente nicht ordnungsgemäß signiert sind, könnte die Echtheit angezweifelt werden. Ebenso müssen Versionen von Vereinbarungen (z.B. zwischen Arbeitgeber und Betriebsrat) konsistent bleiben. Ein versehentlich verlorenes oder überschriebenes Dokument kann dazu führen, dass wichtige Nachweise fehlen. Daher ist ein hoher Integritätsschutz zu veranschlagen. Maßnahmen wie Versionierung, digitale Signaturen und Protokollierung von Änderungen sind hier angezeigt (siehe Maßnahmenkapitel).

• Verfügbarkeit: Bei juristischen Verfahren spielen Fristen eine große Rolle (Klagefristen, Anhörungsfristen etc.). Wenn arbeitsrechtliche Unterlagen nicht rechtzeitig verfügbar sind – man stelle sich vor, eine fristlose Kündigung kann nicht ausgesprochen werden, weil die zugrundeliegende Abmahnung unauffindbar ist –, können Rechtspositionen verloren gehen. Allerdings ist im Normalfall genügend Vorlaufzeit vorhanden, und solche Dokumente liegen oft redundant vor (im Anwaltsschriftwechsel, in Gerichtsakten etc.). Eine kurze Nichtverfügbarkeit (z.B. Archivordner ist kurzfristig verlegt) dürfte daher selten kritische Folgen haben. Wichtig ist aber, dass im Ernstfall sofortiger Zugriff besteht, z.B. wenn das Gericht Nachweise anfordert. Insgesamt normaler bis hoher Verfügbarkeitsbedarf: Kritische Dokumente sollten jederzeit abrufbar sein (hoch im Streitfall), jedoch verkraftet der Geschäftsprozess kurze Verzögerungen im Alltag (normal). Dieser Bereich sollte im Notfallmanagement Berücksichtigung finden, damit man z.B. auch bei IT-Ausfall an die Daten kommt (Notfallkopien).

Moderne HR-Arbeit umfasst auch strategische Analysen und Kennzahlen über die Belegschaft. Dazu gehören z.B. Headcount-Statistiken, Fluktuationsraten, Krankenstände, Durchschnittsgehälter pro Abteilung, Diversity-Quoten, Nachfolge- und Personalbedarfsplanungen und ähnliche aggregierte Daten. Diese HR-Controlling-Daten sind zwar oft anonymisiert oder aggregiert, können jedoch Rückschlüsse auf Unternehmensstrategien oder Probleme zulassen. Außerdem existieren mitunter Listen oder individuelle Daten in diesem Kontext – etwa wenn in einer Nachfolgeplanung bestimmte Personen namentlich als Kandidaten für Führungsposten vorgesehen sind, oder wenn bei geplanten Umstrukturierungen konkret aufgeführt wird, welche Stellen abgebaut werden sollen.

• Vertraulichkeit: Die meisten strategischen HR-Kennzahlen sind betriebsintern vertraulich zu behandeln, auch wenn sie nicht immer personenbezogen im datenschutzrechtlichen Sinne sind (sobald Aggregation ohne Personenbezug vorliegt, greift DSGVO nicht direkt). Dennoch sind solche Informationen häufig als Betriebs- und Geschäftsgeheimnisse einzustufen, die gem. § 2 GeschGehG nur geschützt sind, wenn der Geheimhaltungswille besteht und technische/organisatorische Sicherungen getroffen wurden. Ein Leak von internen Personalkennzahlen – z.B. wenn bekannt wird, dass ein Unternehmen eine ungewöhnlich hohe Fluktuationsquote hat oder eine “Geheimplan” zur Stellenstreichung im nächsten Jahr in Umlauf gerät – kann Rufschäden und Vertrauensverlust bei Belegschaft und Öffentlichkeit verursachen. Besonders heikel sind Daten zu geplanten Personalmaßnahmen (Einstellungen, Entlassungen), da deren vorzeitiges Bekanntwerden sowohl juristische Probleme (etwa Verletzung von Informationspflichten gegenüber dem Betriebsrat oder Börsenpflichten bei börsennotierten Unternehmen) als auch Unruhen in der Belegschaft nach sich ziehen kann. Folglich ist bei strategischen HR-Daten die Vertraulichkeit aus Unternehmenssicht hoch zu veranschlagen. In vielen Firmen werden solche Auswertungen als “vertraulich” oder “streng vertraulich” klassifiziert und nur einem engen Führungskreis zugänglich gemacht.

• Integrität: Strategische Analysen und Kennzahlen müssen verlässlich sein, da sie Grundlage von Geschäftsentscheidungen sind. Wenn z.B. im HR-Controlling falsche Zahlen zur Fluktuation ausgewiesen würden (sei es durch Fehler oder Manipulation), könnten falsche Schlüsse gezogen werden – etwa unnötige Recruiting-Maßnahmen oder Verkennen eines Motivationsproblems. Allerdings sind die Auswirkungen von Datenfehlern hier eher indirekt und mittelfristig spürbar, im Gegensatz zu z.B. sofort falschen Gehaltszahlungen. Nichtsdestotrotz: Bei Präsentationen vor Vorstand oder Aufsichtsrat dürfen die Daten nicht zweifelhaft sein. Manipulationssicherheit ist auch geboten, um bewusste Schönfärberei oder Sabotage zu verhindern. Der Schutzbedarf für Integrität liegt somit im Bereich normal bis hoch. Aggregierte Kennzahlen sind oft aus vielen Quellen ableitbar, kleinere Abweichungen fallen auf; aber je kritischer die Kennzahl (z.B. geplante Abbauzahlen, die an externe Stellen gemeldet werden müssen), desto eher hoch.

• Verfügbarkeit: Strategische HR-Daten werden meist in periodischen Berichten (monatlich, quartalsweise, jährlich) erhoben und ausgewertet. Die Verfügbarkeit muss zu den Berichtszeitpunkten sichergestellt sein – ein Ausfall der HR-Controlling-Software kurz vor der Quartalspräsentation kann erheblichen Stress verursachen, ist aber selten existenzbedrohend. In der Regel können Auswertungen auch nachgeholt werden, falls es Verzögerungen gibt, ohne dass irreparable Schäden entstehen. Jedoch könnte in bestimmten Situationen eine mangelnde Verfügbarkeit kritisch werden, etwa wenn für eine Due-Diligence-Prüfung bei Unternehmensübernahme kurzfristig Personalkennzahlen geliefert werden müssen. Summiert betrachtet: Verfügbarkeit hier eher normal. Ein temporärer Ausfall führt nicht sofort zu Schäden, sofern die Daten nachträglich beschafft werden können. Natürlich sollte dennoch im Sinne des Reportings und der Verlässlichkeit eine zügige Wiederherstellung gewährleistet sein.

Die HR-Abteilung spielt auch eine Rolle in der internen Kommunikation: Sie informiert Mitarbeiter über Personalthemen (z.B. neue Policies, Benefits, Veranstaltungen) und kommuniziert sensible Entscheidungen (Beförderungen, Versetzungen, Kündigungen) innerhalb der Organisation. Hierunter fallen z.B. Personalrundschreiben, Ankündigungen von personellen Veränderungen, Newsletter an Mitarbeiter, Inhalte im Intranet und teils auch Einzelauskünfte an Mitarbeiteranfragen. Zwar handelt es sich bei vielen internen Mitteilungen nicht um klassische "Datenbestände", die gespeichert werden, doch der Kommunikationsprozess selbst ist schutzbedürftig.

• Vertraulichkeit: Bei der internen HR-Kommunikation ist zwischen allgemeinen Mitteilungen (die für alle bestimmt sind) und vertraulichen Personalmitteilungen zu unterscheiden. Erstere (z.B. allgemeine Hinweise zu Urlaubsregelungen) sind per se für die Belegschaft offen und erfordern keine besondere Vertraulichkeit – hier steht eher die Integrität im Vordergrund (siehe unten). Hingegen müssen vertrauliche Mitteilungen – z.B. die vorab Kommunikation einer geplanten Umstrukturierung an Führungskräfte, oder individuelle Schreiben (Versetzungsschreiben, Abmahnungen) – vorzeitig geheim gehalten werden, bis der richtige Zeitpunkt gekommen ist oder nur der adressierte Personenkreis informiert werden darf. Wenn solche Informationen unautorisiert durchsickern (z.B. ein Rundmail-Entwurf zu Kündigungen gelangt vorab an die Presse), sind rechtliche und reputative Schäden die Folge. Insbesondere ad-hoc interne Infos in börsennotierten Unternehmen könnten unter Ad-hoc-Publizität fallen – ein Leak wäre ein Rechtsverstoß. Deshalb müssen Kommunikationskanäle entsprechend abgesichert sein (Zugriffsschutz auf Mailverteiler etc.). Insgesamt ist der Vertraulichkeitsbedarf in diesem Bereich sehr situationsabhängig: Routineinfos = normal, vertrauliche Personalnachrichten = hoch bis sehr hoch. HR sollte für sensible Kommunikation geeignete Kanäle nutzen (persönliche Gespräche, individualisierte Schreiben) und digitale Nachrichten ggf. verschlüsseln, um Abhören oder Fehlversand zu vermeiden.

• Integrität: Die Korrektheit und Authentizität interner HR-Kommunikation ist wichtig, um Missverständnisse und Desinformation zu vermeiden. Mitarbeiter müssen sich darauf verlassen können, dass offizielle HR-Mitteilungen echt und unverfälscht sind. Ein Szenario: Ein Angreifer könnte eine gefälschte Rundmail versenden (“Abteilung X wird geschlossen, alle Mitarbeiter freigestellt”), was Panik und Chaos auslösen würde. Daher müssen die Kanäle geschützt sein, damit nur autorisierte Personen in HR solche Mitteilungen senden können. Auch unabsichtliche Fehler (z.B. falsche Zahlen in einer Bekanntgabe über neue Gehaltsbänder) können zu Unruhe führen – solche Fehler sind integritätsrelevant. Integritätsschutz ist hier hoch einzustufen: Es gilt, interne Kommunikation gegen Manipulation (intern wie extern) abzusichern, etwa durch Authentifizierung der Absender (digitale Signaturen oder wenigstens klare Absenderkennung) und Freigabeprozesse für Inhalte. Insbesondere bei Mails an große Verteiler ist Sorgfalt nötig, um nicht versehentlich falsche Anhänge o.ä. mitzuschicken.

• Verfügbarkeit: Im Bereich interne Kommunikation ist Verfügbarkeit im Sinne von Kommunikationsfähigkeit relevant. Etwa sollte das Intranet und E-Mail-System zuverlässig funktionieren, damit Mitarbeiter rechtzeitig informiert werden können. Ein Ausfall beeinträchtigt die Informationsflüsse, ist aber in aller Regel kein unmittelbarer rechtlicher Verstoß (außer man kann dadurch gesetzlichen Informationspflichten nicht nachkommen). Wenn z.B. die IT für E-Mails ausfällt, kann HR über Aushänge informieren – meist gibt es Alternativen. Daher normaler Schutzbedarf für Verfügbarkeit. Bei kritischen Ankündigungen sollte allerdings sicher sein, dass alle Betroffenen sie fristgerecht erhalten (ggf. Empfangsbestätigungen einholen). Insgesamt ist Verfügbarkeit für interne Kommunikationswege wichtig, aber nicht mit höchster Priorität zu gewichten.

In einem global tätigen Konzern sind HR-Prozesse häufig international verzahnt. Beispiele sind: Zentrale HR-Informationssysteme (HRIS), in denen weltweit Personaldaten zusammenfließen; grenzüberschreitende Personalbetreuung (etwa durch Shared Service Center im Ausland); Entsendungen (Expat-Management, wobei Daten ins Gastland übermittelt werden) und allgemein der Datenverkehr zwischen Muttergesellschaft und Tochtergesellschaften zu HR-Zwecken. Hier ergeben sich besondere Herausforderungen, da neben dem deutschen Recht auch ausländische Rechtsordnungen (Arbeitsrecht, Datenschutzrecht anderer Länder) zu beachten sind und Daten die Grenze überschreiten.

• Vertraulichkeit: Die Vertraulichkeitsanforderungen unterscheiden sich nicht von den bereits beschriebenen, jedoch steigt oft das Risiko: So kann der Zugriffskreis international größer sein (mehr Nutzer mit Administrationsrechten an verschiedenen Standorten), und es besteht das Risiko von Abhörmaßnahmen oder behördlichem Zugriff im Ausland (Stichwort: z.B. US CLOUD Act). Wenn Personaldaten z.B. in die USA übermittelt werden, gelten sie nach DSGVO als Übermittlung in ein Drittland ohne angemessenes Datenschutzniveau, sofern der Empfänger nicht z.B. dem EU-US Data Privacy Framework oder Standardvertragsklauseln unterliegt. Die DSGVO (Art. 44 ff.) fordert für solche Transfers zusätzliche Garantien. Missachtet man das, drohen schwere rechtliche Sanktionen. Somit ist bei internationalen HR-Datenflüssen der Vertraulichkeitsschutz hoch einzuschätzen, mit Augenmerk auf Verschlüsselung bei Transfer und Speicherung, sowie strikte Zugriffsbeschränkung nach dem Need-to-know-Prinzip über Ländergrenzen hinweg.

• Integrität: Ähnlich wie Vertraulichkeit bleibt auch die Integrität global gesehen gleich wichtig, allerdings können Systembrüche (unterschiedliche HR-Systeme in verschiedenen Ländern) die Sicherstellung erschweren. Daten, die von einer Landesgesellschaft gemeldet werden, müssen korrekt ins Zentralsystem einfließen. Bei internationalen Prozesse (z.B. weltweites Bonusmanagement) könnten Fehler bei der Datenaggregation oder inkonsistente Formate zu falschen Ergebnissen führen. Zudem ist die Beweisführung bei Streitigkeiten schwieriger, wenn Daten auf mehrere Jurisdiktionen verteilt sind – umso wichtiger ist, dass ein eindeutiger, integrierter Datenbestand vorliegt. Integrität bleibt hoch.

• Verfügbarkeit: International stellt sich vor allem die Frage der zeitlichen Koordination und der Abhängigkeiten: Wenn ein zentrales HR-System ausfällt, betrifft das gleich mehrere Länder. Es können Zeitverschiebungen relevant sein – z.B. muss ein Problem bis zum nächsten Arbeitstag in Asien behoben sein, sonst können dort die Lohnläufe nicht gemacht werden. Daher steigt oft der Anspruch, dass Kern-HR-Systeme 24/7 verfügbar sind, um weltweit im Zugriff zu stehen. Insofern kann man hier einen hohen Verfügbarkeitsbedarf für globale HR-Infrastrukturen annehmen. Außerdem: Bei internationalem Datenaustausch gibt es strikte gesetzliche Zeitvorgaben (z.B. Visa/Immigration-Dokumente rechtzeitig vor Einsatz eines Entsandten, oder Meldefristen nach lokalen Gesetzen), die eingehalten werden müssen; Ausfälle könnten diese Prozesse verzögern und rechtliche Probleme verursachen. Daher sollten kritische Schnittstellen redundant ausgelegt sein.

Abschließend ist festzuhalten, dass nahezu alle in der HR-Abteilung verarbeiteten Informationen dem Schutzbedarf hoch oder sehr hoch in mindestens einem der Schutzzieldimensionen zuzuordnen sind. Insbesondere Vertraulichkeit ist durchgehend als kritisch zu bewerten – das Gros der HR-Daten sind personenbezogen und enthalten teils hochsensible Inhalte, deren unbefugte Offenbarung gravierende Folgen hätte. Integrität ist ebenfalls in vielen Fällen unerlässlich (vor allem bei personalrelevanten Entscheidungen, rechtlichen Dokumenten und Gehaltszahlungen). Verfügbarkeit variiert je nach Prozess – extrem wichtig in der Payroll, wichtig bei globalen Systemen, ansonsten eher moderat, aber dennoch nicht zu vernachlässigen, da auch Verfügbarkeitsausfälle indirekte Schäden (Produktivitätseinbußen, Fristversäumnisse) bewirken können.

Diese Schutzgüteranalyse bildet die Grundlage, um passende Sicherheitsmaßnahmen zu bestimmen. Zuvor jedoch erfolgt eine Betrachtung der Bedrohungen, denen diese Güter ausgesetzt sind – von Cyberangriffen bis zu menschlichen Fehlhandlungen.

Die HR-spezifischen Informationen unterliegen vielfältigen Bedrohungen, sowohl externen als auch internen. Im Folgenden werden zentrale Bedrohungsszenarien skizziert, die für die Personalabteilung eines Konzerns relevant sind.

• Datenschutzverletzungen und Datenpannen: Darunter fallen alle Vorfälle, bei denen personenbezogene Daten unbefugt offengelegt oder verarbeitet werden. Im HR-Kontext könnte dies z.B. ein Datenleck sein, bei dem Bewerberdaten oder Gehaltslisten versehentlich im Internet landen, oder ein interner Verstoß gegen die Zweckbindung – etwa wenn Personaldaten zu anderen Zwecken genutzt werden als erlaubt. Die Folgen sind primär rechtlich (Meldepflicht an die Datenschutzaufsicht nach Art. 33 DSGVO, drohende Bußgelder bis 20 Mio. € bzw. 4 % des Jahresumsatzes) und reputationell (Verlust des Mitarbeitervertrauens, negative Presse). Personell können betroffene Mitarbeiter durch die Verletzung ihres Datenschutzes persönlich beeinträchtigt sein (z.B. Identitätsdiebstahl, Rufschädigung), was ggf. Schadensersatzansprüche auslöst. Datenschutzpannen entstehen oft durch ** menschliches Versagen** (siehe Fehlübermittlungen unten) oder unzureichende Sicherheitsmaßnahmen.

• Cyberangriffe von außen: HR-Daten sind für Hacker ein attraktives Ziel, enthält doch eine Personal-Datenbank viele Identitätsinformationen (für Identitätsdiebstahl, Spear-Phishing, Sozialversicherungsbetrug etc.). Häufig sind organisierte Cyberkriminelle oder staatliche Akteure denkbar. Ein Szenario ist ein Hackerangriff auf das HR-System oder Cloud-Portal, um Personaldaten zu stehlen und ggf. zu verkaufen (wirtschaftlicher Schaden: forensische Untersuchungskosten, Benachrichtigung aller Betroffenen, mögliche Vertragsstrafen mit Kunden wegen Verletzung von Compliance; rechtlich: DSGVO-Bußgelder, Klagen; reputativ: erheblicher Imageverlust, da Datenleck). Auch Ransomware-Angriffe zählen dazu: Dabei werden HR-Daten verschlüsselt, um Lösegeld zu erpressen. Das beeinträchtigt vor allem die Verfügbarkeit – ein gelähmtes Lohnabrechnungssystem kann den ganzen Betrieb stören – und bedroht Vertraulichkeit (die Angreifer drohen oft mit Veröffentlichung). Weitere Angriffsmethoden: Phishing-E-Mails an HR-Mitarbeiter (z.B. als Bewerbungs-E-Mail getarnt mit Malware im Anhang) oder Exploits gegen veraltete HR-Software. Insgesamt sind Cyberangriffe ein sehr ernst zu nehmendes Bedrohungsbild mit potenziell katastrophalen Auswirkungen (Schutzbedarf oft sehr hoch in Analyse) – sie können alle Schadenskategorien berühren (finanzieller Verlust, rechtliche Verfahren, Imageverlust, Vertrauensbruch gegenüber Mitarbeitern).

• Innentäter (Mitarbeiter mit böser Absicht): Ein nicht zu vernachlässigendes Risiko sind bewusste Regelverstöße von Innen. HR-Mitarbeiter haben Zugriff auf umfangreiche vertrauliche Daten. Ein illoyaler oder gekündigter HR-Mitarbeiter könnte z.B. Personaldaten entwenden (Liste aller Gehälter mitnehmen und veröffentlichen) oder Daten absichtlich manipulieren. Auch Mitarbeiter außerhalb der HR, die unberechtigt Zugriff erlangen (z.B. ein IT-Administrator, der in Personalakten schnüffelt), fallen in diese Kategorie. Die Motivation kann Rache, finanzielle Bereicherung (Verkauf von Daten) oder auch ideologische Gründe sein (z.B. Whistleblower, die interne Missstände mit Belegen veröffentlichen). Die Schäden sind ähnlich wie bei externen Angriffen – oft sogar größerer reputationeller Schaden, weil das Unternehmen mangelnde interne Kontrollen offenbart. Wirtschaftlich kann ein Datendiebstahl durch Innentäter z.B. zu Strafzahlungen (DSGVO) führen. Personell ist der Vertrauensschaden immens, da die Mitarbeiter sich verraten fühlen. Ein Spezialfall: Betriebsratsmitglieder könnten vertrauliche Personalinformationen weitergeben, obwohl sie der Geheimhaltung unterliegen – z.B. Inhalte aus Sozialplan-Verhandlungen – was ebenfalls dem Innentäter-Szenario entspricht (Verstoß gegen BetrVG und Vertrauensbruch in der Betriebsratsarbeit). Insgesamt ist das Insider-Risiko besonders schwer zu handhaben, da die Täter berechtigten Zugang haben. Hier drohen primär Vertraulichkeitsverletzungen und Integritätsverstöße (z.B. absichtliche Falschbewertungen, um jemandem zu schaden).

• Fehlkonfiguration und technische Mängel: Nicht jeder Zwischenfall ist böswillig – technische Fehler oder Fehlbedienungen können ebenso Schäden verursachen. Beispiele: Eine HR-Datenbank ist falsch konfiguriert und offen im Internet erreichbar (leider in der Praxis schon vorgekommen) – damit wären vertrauliche Daten abrufbar (Vertraulichkeitsbruch). Oder es werden versehentlich zu breite Zugriffsrechte vergeben, sodass zu viele Personen interne HR-Daten einsehen können. Ein Cloud-Service für Bewerbermanagement könnte durch Fehlkonfiguration Daten verlieren (Integritätsproblem) oder ausfallen (Verfügbarkeitsproblem). Auch unentdeckte Softwarefehler (Bugs) können Daten verfälschen – etwa ein Rechenfehler in der Bonusberechnungssoftware, der falsche Auszahlungen zur Folge hat (finanzieller Schaden, Vertrauensverlust). Ein weiteres Thema ist fehlende Verschlüsselung: Wenn z.B. die Datenbank mit Personalakten nicht verschlüsselt ist und die Festplatte gestohlen wird, liegt ein Konfigurationsfehler in der Sicherheitsarchitektur vor. Solche technischen Mängel sind oft auf Unwissen oder Nachlässigkeit zurückzuführen. Die Schäden können alle Kategorien betreffen, je nachdem was passiert (von rechtlichen Folgen wegen DSGVO-Verletzung bis hin zu wirtschaftlichen Verlusten durch Systemausfall).

• Physischer Dokumentenverlust und -diebstahl: Trotz fortschreitender Digitalisierung existieren in HR immer noch Papierdokumente (z.B. unterschriebene Verträge, Personalfragebögen, Arztatteste). Diese unterliegen physischen Gefahren: Diebstahl (ein Einbruch ins Personalarchiv, Diebstahl eines Laptops der HR, der unverschlüsselt Personaldaten enthält), Verlust (verlegte Personalakte, Dokumente in falschen Ordner einsortiert) oder Zerstörung (Brand, Wasserschaden im Archiv). Ein klassischer Fall: Ein Mitarbeiter der HR nimmt einen Ordner mit Bewerbungen mit nach Hause und dieser geht auf dem Weg verloren – die Vertraulichkeit der Bewerberdaten ist kompromittiert. Oder ein Aktenordner landet irrtümlich im Altpapier, wird nicht geschreddert – ein Finder hätte freien Zugriff (dies sind real vorkommende Pannen). Die Auswirkungen: Hauptsächlich Vertraulichkeitsverletzungen, ggf. Integritätsverlust (wenn das Originaldokument weg ist), und daraus resultierende rechtliche Probleme (Meldepflicht der Datenpanne, evtl. arbeitsrechtliche Konsequenzen gegen den Verursacher). Physische Vorfälle können auch personelle Schäden mit sich bringen – z.B. emotionaler Stress für betroffene Mitarbeiter, deren Personalakte verschwunden ist. Wirtschaftlich sind die Folgen meist begrenzt (Verlust von Kopien, Ersatzbeschaffung möglich), aber indirekte Kosten entstehen durchaus (Suche, Rechtsberatung, Strafen).

• Fehlübermittlungen und menschliche Fehler: Viele Datenschutzvorfälle resultieren aus versehentlichen Fehlern im Alltagsgeschäft. Im HR-Bereich passieren z.B. Versandfehler: Eine Gehaltsabrechnung wird an den falschen Mitarbeiter gemailt; ein Serienbrief mit Bonusinformationen enthält einen Adressfehler, so dass A die Post von B erhält; oder eine E-Mail mit sensiblen Anhängen wird versehentlich an einen großen Verteiler geschickt statt nur an den einzelnen Empfänger (klassischer Bcc-/Cc-Fehler). Auch Fehleingaben können fatal sein, etwa wenn im HR-System die Krankmeldung der falschen Person zugeordnet wird und dadurch jemand unberechtigt gekündigt wird wegen angeblicher Nichtmeldung. Diese Szenarien sind meist punktuell, aber dennoch kritisch: Der falsche Empfänger einer Gehaltsliste weiß nun Dinge, die er nicht wissen dürfte (Vertraulichkeitsbruch mit möglicherweise personellen Spannungen, aber begrenzter Reichweite). Eine Fehleingabe kann zu einer Fehlentscheidung führen (Integritätsauswirkung). Meldepflichten greifen auch hier, wenn unbefugte Dritte personenbezogene Daten erhalten (Art. 33 DSGVO sieht enge Fristen vor, binnen 72 Stunden zu melden, was im E-Mail-Pannenfall oft passieren muss). Insgesamt sind menschliche Fehler kaum auszuschließen, aber deren Folgen können durch Prozesse gemindert werden (Vier-Augen-Prinzip, Validierung vor dem Versenden etc.).

• Outsourcing- und Cloud-Risiken: Viele Unternehmen lagern Teile der HR-Datenverarbeitung an externe Dienstleister aus – etwa ein externes Lohnbüro, ein Cloud-Anbieter für Bewerbermanagement oder ein Assessment-Center für Eignungstests. Diese Auslagerungen bringen spezifische Gefahren. Datenschutzrechtlich bleibt das Unternehmen verantwortlich und muss sicherstellen, dass der Dienstleister alle Vorgaben (Art. 28 DSGVO, Auftragsverarbeitungsvertrag) einhält. Ein Risiko ist, dass der Dienstleister ungenügende Sicherheitsmaßnahmen hat und es dort zu einem Datenleck kommt. So gab es Fälle, in denen Cloud-Server mit Bewerberdaten offen im Netz standen (Fehlkonfiguration durch den Dienstleister). Auch wirtschaftliche Risiken bestehen: Falls der Dienstleister insolvent geht oder einen Totalausfall hat, sind kritische HR-Prozesse unterbrochen. Zudem droht Drittlandtransfer-Problematik: Sitzt der Dienstleister außerhalb der EU (oder nutzt er Subunternehmer in Drittstaaten), können rechtliche Konflikte entstehen (Stichwort Privacy Shield ungültig, Standardvertragsklauseln notwendig; hohen Auflagen seit Schrems II). Ein weiterer Aspekt: Verlust von Kontrolle – das Unternehmen hat weniger direkte Eingriffsmöglichkeiten und ist auf vertragliche Zusicherungen angewiesen. Wenn z.B. ein Cloud-Provider die Daten nicht wie vereinbart nach Ende löscht, besteht ein Compliance-Risiko. Summiert sind Outsourcing-Risiken vielfältig: technisch (Sicherheit beim Dienstleister), organisatorisch (Abhängigkeit), rechtlich (Datenschutz, Geheimhaltung). Die Schadensfolgen treffen primär die wirtschaftliche Kategorie (wenn der Dienst ausfällt, muss Ersatz beschafft werden, Vertragsstrafen etc.) und die rechtliche (Verantwortung bleibt beim Auftraggeber, Bußgelder drohen). Reputativ kann ein Skandal beim Dienstleister auch auf den Auftraggeber abfärben („Firma X lässt Bewerberdaten durch unsicheren Dienstleister leaken“). Deshalb sind Auswahl und Kontrolle externer Partner ein kritischer Punkt.

Es lässt sich erkennen, dass die HR-Abteilung zahlreichen Gefahrenquellen ausgesetzt ist. Extern dominieren Cyberangriffe und Datenschutzvorfälle als Szenarien hoher Tragweite. Intern sind es vor allem menschliche Fehler und potenziell illoyale Insider, die zu Datenpannen führen können. Viele dieser Szenarien hängen eng mit den identifizierten Schutzgütern zusammen: So gefährdet ein Hacker vor allem die Vertraulichkeit, ein Innentäter sowohl Vertraulichkeit als auch Integrität, ein Systemausfall die Verfügbarkeit etc. Für jedes Risiko gilt es nun, geeignete Maßnahmen zu definieren, um das verbleibende Restrisiko auf ein akzeptables Maß zu reduzieren. Im nächsten Abschnitt werden daher detailliert organisatorische, technische und rechtliche Schutzmaßnahmen vorgeschlagen, die speziell auf die HR-Abteilung eines deutschen Konzerns zugeschnitten sind.

Auf Basis der ermittelten hohen Schutzbedarfe und Bedrohungen werden nun Maßnahmen vorgestellt, die ein ganzheitliches Sicherheitskonzept für die HR-Abteilung bilden. Dabei werden organisatorische Maßnahmen (Prozesse, Richtlinien, personelle Vorkehrungen), technische Maßnahmen (IT-Sicherheitstools, Infrastruktur) und rechtliche Maßnahmen (Compliance-Schritte, Vertragsgestaltungen) unterschieden. Alle vorgeschlagenen Maßnahmen orientieren sich an dem Prinzip der Verhältnismäßigkeit: Angesichts überwiegend hohen/very hohen Schutzbedarfs sind auch umfangreichere Vorkehrungen gerechtfertigt. Gleichzeitig folgen sie dem Gebot aus Art. 32 DSGVO, ein dem Risiko angemessenes Schutzniveau zu gewährleisten (unter Berücksichtigung von Stand der Technik, Implementierungskosten und Art der Daten).

• Zugriffskonzept und Berechtigungsmanagement: Es muss ein klar definiertes Berechtigungskonzept für alle HR-Daten und Anwendungen geben. Dieses folgt dem Need-to-know-Prinzip, d.h. jeder Mitarbeiter (oder externe Dienstleister) erhält nur Zugriff auf die Daten, die er für seine Aufgabe unbedingt benötigt. Beispielsweise sollten Gehaltsdaten nur von der Lohnbuchhaltung eingesehen werden können, Bewerbungsdaten nur von Recruitern und den Entscheidern für die jeweilige Stelle, Gesundheitsdaten nur von ausdrücklich autorisierten Personen etc.. Die Umsetzung kann über rollenbasierte Zugriffsmodelle erfolgen. Wichtig ist zudem die Trennung von Befugnissen: Wer z.B. im System Abrechnungsdaten erfassen kann, sollte nicht gleichzeitig deren Freigabe verantworten (Vier-Augen-Prinzip). Berechtigungen sind dokumentiert festzuhalten und regelmäßig zu überprüfen (z.B. alle 6 oder 12 Monate kontrollieren, ob Mitarbeiter noch die richtigen Zugriffsrechte haben). Wenn jemand die Abteilung wechselt oder aus dem Unternehmen ausscheidet, muss ein Prozess zur Rechteentziehung vorgesehen sein, um verwaiste Zugänge zu vermeiden.

• Schulung und Sensibilisierung: HR-Mitarbeiter und auch andere Mitarbeiter mit Zugang zu sensiblen Personaldaten (z.B. Vorgesetzte, die Leistungsbeurteilungen schreiben) müssen in Datenschutz und Informationssicherheit geschult sein. Sie sollten die spezifischen Risiken kennen (z.B. Phishing-Mails erkennen, sichere Passwörter verwenden) und wissen, wie mit personenbezogenen Daten korrekt umzugehen ist. Dazu gehört Schulung in den Datenschutzgrundsätzen (Datenminimierung, Zweckbindung, Vertraulichkeit etc.) und internen Richtlinien. Gerade Umgang mit Bewerbungen erfordert Sensibilisierung: Mitarbeiter im Recruiting sollten wissen, wie lange sie Bewerberdaten speichern dürfen, wie sie diese schützen (z.B. verschlüsselt weiterleiten) und wann zu löschen ist. Ebenso wichtig: Schulung zum Erkennen von Social Engineering (damit niemand am Telefon vertrauliche Infos an Unbefugte herausgibt, die sich z.B. als Manager ausgeben).

• Vertraulichkeitsvereinbarungen und Richtlinien: Alle Mitarbeiter der HR-Abteilung sollten Vertraulichkeitsvereinbarungen unterzeichnen (in der Regel ist dies Teil des Arbeitsvertrags, aber es kann auch separate NDAs geben), die klarstellen, dass personenbezogene Daten und Geschäftsgeheimnisse der höchsten Verschwiegenheitspflicht unterliegen. Verstöße müssen arbeitsrechtliche Konsequenzen haben (Abmahnung, Kündigung). Ähnliches gilt für Mitglieder anderer Gremien wie den Betriebsrat: Sie sind gesetzlich (§ 79 BetrVG) zur Geheimhaltung verpflichtet, was ihnen auch immer wieder bewusst gemacht werden sollte. Zusätzlich empfiehlt sich eine interne Datenschutzrichtlinie speziell für HR, die z.B. regelt, dass Personalakten nur in definierten Bereichen geöffnet werden dürfen, keine Dokumente offen am Schreibtisch liegen (Clean-Desk-Policy), keine Kopien ohne Grund angefertigt werden, E-Mails mit sensiblen Inhalten nur verschlüsselt versendet werden etc. Auch sollte die Richtlinie den Umgang mit Auskunftsersuchen von Dritten (Polizei, Anwälte, ehemalige Mitarbeiter) regeln – wer entscheidet, welche Daten herausgegeben werden.

• Prozesse zur Fehlervermeidung: Menschliche Fehler lassen sich nie komplett ausschließen, aber Prozesse können so gestaltet werden, dass kritische Fehler unwahrscheinlicher werden. Beispiele: Vier-Augen-Prüfung bei Massen-E-Mails (eine zweite Person kontrolliert Empfängerliste und Anhänge, bevor Newsletter rausgehen). Standardisierte Checklisten für den Versand sensibler Daten (haben wir die Mailadresse geprüft? Ist der Anhang korrekt anonymisiert?). Ein Prinzip der langsamen Post bei hochsensiblen Dokumenten: anstatt spontan E-Mails zu versenden, ggf. erst als Entwurf speichern und gegenlesen lassen. Außerdem sollten Meldewege für Datenpannen intern etabliert sein – Mitarbeiter müssen wissen, dass sie einen Fehlversand oder Verlust sofort dem Datenschutzbeauftragten/IT-Security melden sollen, statt es zu vertuschen (denn nur dann kann reagiert werden, z.B. Rückruf der Mail, Warnung an Empfänger). Übung von Notfallprozeduren (etwa wenn das Entgeltsystem am Zahltag ausfällt: wer informiert wen, gibt es manuelle Fallback-Methoden?) gehört auch zur organisatorischen Vorbereitung.

• Überprüfung von Outsourcing-Partnern: Wenn HR-Daten extern verarbeitet werden (Cloud-Services, Payroll-Provider, IT-Dienstleister mit Zugriff), ist organisatorisch sicherzustellen, dass diese Partner sorgfältig ausgewählt und überwacht werden. Es sollte ein Due-Diligence-Prozess geben, in dem Sicherheitskonzepte der Dienstleister geprüft werden (z.B. verlangen, dass sie ISO 27001 zertifiziert sind oder Auditberichte vorlegen). Darüber hinaus sind regelmäßige Vertragsüberprüfungen und Audits sinnvoll, um sicherzustellen, dass die Dienstleister die vereinbarten Technisch-organisatorischen Maßnahmen (TOM) einhalten. Bei kritischen Services sollte vertraglich eine Meldepflicht für Sicherheitsvorfälle durch den Dienstleister vereinbart sein, sowie ggf. Vertragsstrafen bei Verstößen. Wichtig ist intern eine klare Zuständigkeit: z.B. der Datenschutzbeauftragte oder IT-Sicherheitsbeauftragte sollte die Dienstleisterliste führen und Audittermine planen. Zudem sollte immer ein Exit-Plan bestehen (z.B. wenn der Dienstleister ausfällt: kann man kurzfristig auf einen anderen Dienstleister oder In-house-Lösung wechseln?).

• Datenschutz-Folgenabschätzung (DSFA): Für bestimmte HR-Verarbeitungen kann eine DSFA nach Art. 35 DSGVO erforderlich sein, insbesondere wenn “voraussichtlich ein hohes Risiko” für die Rechte der Betroffenen besteht. Zwar ist nicht jede HR-Datenverarbeitung DSFA-pflichtig, aber z.B. Einführung neuer umfassender Monitoring-Tools (wie Leistungsüberwachung, Verhaltensanalyse) könnte darunter fallen. Organisatorisch sollte daher bei neuen Projekten im HR (neue Software, neue Auswertungen) geprüft werden: Muss der Datenschutzbeauftragte eingebunden werden, und braucht es eine formelle Risikoanalyse? Dies stellt sicher, dass frühzeitig zusätzliche Schutzmaßnahmen eingeplant werden (z.B. Pseudonymisierung bei Mitarbeiterumfragen, Einwilligungen einholen, Beteiligung des Betriebsrats).

• Starke Zugriffskontrollen (Authentifizierung und Autorisierung): Als technische Grundvoraussetzung müssen alle HR-Systeme mit starken Authentifizierungsmechanismen versehen sein. Einfache Passwort-Logins sind oft unzureichend – es sollte wo möglich Zwei-Faktor-Authentifizierung (2FA) eingesetzt werden, um unbefugtes Eindringen zu erschweren (gerade, wenn remote auf HR-Daten zugegriffen werden kann, z.B. Führungskräfte von unterwegs). Zugriffe sollen zudem protokolliert werden (wer hat wann auf welche Datei zugegriffen), um im Verdachtsfall forensisch prüfen zu können und generell abschreckend zu wirken. Für besonders schutzwürdige Datenbereiche kann man zusätzliche Zugangshürden einbauen – z.B. eine separate Freigabe durch einen zweiten Verantwortlichen, bevor Gehaltslisten exportiert werden können. Technisch sind Berechtigungen auf Rollenebene in den Systemen zu konfigurieren entsprechend dem beschriebenen Need-to-know-Prinzip. Wo möglich sollten automatische Bereinigung von Rechten eingesetzt werden (d.h. wenn jemand die Abteilung verlässt, wird sein Account automatisch entzogen oder inaktiv gesetzt).

• Verschlüsselung sensibler Daten: Alle besonders sensiblen HR-Daten sollten verschlüsselt gespeichert und übertragen werden. Das umfasst z.B. die Verschlüsselung der HR-Datenbanken auf Servern (damit bei einem physischen Datenträgerdiebstahl kein Klartext vorliegt), Ende-zu-Ende-Verschlüsselung für E-Mail-Anhänge mit personenbezogenen Daten (oder Nutzung von verschlüsselten Filetransfer-Lösungen statt E-Mail). Auch Datenträger-Verschlüsselung für Laptops/USB-Sticks der HR-Mitarbeiter ist Pflicht, falls solche Geräte jemals Personaldaten enthalten. Moderne Cloud-Dienste sollten zumindest Transportverschlüsselung (HTTPS) garantieren, besser auch Verschlüsselung at rest mit kundenseitiger Schlüsselkontrolle, sofern praktikabel. Für Backup-Medien gilt ebenso: immer verschlüsseln. Durch Verschlüsselung wird im Falle eines Datendiebstahls (z.B. entwendeter Laptop) das Risiko einer Vertraulichkeitsverletzung stark reduziert, da der Angreifer nicht an die Klartextdaten kommt.

• Netzwerk- und Infrastruktursicherheit: Die IT-Umgebung, in der HR-Systeme betrieben werden, muss dem Stand der Technik entsprechend abgesichert sein. Das bedeutet Einsatz von Firewalls, um unautorisierte Zugriffe von außen zu unterbinden, Netzwerksegmentierung, sodass HR-Server in einem eigenen geschützten Netzwerkbereich liegen (damit selbst interne Angreifer aus anderen Abteilungen nicht einfach auf HR-Daten zugreifen können). Regelmäßige Sicherheitsupdates/Patches für HR-Software und Betriebssysteme sind essenziell, um bekannte Schwachstellen (wie die jüngsten Fälle von Exchange-Server-Lücken oder Log4j etc.) zu schließen, bevor Angreifer diese ausnutzen. Zudem sollten Viren- und Malware-Scanner insbesondere E-Mail-Eingänge kontrollieren (HR bekommt viele externe Anhänge von Bewerbern – diese müssen gescannt werden, um Trojaner zu filtern). Intrusion Detection/Prevention Systeme (IDS/IPS) können ungewöhnlichen Datenabfluss erkennen (z.B. wenn nachts plötzlich große Mengen Personalakten aus dem Netz fließen, Alarm schlagen). In Zeiten steigender Ransomware-Gefahr sollte geprüft werden, ob kritische HR-Dateiserver durch Read-Only-Replicas oder spezielle Ransomware-Schutzmechanismen zusätzlich geschützt werden können (manche Systeme erkennen z.B. Massenverschlüsselungen und stoppen diese automatisch).

• Datensicherung und Notfallmanagement: Zur Gewährleistung der Verfügbarkeit und auch Integrität ist ein umfassendes Backup-Konzept nötig. Alle wichtigen HR-Datenbanken und Dokumentenablagen sollten regelmäßig (täglich, wöchentlich je nach Änderungsfrequenz) gesichert werden. Backups sind räumlich getrennt aufzubewahren (z.B. offsite oder in einem anderen Brandabschnitt), um Katastrophenfälle (Feuer im Rechenzentrum) zu überstehen. Wichtig: Backups ebenfalls verschlüsseln (falls sie personenbezogene Daten enthalten, damit bei Backup-Diebstahl kein Leak entsteht). Das Notfallkonzept sollte insbesondere für die Lohnabrechnung definieren, wie bei längerem IT-Ausfall die Kernprozesse weiterlaufen: z.B. Vorhalten von Notfall-PCs mit minimaler Software, auf denen Gehälter notfalls manuell gerechnet und überwiesen werden können; oder Vertrag mit externem Payroll-Dienstleister, der im Disaster-Fall einspringen könnte. Auch Kommunikationswege für Krisenfälle (Ausfall des HR-IT-Systems kurz vor Gehaltslauf) müssen definiert sein, damit schnell Entscheidungsträger informiert sind und Mitarbeiter ggf. proaktiv verständigt werden können, falls sich Zahlungen verspäten. Regelmäßige Notfallübungen (z.B. Restore-Tests der Backups, Durchspielen eines kompletten Payroll-Ausfallszenarios) stellen sicher, dass die Maßnahmen im Ernstfall funktionieren.

• Pseudonymisierung und Minimierung bei Auswertungen: Technisch lässt sich in manchen Fällen der Personenbezug reduzieren, um Daten besser zu schützen. Beispielsweise könnten bei HR-Reportings für das Top-Management Personen pseudonymisiert oder aggregiert dargestellt werden (statt Klarnamen nur IDs, die in einem separaten Mapping verwaltet werden). Oder bei der Auswertung von Krankenständen kann man die Daten so aufbereiten, dass keine individuellen Diagnosen ersichtlich sind, sondern nur Summen. Dadurch bleiben zwar die Entscheidungen fundiert, aber sollte der Bericht in falsche Hände geraten, wären die persönlichen Details geschützt. Auch Test- und Entwicklungsumgebungen der HR-IT sollten mit pseudonymisierten Dummy-Daten arbeiten, nicht mit Echt-Personaldaten, um dort das Risiko zu senken.

• Digitales Rechte- und Dokumenten-Management: Moderne digitale Personalakten-Systeme bieten Features, die Sicherheit erhöhen: Man kann z.B. Dokumente mit Zugriffsetiketten versehen ("nur HR-Manager dürfen dieses Dokument sehen"), automatische Zugriffsexpiry einstellen (dass z.B. ein Manager nur 2 Wochen Zugriff auf die Bewerbungsunterlagen hat und dann erlischt es), oder Wasserzeichen auf Dokumenten einbetten, die den Betrachter identifizieren – was Lecks zurückverfolgbar macht. Solche technischen Controls helfen, Missbrauch zu erschweren. Auch sinnvoll: Read-Only-Zugriff für die meisten User auf wichtige Dokumente (so kann niemand unbemerkt eine Personalakte verändern). Wenn Änderungen nötig sind, können sie über definierte Workflows geschehen (Audit-Trail). Dokumentenmanagementsysteme sollten zudem automatisierte Löschfristen unterstützen: d.h. man kann konfigurieren, dass Bewerberdokumente 6 Monate nach Absage automatisch gelöscht werden, sofern keine Rechtsansprüche anhängig – das reduziert die Gefahr, dass vergessen wird, manuell zu löschen (Einhaltung des Grundsatzes der Speicherbegrenzung).

• Überwachung und Alerts: Ein Security Information and Event Management (SIEM) System könnte eingesetzt werden, um sicherheitsrelevante Logs aus HR-Systemen zentral auszuwerten. Beispielsweise könnte es einen Alarm geben, wenn ein Benutzer ungewöhnlich viele Personalakten in kurzer Zeit öffnet (mögliches Indiz für Datenabzug), oder wenn außerhalb der Arbeitszeiten ein Login auf das HR-System erfolgt. Auch fehlgeschlagene Login-Versuche sollten überwacht werden – häufen sich diese, könnte jemand ein Konto zu kompromittieren versuchen. Moderne Systeme mit KI-Unterstützung können Nutzerverhalten baselinen und Abweichungen melden (User Behavior Analytics). Wichtig ist, dass trotz Logging der Datenschutz gewahrt bleibt – Zugriffe der Mitarbeiter auf z.B. eigene Daten dürfen nicht ungerechtfertigt überwacht werden (hier ist Einbindung von Betriebsrat nötig falls Monitoring implementiert wird, § 87 BetrVG Mitbestimmung bei technischen Überwachungseinrichtungen).

Die technischen Maßnahmen zielen darauf ab, ein mehrschichtiges Sicherheitsnetz aufzuspannen: Zugangssicherheit (Auth), Datenschutz (Verschlüsselung/Pseudonymisierung), Systemsicherheit (Patch, Firewall), Fehlertoleranz (Backups, Notfallsysteme) und Überwachung. Diese Schichten wirken zusammen, um die identifizierten Risiken zu minimieren.

• Einhaltung datenschutzrechtlicher Vorgaben (DSGVO/BDSG): Dies ist natürlich eine Querschnittsaufgabe, doch einige Punkte verdienen besondere Betonung. Art. 5 DSGVO – Grundsätze: Insbesondere Datenminimierung und Speicherbegrenzung müssen strikt beachtet werden. HR sollte nur Daten erheben, die wirklich nötig sind (z.B. Fragen im Bewerbungsprozess auf das Notwendige beschränken, keine unverhältnismäßigen Hintergrundchecks ohne Rechtsgrundlage). Die Speicherfristen müssen konsequent umgesetzt werden: Bewerberdaten nach Absage i.d.R. nach 6 Monaten löschen (sofern keine Einwilligung zur längeren Aufbewahrung vorliegt), Personalakteninhalte löschen, wenn sie für das Arbeitsverhältnis nicht mehr erforderlich sind (z.B. veraltete Abmahnungen nach gewisser Zeit aus der aktiven Akte entfernen, soweit zulässig). Gesetzliche Aufbewahrungspflichten (für Lohnunterlagen i.d.R. 6 oder 10 Jahre nach steuerlichen Vorgaben) sind zu beachten, aber nach Fristablauf ist die Löschung umzusetzen. Um das sicherzustellen, braucht es ein Aufbewahrungs- und Löschkonzept in der HR. Automatisierung (siehe oben) hilft, aber auch Schulung: Jeder HR-Mitarbeiter sollte wissen, was wie lange aufzubewahren ist. Werden diese Grundsätze ignoriert, drohen nicht nur DSGVO-Strafen, sondern wie der H&M-Fall zeigt, auch behördliche Maßnahmen wegen Verletzung der Speicherbegrenzung.

• Vertragsrechtliche Absicherung: Es sollten alle erforderlichen Verträge und Vereinbarungen up-to-date sein. Dazu zählen Auftragsverarbeitungsverträge (AVV) mit Dienstleistern (Art. 28 DSGVO) – HR muss eine Übersicht haben, welche Dienstleister Personaldaten erhalten (vom Gehaltsabrechner bis zur Firmenarzt-Praxis, die ggf. Gesundheitsdaten verarbeitet) und dafür sorgen, dass mit jedem ein DSGVO-konformer Vertrag geschlossen wurde. Darin müssen u.a. Vertraulichkeitspflichten, Sicherheitsmaßnahmen und Unterauftragsverhältnisse geregelt sein. Ebenso wichtig: Geheimhaltungsvereinbarungen mit externen Beratern oder Auditoren, die mal Einblick in Personaldaten bekommen (z.B. ein externes Coaching-Unternehmen, dem Teilnehmerlisten gegeben werden). Falls der Konzern Konzernbetriebsvereinbarungen zu Datenschutz oder IT-Nutzung hat, sollte HR diese einhalten und implementieren (z.B. Regelungen zur Email-Überwachung, wenn vorhanden). Zusätzlich sollte im Arbeitsvertrag der Mitarbeiter (oder in der Unternehmenspolicy) festgelegt sein, was die erlaubte Nutzung von IT angeht – beispielsweise Verbot, Personaldaten auf private Speicher zu kopieren etc., um hier auch vertragliche Handhabe bei Verstößen zu haben.

• Einbindung des Betriebsrats: Viele HR-Maßnahmen, insbesondere im Bereich Überwachung oder Einführung neuer IT-Systeme, unterliegen der Mitbestimmung des Betriebsrats (z.B. § 87 Abs. 1 Nr. 6 BetrVG bei Einführung technischer Einrichtungen zur Überwachung). Daher ist die frühe Einbindung ratsam, um datenschutzkonforme Lösungen mit Zustimmung des Betriebsrats umzusetzen. Im Idealfall werden Betriebsvereinbarungen geschlossen, die den Umgang mit Personaldaten regeln (etwa eine BV „Einsatz der elektronischen Personalakte“ oder „Nutzung von Internet und E-Mail“, „Datenschutz im Unternehmen“). Darin können auch Schutzmaßnahmen verbindlich festgelegt werden (z.B. Protokollierung aber nur Einsicht bei begründetem Verdacht, Aufbewahrungsfristen etc.). Der Betriebsrat hat selbst ein Interesse am Schutz der Beschäftigtendaten und kann ein guter Partner sein, wenn er von Anfang an beteiligt wird – so lassen sich auch Konflikte vermeiden, etwa wenn HR ein neues Performance-Tool einführen will: Hier kann man datenschutzfreundliche Konfigurationen vereinbaren, um die Zustimmung zu erleichtern.

• Internationaler Datenschutz und Datentransfers: Für die Übermittlung von Personaldaten ins Ausland müssen die gesetzlichen Voraussetzungen erfüllt sein. HR sollte mit der Rechtsabteilung klären, welche Datenflüsse in Drittländer (außerhalb EU/EEA) stattfinden (z.B. USA: Nutzung eines US-Cloud-Providers, Indien: Shared Service Center für HR-Administration etc.). Je nach Land ist ein Angemessenheitsbeschluss (z.B. für UK vorhanden, für USA in bestimmten Fällen mit Data Privacy Framework) oder Standardvertragsklauseln (SCC) plus Transfer-Folgenabschätzung erforderlich. Diese Dokumentation sollte auf dem aktuellen Stand gehalten werden. Wenn Beschäftigtendaten konzernintern übertragen werden (etwa an die US-Muttergesellschaft), braucht es ebenfalls eine Grundlage – oft werden Binding Corporate Rules oder Konzernvereinbarungen genutzt. Wichtig ist auch die Information der Betroffenen darüber in den Datenschutzhinweisen. HR muss also dafür sorgen, dass jeder Mitarbeiter weiß, ob seine Daten global zugänglich sind. Hier ergibt sich zudem das Thema Übermittlung besonders sensibler Daten (z.B. Gesundheitsdaten an ausländische Dienstleister wie eine internationale Krankenversicherung) – da muss geprüft werden, ob Einwilligungen nötig sind. Rechtlich empfiehlt es sich, eine Klausel im Arbeitsvertrag oder eine Mitarbeiter-Einwilligung zu haben, die internationale Datenübermittlung (im Rahmen des erlaubten) abdeckt – zumindest für Länder ohne hohes Schutzniveau, sofern keine andere Rechtsgrundlage greift.

• Datenschutzorganisation und -kontrolle: Ein bestellter Datenschutzbeauftragter (DSB) (nach § 38 BDSG i.V.m. Art. 37 DSGVO – in großen Unternehmen mit umfangreicher Datenverarbeitung Pflicht) sollte insbesondere die HR-Abteilung eng begleiten. Die HR-Prozesse gehören in das Verzeichnis der Verarbeitungstätigkeiten, das der DSB führen muss. Er sollte regelmäßige Kontrollen/Audits in HR durchführen (stichprobenartig: werden Aktenschränke abgeschlossen? Wird das Löschkonzept eingehalten? Stimmen die Berechtigungen?). Das erzeugt einerseits Druck zur Einhaltung, andererseits hilft es HR auch, Compliance-Lücken früh zu erkennen. Zusätzlich kann die Einführung eines Information Security Management Systems (ISMS) nach ISO 27001 oder BSI-Grundschutz im Unternehmen erwogen werden – HR wäre dabei ein eigener Schutzbedarfsknoten mit dokumentierten Risiken und Maßnahmen. Diese formalisierten Prozesse stellen sicher, dass das Thema kontinuierlich gepflegt wird (inkl. jährlicher Reviews, Management-Berichte etc.).

• Awareness der Belegschaft und Transparenz: Schließlich ist es auch wichtig, die gesamte Belegschaft mitzunehmen. Jeder Mitarbeiter sollte z.B. wissen, dass er kein sensibles Dokument liegen lassen darf, auch wenn es "nur" die eigene Gehaltsabrechnung ist – denn wenn der Kollege sie sieht, ist das schon ein kleiner Datenvorfall. Hier kann HR allgemeine Sensibilisierung betreiben (z.B. Newsletter mit Tipps, keine Passwort-Post-its am Monitor kleben, Vorsicht bei unbekannten E-Mail-Anhängen). Zugleich sollte HR transparent mit den eigenen Daten umgehen: Mitarbeiter sollen wissen, welche Daten von ihnen wofür gespeichert werden (Datenschutzhinweise gem. Art. 13 DSGVO, leicht zugänglich, evtl. FAQ auf dem Intranet). Das fördert Vertrauen und reduziert unnötige Auskunftsersuchen, weil viel schon klar ist. Außerdem sollten Mitarbeiter ihre Rechte wahrnehmen können (Auskunft, Berichtigung etc.), ohne Steine in den Weg gelegt zu bekommen – HR muss interne Prozesse dafür bereithalten. Diese Transparenz ist auch eine Art präventive Maßnahme, weil sie dem Mitarbeiter zeigt: das Unternehmen nimmt Datenschutz ernst – was wiederum die Kultur der Vertraulichkeit stärkt.

Mit der Kombination dieser organisatorischen, technischen und rechtlichen Maßnahmen lässt sich das hohe Schutzniveau, das die Schutzbedarfsanalyse fordert, in der Praxis erreichen. Wichtig ist, dass die Maßnahmen ganzheitlich greifen: Eine technische Lösung allein (z.B. Verschlüsselung) nützt wenig, wenn Mitarbeiter Schlupflöcher lassen (z.B. Entschlüsseltes per Screenshot weiterleiten). Ebenso reicht es nicht, nur Policy-Dokumente zu haben – sie müssen gelebt werden. Deshalb sollte eine regelmäßige Wirksamkeitskontrolle stattfinden durch interne Audits, Penetrationstests der Systeme, Feedbackrunden mit Mitarbeitern und Auswertung von Sicherheitsvorfällen.