Mitarbeiterdaten-Compliance: Praxisleitfaden fuer SaaS-Teams

Mitarbeiterdaten-Compliance ist das Betriebssystem, mit dem ein SaaS-Unternehmen personenbezogene Daten von Mitarbeitenden, Bewerbern, Auftragnehmern und internen Nutzern rechtmaessig und konsistent verarbeitet. Sie umfasst HR-Akten, Payroll, Recruiting, Benefits, Performance Management, Access Logs, Security Monitoring, Produktivitaets-Tools, interne Analytics, Gesundheits- oder Abwesenheitsdaten und die Vendoren, die diese Workflows stuetzen.

Das Ziel ist nicht noch eine HR-Policy. Das Team muss wissen, welche Mitarbeiterdaten existieren, warum sie verarbeitet werden, welche Rechtsgrundlage gilt, ob besondere Kategorien betroffen sind, wer den Workflow besitzt, wie lange Daten gespeichert werden, welche Vendoren Zugriff haben und welche Nachweise die Umsetzung belegen.

Nach der DSGVO sind Mitarbeiterdaten personenbezogene Daten. Artikel 88 erlaubt zudem spezifischere Regeln fuer die Verarbeitung im Beschaeftigungskontext. Global arbeitende SaaS-Teams sollten Mitarbeiterdaten deshalb nicht als generisches Backoffice-Thema behandeln. Die Details variieren je Land, aber die operativen Fragen bleiben gleich: Zweck, Notwendigkeit, Transparenz, Zugriff, Retention, Sicherheit und Accountability.

Warum das fuer SaaS wichtig ist

SaaS-Unternehmen bauen interne Tool-Landschaften oft schneller auf als Governance. Aus E-Mail, Payroll und Identity werden HRIS, Bewerbertracking, Device Management, Expense Tools, Security Monitoring, Support-Plattformen, Call Recording, Produktivitaets-Analytics und AI-Tools fuer interne Inhalte.

Jedes dieser Systeme kann Mitarbeiter- oder Bewerberdaten verarbeiten. Manche Systeme verarbeiten zugleich Kundendaten ueber Mitarbeiterkonten. Wenn das Unternehmen den Datenfluss nicht erklaeren kann, werden Auskunftsersuchen, Due Diligence, Security-Frageboegen, Regulatorfragen und Incident Reviews schwerer.

Wann Mitarbeiterdaten-Compliance greift

Sie greift immer dann, wenn das Unternehmen personenbezogene Daten ueber Mitarbeitende, Bewerber, Contractor, Advisor oder interne Nutzer erhebt, nutzt, teilt, ueberwacht, speichert oder loescht. Typische Workflows sind Recruiting, Background Checks soweit rechtmaessig, Arbeitsvertraege, Payroll, Equity, Benefits, Abwesenheit, Performance Reviews, Disziplinarakten, Trainingsnachweise, Device Management, Access Management, Security Logs, Incident Response, Monitoring und Offboarding.

Sie greift auch, wenn interne Tools den Umgang mit Daten veraendern. Ein AI-Assistent kann Support-Tickets mit Mitarbeiterkommentaren zusammenfassen. Ein Security Tool kann neue Endpoint-Telemetrie erfassen. Eine Sales-Plattform kann Calls aufzeichnen. Ein HR-System kann Gesundheits-, Diversity- oder Abwesenheitsfelder einfuehren.

Mit einem Inventar starten

Der erste Schritt ist ein einfaches Inventar. Listen Sie reale Workflows statt abstrakter Rechtsfragen. Erfassen Sie Zweck, betroffene Personengruppen, Datenkategorien, Systeme, Vendoren, interne Zugriffe, Rechtsgrundlage, zusaetzliche Bedingungen fuer sensible Daten, Retention, Owner, Review-Trigger und Ablageort der Nachweise.

Das Inventar muss nicht elegant sein. Es muss genau genug sein, damit HR, Security, Legal, Compliance und Operations damit arbeiten koennen.

Rechtsgrundlage frueh klaeren

Die EDPB-Leitlinien erinnern daran, dass eine gueltige Rechtsgrundlage vor der Verarbeitung benoetigt wird. Im Beschaeftigungskontext ist Consent besonders vorsichtig zu behandeln, weil das Machtungleichgewicht zwischen Arbeitgeber und Arbeitnehmer eine freie Wahl erschweren kann.

In der Praxis stuetzen sich Mitarbeiterdaten-Workflows je nach Aktivitaet und Rechtsraum oft auf Vertrag, rechtliche Pflicht, berechtigte Interessen oder andere Grundlagen. Payroll kann mit Vertrag und rechtlichen Pflichten verbunden sein. Security Monitoring kann je nach Kontext berechtigte Interessen oder rechtliche Pflichten betreffen. Gesundheitsdaten brauchen neben Artikel 6 oft eine Bedingung nach Artikel 9.

Sensible Daten separat behandeln

Mitarbeiterdaten enthalten haeufig sensiblere Informationen als Produktteams erwarten: Gesundheitsdaten, Behinderungsanpassungen, Abwesenheit, Gewerkschaftszugehoerigkeit, biometrische Kennungen, Diversity-Daten, Background Checks oder Beschwerdeakten. Diese Workflows brauchen engere Zugriffe, klare Retention, bessere Nachweise und explizite Review-Punkte.

Solche Daten sollten nicht in allgemeinen Tabellen, Shared Drives, Analytics Tools oder AI Prompts landen, ohne dass eine dokumentierte Entscheidung existiert.

Zugriff, Retention und Vendoren kontrollieren

Mitarbeiterdaten-Compliance scheitert oft daran, dass zu viele Personen Zugriff haben und niemand weiss, wann Daten geloescht werden. Zugriff sollte nach Rolle und Zweck funktionieren. Payroll gehoert nicht zu jedem Manager. Gesundheitsdaten gehoeren nicht in allgemeine Operations-Kanaele. Candidate Feedback sollte nicht unbegrenzt in Shared Folders bleiben.

Vendoren wie HRIS, Payroll, ATS, Identity, MDM, Expense, Benefits, Security Tools und interne AI-Systeme brauchen Owner, Zweck, Datenkategorien, Vertragsstatus, Transferposition und Offboarding-Prozess.

Ownership nach Workflow zuweisen

Ownership sollte dem Workflow folgen, nicht nur dem Organigramm. HR kann die Personalakte besitzen, Security die Identity Logs, Finance Payroll-Exporte, IT Device-Daten und Manager Performance Notes. Fuer jeden Workflow sollte es einen Business Owner und einen Evidence Owner geben.

Gute Nachweise

Gute Nachweise sind auffindbar: Mitarbeiterdaten-Inventar, Systemliste, Lawful-Basis-Matrix, Vendor Register, Access Reviews, Retention Schedule, Privacy Notice, DPIA-Screenings, Regeln fuer sensible Daten, Monitoring Assessment, Incident Notes und Offboarding Checklist.

Fuer hoehere Risiken sollte es einen kurzen Decision Record geben: Was hat sich geaendert, warum ist Verarbeitung noetig, welche Alternativen wurden geprueft, welche Schutzmassnahmen gelten, wer hat freigegeben und wann wird erneut geprueft?

Haeufige Fehler

Der erste Fehler ist, Mitarbeiterdaten fuer einfacher als Kundendaten zu halten. Der zweite ist Consent als Default. Der dritte ist, HR- und Security-Aufzeichnungen getrennt laufen zu lassen. Der vierte ist, interne AI-Tools zu uebersehen. Der fuenfte ist, nach neuen Laendern, Vendoren, Remote Work, Entlassungen oder neuen Security Tools nicht neu zu pruefen.

FAQ

Was ist der praktische Zweck?

Mitarbeiterdaten-Workflows sichtbar, rechtmaessig, verantwortlich und nachweisbar machen.

Wann gilt das fuer SaaS-Teams?

Bei jeder Verarbeitung von Daten ueber Bewerber, Mitarbeitende, Contractor, Advisor oder interne Nutzer.

Was sollte zuerst dokumentiert werden?

Workflow, Zweck, Rechtsgrundlage, sensible Daten, Vendoren, Zugriff, Retention, Owner und Review-Trigger.

Sources

• General Data Protection Regulation
• EDPB: Process personal data lawfully
• ICO: Employment practices and data protection: keeping employment records
• ICO: Data protection and workers' health information