Arbeitsagenturen arbeiten mit außerordentlich sensiblen personenbezogenen Daten — Steuernummern, Kopien von Personalausweisen, Führerscheinen, Krankenversicherungskarten und A1-Formularen. Die DSGVO (Datenschutz-Grundverordnung) stellt an die Verarbeitung dieser Daten strenge Anforderungen, die viele Agenturen unterschätzen.
Welche Daten von Arbeitsagenturen unter die DSGVO fallen
- Identifikationsdaten — Vorname, Nachname, Steuernummer, Geburtsdatum, Adresse
- Kopien von Dokumenten — Personalausweis, Führerschein, Versicherungskarte
- Arbeitsdokumente — A1-Formulare, Arbeitsverträge, Stundennachweise
- Finanzdaten — IBAN, USt-IdNr., Stundensatz
- Kontaktdaten — Telefonnummer, E-Mail
Alle diese Daten sind personenbezogene Daten im Sinne der DSGVO. Kopien von Dokumenten mit Foto gelten sogar als sensiblere Kategorie.
Grundpflichten der Agentur
1. Rechtsgrundlage der Verarbeitung
Sie müssen eine klare Rechtsgrundlage für die Verarbeitung jeder Art von Daten haben. Bei Arbeitsagenturen ist das üblicherweise die Vertragserfüllung (Arbeitsvertrag) und die rechtliche Verpflichtung (Sozialversicherung, A1-Formulare).
2. Sicherheit der Speicherung
Kopien von Dokumenten dürfen nicht in einem freigegebenen Ordner auf Google Drive liegen, auf den das gesamte Unternehmen Zugriff hat. Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen — Verschlüsselung, Zugriffssteuerung, Sicherung und Speicherung innerhalb der EU.
3. Zugriffssteuerung
Nicht jeder Mitarbeiter der Agentur muss die Steuernummer oder Ausweiskopie eines Arbeiters sehen. Der Zugriff auf sensible Daten sollte auf die Personen beschränkt sein, die ihn unbedingt benötigen — typischerweise HR-Manager und Office Manager.
4. Audit Trail
Die DSGVO verlangt, dass Sie nachweisen können, wer und wann auf personenbezogene Daten zugegriffen hat. Wenn eine Kontrolle der Datenschutzbehörde kommt, müssen Sie Zugriffsprotokolle vorlegen können.
5. Recht auf Löschung und Export
Jeder Arbeiter hat das Recht, eine vollständige Löschung seiner Daten oder einen Export aller über ihn gespeicherten Daten zu verlangen. Sie müssen dies innerhalb der gesetzlichen Frist von 30 Tagen erfüllen können.
Was bei Nichteinhaltung droht
Strafen für DSGVO-Verstöße können bis zu 20 Millionen EUR oder 4 % des Jahresumsatzes des Unternehmens betragen. In der Praxis sind die Strafen für kleinere Unternehmen niedriger, aber auch eine Strafe von 5 000–50 000 € ist für eine Agentur spürbar. Außerdem schadet ein Datenleck dem Ruf des Unternehmens.
Wie man es richtig löst
Die ideale Lösung ist ein System, das die DSGVO von Grund auf eingebaut hat:
- Daten in der EU auf verschlüsselten Servern gespeichert
- Row-Level Security — jede Organisation sieht nur ihre eigenen Daten
- Automatisches Audit-Log jedes Zugriffs auf Dokumente
- Funktion zum vollständigen Export der Daten eines Arbeiters (JSON)
- Funktion zur dauerhaften Löschung einschließlich Dokumentenkopien
- Rollen mit unterschiedlichen Zugriffsebenen (Admin, Teamleiter, Arbeiter)
Wenn Sie diese Funktionen im System haben, ist DSGVO-Compliance keine Belastung — es ist nur eine Frage der richtigen Konfiguration.