Mitarbeiterdatenschutz

Mitarbeiterdatenschutz unter der DSGVO: Warum er Ihr grösster Compliance-Blindfleck ist

Schluss mit gescheiterten DSGVO-Audits bei Mitarbeiterdaten

Ihre Organisation verarbeitet Tausende von Mitarbeiterdatenpunkten über mehrere Gesellschaften und Rechtsräume hinweg. Holen Sie sich die umsetzbare Checkliste, mit der Datenschutzbeauftragte bei einem Schweizer Versicherer, einem Flugzeughersteller und einem Gesundheitsdienstleister ihre Compliance-Lücken geschlossen haben.

Kein Spam. Sofortige PDF-Zustellung in Ihr Postfach.

Vertraut von Datenschutzteams, die Compliance über 50+ Konzerngesellschaften hinweg steuern.

"Priverion hat unseren Compliance-Verwaltungsaufwand in sechs Monaten um 60 % reduziert. Wir sind von der Verfolgung von Tochtergesellschaften mit Tabellen zu voller konzernweiter Transparenz übergegangen, und unser letztes Audit war das reibungsloseste, das wir je hatten."

Konzern-Datenschutzbeauftragter

bei einem Flugzeughersteller (Basierend auf Kundenbefragung, Q1 2025)

In der Schweiz gehostete Infrastruktur

Alle Daten werden in der Schweiz verarbeitet

ISO 27001-konform

Sicherheitsstandards für Grossunternehmen

Pharma, Industrie, Finanzwesen, Handel

Bewährt in regulierten Branchen

200+ eingesparte Stunden

Ein Medizintechnikunternehmen, ISO 27001-Vorbereitung

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Was ein sauberer Mitarbeiterdatenschutz unter der DSGVO tatsächlich erfordert

Sechs nicht verhandelbare Anforderungen, die die meisten Organisationen mit mehreren Gesellschaften nur schwer erfüllen und die Aufsichtsbehörden zuerst prüfen.

01: Verarbeitungsinventar

Ein vollständiges Verarbeitungsverzeichnis für jede HR-Aktivität, jede Gesellschaft

Artikel 30 DSGVO akzeptiert "Lohnabrechnung" nicht als einzelnen Posten. Sie benötigen dokumentierte Datenkategorien, Empfänger, Übermittlungen, Aufbewahrungsfristen und Rechtsgrundlagen für jede einzelne Verarbeitungstätigkeit, vom Recruiting-Screening bis zu Alumni-Datenbanken. Über jede Tochtergesellschaft hinweg.

Ergebnis: Der Flugzeughersteller erreichte in 6 Monaten eine vollständige konzernweite Abdeckung des Verarbeitungsverzeichnisses

Kundenfall Flugzeughersteller, erste 6 Monate nach Einführung

02: Rechtsgrundlage

Korrekte Bestimmung der Rechtsgrundlage: Es ist selten die Einwilligung

Das Machtgefälle in Arbeitsverhältnissen führt dazu, dass eine Einwilligung von Mitarbeitenden unter der DSGVO fast nie freiwillig erteilt wird. Die meisten HR-Verarbeitungen stützen sich auf die Vertragserfüllung (Art. 6 Abs. 1 lit. b), eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Jede muss dokumentiert und belastbar sein, pro Aktivität, pro Gesellschaft.

KI-gestützte Zuordnung der Rechtsgrundlage reduziert den Dokumentationsaufwand um Stunden pro Prozess

Basierend auf den KI-gestützten Compliance-Workflow-Funktionen von Priverion

03: DSFAs für HR

Datenschutz-Folgenabschätzungen für risikoreiche Mitarbeiterverarbeitung

Mitarbeiterüberwachung (E-Mail-Überwachung, Nachverfolgung der Internetnutzung, Videoüberwachung, GPS-Flottenortung) sowie die Verarbeitung von Gesundheitsdaten und Leistungsanalysen lösen alle wahrscheinlich DSFA-Anforderungen nach Artikel 35 aus. Die meisten Organisationen haben für ihre HR-Aktivitäten noch nie eine DSFA durchgeführt. Die Aufsichtsbehörden wissen das.

Ein Medizintechnikunternehmen sparte mit strukturierten DSFA-Workflows über 200 Stunden bei der Vorbereitung auf ISO 27001

Kundenfall eines Medizintechnikunternehmens, Vorbereitungszeitraum ISO 27001

04: Übermittlungsbewertungen

Transfer Impact Assessments für internationale HR-Datenflüsse

Nutzen Sie Workday, BambooHR oder ADP? Teilen Sie Mitarbeiterdaten mit Gesellschaften ausserhalb des EWR? Nach Schrems II sind Transfer Impact Assessments verpflichtend und werden bei Mitarbeiterdaten häufig übersehen. Jeder grenzüberschreitende HR-Datenfluss benötigt dokumentierte Standardvertragsklauseln (SCC) und zusätzliche Massnahmen.

Integriertes SCC-Management und TIA-Workflows innerhalb einer in der Schweiz gehosteten Infrastruktur

Plattformfunktion von Priverion, gesamte Datenverarbeitung innerhalb der Schweizer Infrastruktur

05: Aufbewahrungsfristen

Rechtsraumspezifische Aufbewahrung, die lokales Arbeitsrecht abbildet

Das deutsche Arbeitsrecht kann die Aufbewahrung bestimmter Personalunterlagen für 10 Jahre verlangen. Das französische Recht kann erheblich abweichen. Eine pauschale Aufbewahrungsrichtlinie reicht nicht aus. Jede Gesellschaft benötigt rechtsraumspezifische Aufbewahrungsfristen, die systematisch durchgesetzt und nicht nur in einer Richtlinie dokumentiert werden, die niemand liest.

Ein Gesundheitsdienstleister erreichte eine 100%ige Abdeckung der Lieferanten- und Verarbeitungsdokumentation

Kundenfall eines Gesundheitsdienstleisters, vollständige Abdeckung der Lieferantenrisikobewertung

06: Rezertifizierung

Systematische Rezertifizierung: Keine einmalige Compliance-Übung

Verarbeitungstätigkeiten ändern sich. Neue HR-Tools werden eingeführt. Gesellschaften werden übernommen. Ein vor zwei Jahren erstelltes Verarbeitungsverzeichnis ist ein Compliance-Artefakt, kein belastbares Dokument. Ohne automatisierte Rezertifizierungszyklen, die die Verantwortlichen der Geschäftsbereiche wieder in den Prozess einbinden, verkommt Ihr Verarbeitungsverzeichnis zur Fiktion.

Ein Schweizer Versicherer erreichte mit automatisierten Workflows eine Rezertifizierungsquote von 100 % beim Verarbeitungsverzeichnis

Kundenfall eines Schweizer Versicherers, vollständig automatisierte Rezertifizierung

Möchten Sie jede Anforderung als umsetzbare, teamfertige Checkliste?

Checkliste herunterladen

Wo der Mitarbeiterdatenschutz in Organisationen mit mehreren Gesellschaften scheitert

Die meisten Unternehmen scheitern nicht an der Absicht. Sie scheitern an der Umsetzung über Tochtergesellschaften, Rechtsräume und isolierte HR-Systeme hinweg. Dies sind die vier Muster, die wir am häufigsten sehen.

Lücke 01

Dezentrale HR bedeutet dezentrale Compliance-Lücken

Jede Tochtergesellschaft betreibt ihr eigenes Onboarding, ihre eigenen Benefits- und Leistungsprozesse, oft auf unterschiedlichen Systemen. Ohne zentrale Transparenz hat der Konzern-Datenschutzbeauftragte keine Möglichkeit zu wissen, was tatsächlich verarbeitet wird, geschweige denn, ob es dokumentiert ist. Der Flugzeughersteller verbrachte 60 % der Compliance-Verwaltungszeit allein damit, Geschäftsbereiche für Aktualisierungen zu verfolgen, bevor er zur automatisierten Rezertifizierung wechselte.

Lücke 02

Auskunftsbegehren von Mitarbeitenden legen undokumentierte Verarbeitung offen

Wenn eine ausscheidende Person ein Auskunftsbegehren einreicht, beginnt die Uhr zu laufen. Wenn Sie nicht innerhalb von 30 Tagen jedes System identifizieren können, das ihre Daten enthält, über jede Gesellschaft hinweg, verstossen Sie gegen die Vorschriften. Ohne gesellschaftsübergreifende Datenkartierung wird die Bearbeitung von Auskunftsbegehren zur hektischen Suche statt zum Prozess.

Lücke 03

Betriebsräte und Mitbestimmungsrechte erhöhen die Komplexität

In Deutschland, Österreich und den Niederlanden haben Betriebsräte Mitbestimmungsrechte bei der Verarbeitung von Mitarbeiterdaten. Die Einführung eines neuen HR-Tools ohne Konsultation des Betriebsrats kann Ihre Rechtsgrundlage vollständig ungültig machen. Das ist keine juristische Spitzfindigkeit, sondern eine Realität der Durchsetzung, die Organisationen mit mehreren Gesellschaften regelmässig unterschätzen.

Lücke 04

Die Verarbeitung von Gesundheitsdaten nach Artikel 9 ist risikoreicher, als die meisten Teams annehmen

Krankmeldungen, arbeitsmedizinische Untersuchungen, Vorkehrungen bei Behinderungen und pandemiebedingte Gesundheitsprüfungen sind allesamt besondere Kategorien von Daten nach Artikel 9. Die Rechtsgrundlagen sind enger, die Schutzmassnahmen strenger und die Bussen deutlich höher. Viele Organisationen verarbeiten diese Daten, ohne jemals die erforderliche DSFA durchgeführt zu haben.

200+

Eingesparte Stunden bei der Compliance-Vorbereitung

Die automatisierte Rezertifizierung ersetzte manuelle Tabellenaktualisierungen über jede Tochtergesellschaft hinweg, gemessen im ersten Einsatzjahr eines Medizintechnikunternehmens.

Ein Medizintechnikunternehmen, ISO 27001-Vorbereitung, 2024

60%

Reduktion der Compliance-Verwaltungszeit

Der Datenschutzbeauftragte des Flugzeugherstellers wechselte innerhalb der ersten sechs Monate von der Verfolgung von Geschäftsbereichen über Tochtergesellschaften hinweg zur strategischen Datenschutzarbeit.

Flugzeughersteller, erste 6 Monate nach Einführung

100%

Rezertifizierungsquote beim Verarbeitungsverzeichnis

Ein Schweizer Versicherer erreichte durch automatisierte Workflows eine vollständige Rezertifizierungsabdeckung: keine manuellen Nachfassaktionen, keine veralteten Einträge, kein Compliance-Drift.

Kundenfall eines Schweizer Versicherers, vollständig automatisierte Rezertifizierung

Warum Mittelstandsteams von OneTrust zu Priverion wechseln

OneTrust wurde für Compliance-Programme von Fortune-500-Unternehmen entwickelt. Wenn Sie den Datenschutz über 5–50 Gesellschaften steuern und keine ESG-Module, Ethik-Hotlines oder 200 oberflächliche Integrationen benötigen, kommt es auf Folgendes wirklich an.

Das Erlebnis mit OneTrust

Enterprise-Preise, Enterprise-Komplexität

Pro-Nutzer- und Pro-Modul-Preise, die unvorhersehbar steigen. Eine Tochtergesellschaft hinzuzufügen bedeutet, Ihren Vertrag neu zu verhandeln. CFOs fürchten die Verlängerungsphase.

In den USA gehostet, in US-Besitz

In einer Landschaft nach Schrems II schafft die Exponierung gegenüber dem US Cloud Act rechtliche Unsicherheit für grenzüberschreitende Datenübermittlungen. Europäische Datenhaltung ist ein Nachgedanke, nicht der Standard.

Monate bis zur Einführung, Jahre bis zur Beherrschung

Implementierungsprojekte, die sich über 6–12 Monate erstrecken. Dedizierte Berater sind erforderlich, um Workflows zu konfigurieren. Mittelstandsteams haben diese Kapazität nicht.

Funktionswildwuchs über 15+ Module

ESG, Ethik-Hotlines, Cookie-Einwilligung, Drittparteienrisiko, GRC: Datenschutz zu kaufen bedeutet, für eine Plattform zu zahlen, die für alle alles können soll.

200+ Integrationen, die meisten oberflächlich

Auf dem Papier eine beeindruckende Anzahl an Konnektoren. In der Praxis erfordern viele Integrationen eine individuelle Konfiguration und laufende Wartung, für die Ihr Team keine Zeit hat.

Das Erlebnis mit Priverion

Planbare Preise, keine Expansionsfallen

Bepreist nach Anzahl der Unternehmen und Organisationsgrösse, nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder hinzu, ohne neu zu verhandeln. Ihr CFO wird die Prognosegenauigkeit zu schätzen wissen.

In der Schweiz entwickelt, gehostet und verwaltet

Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet. Europäische Datenhaltung standardmässig, nicht als Zusatzoption. In einer Welt nach Schrems II ist das kein Marketing-Häkchen, sondern ein rechtlicher Vorteil für grenzüberschreitende Übermittlungen.

Einsatzbereit in Wochen, nicht in Monaten

Der Flugzeughersteller verzeichnete innerhalb der ersten 6 Monate eine Reduktion der Compliance-Verwaltungszeit um 60 %. Kein Heer von Beratern erforderlich. Ihr Team kann die Lösung eigenständig konfigurieren und verwalten.

Flugzeughersteller, erste 6 Monate nach Einführung

Eigens für den Datenschutz entwickelt, für nichts anderes

Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Vorfallmanagement, Bearbeitung von Auskunftsbegehren und Bereitschaft für den AI Act, alles in einer Plattform. Wir decken weder ESG noch Cookie-Einwilligung ab, denn das ist nicht unsere Aufgabe. Jede Funktion existiert, damit Ihr Datenschutzprogramm besser läuft.

Tiefe Integrationen dort, wo sie zählen

Wir integrieren tief in HR-, Beschaffungs- und IT-Asset-Management-Systeme: die Workflows, die die Datenschutz-Compliance tatsächlich antreiben. Nicht 200 oberflächliche Konnektoren, die einen Wartungsaufwand erzeugen, den Ihr Team nicht stemmen kann.

Bewerten Sie bereits OneTrust? Wir zeigen Ihnen die Unterschiede in 30 Minuten.

30-minütige Tour buchen

Laden Sie die Compliance-Checkliste für den Mitarbeiterdatenschutz herunter

Eine praktische, teamfertige Checkliste, die alle sechs oben genannten Anforderungen abdeckt, ergänzt um rechtsraumspezifische Aufbewahrungshinweise und DSFA-Auslöser für gängige HR-Verarbeitungstätigkeiten. Entwickelt für Datenschutzbeauftragte, die Compliance über mehrere Gesellschaften hinweg steuern.

Kein Spam. Wir senden Ihnen die Checkliste und sonst nichts, ausser Sie stimmen ausdrücklich zu.

  • Anforderungen an das Verarbeitungsverzeichnis pro HR-Aktivität mit Beispieleinträgen
  • Entscheidungsbaum zur Rechtsgrundlage für die Beschäftigungsverarbeitung
  • DSFA-Auslöser-Checkliste für Mitarbeiterüberwachung und Gesundheitsdaten
  • Vorlage zur Bewertung grenzüberschreitender Übermittlungen (nach Schrems II)
  • Rahmenwerk für rechtsraumspezifische Aufbewahrungsfristen
  • Planungsleitfaden für Rezertifizierungszyklen

Häufig gestellte Fragen: Mitarbeiterdatenschutz unter der DSGVO

Benötigen wir für die HR-Verarbeitung jeder Tochtergesellschaft ein eigenes Verarbeitungsverzeichnis?

Ja. Artikel 30 DSGVO verlangt, dass jeder Verantwortliche sein eigenes Verzeichnis von Verarbeitungstätigkeiten führt. Wenn jede Tochtergesellschaft eine eigene juristische Person ist, die als Verantwortlicher handelt, benötigt jede ihr eigenes Verarbeitungsverzeichnis, selbst wenn sie dasselbe HR-System nutzen. Das konzernweite Management des Verarbeitungsverzeichnisses von Priverion ermöglicht es Ihnen, Einträge auf Tochtergesellschaftsebene mit zentraler Übersicht zu führen, sodass Ihr Konzern-Datenschutzbeauftragter Transparenz hat, ohne jede Gesellschaft einzeln zu verfolgen.

Können wir uns bei der meisten HR-Datenverarbeitung auf die Einwilligung von Mitarbeitenden stützen?

Fast nie. Der EDSA hat durchgehend festgehalten, dass das Machtgefälle in Arbeitsverhältnissen dazu führt, dass eine Einwilligung selten freiwillig erteilt wird. Die meisten HR-Verarbeitungen sollten auf der Vertragserfüllung (Art. 6 Abs. 1 lit. b), einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) oder einem berechtigten Interesse (Art. 6 Abs. 1 lit. f) beruhen. Eine Einwilligung kann in eng begrenzten Fällen angemessen sein, etwa bei optionalen Mitarbeiterbenefits, sollte aber niemals Ihre standardmässige Rechtsgrundlage für Beschäftigungsdaten sein.

Wann ist eine DSFA für die Verarbeitung von Mitarbeiterdaten erforderlich?

Artikel 35 verlangt eine DSFA, wenn eine Verarbeitung "voraussichtlich ein hohes Risiko" für betroffene Personen zur Folge hat. Bei Mitarbeiterdaten umfasst dies typischerweise systematische Überwachung (E-Mail, Internet, Videoüberwachung, GPS), die umfangreiche Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten, Gewerkschaftszugehörigkeit) sowie automatisierte Entscheidungsfindung, die rechtliche oder ähnlich erhebliche Auswirkungen entfaltet. Die meisten Aufsichtsbehörden veröffentlichen konkrete Listen; prüfen Sie die Leitlinien Ihrer lokalen Aufsichtsbehörde.

Wie handhabt Priverion grenzüberschreitende Übermittlungen von Mitarbeiterdaten?

Priverion umfasst integrierte Transfer-Impact-Assessment-Workflows (TIA) und SCC-Management. Wenn Sie eine Verarbeitungstätigkeit dokumentieren, die grenzüberschreitende Übermittlungen beinhaltet, etwa die Nutzung eines US-basierten Lohnabrechnungsanbieters, führt Sie die Plattform durch die erforderliche Bewertung, hilft beim Dokumentieren zusätzlicher Massnahmen und führt einen prüffähigen Nachweis. Alle Priverion-Daten werden innerhalb der Schweizer Infrastruktur verarbeitet, was selbst eine starke Angemessenheitsgrundlage für europäische Datenübermittlungen bietet.

Was unterscheidet Priverion davon, dies in Tabellen zu verwalten?

Tabellen können keine Rezertifizierungszyklen durchsetzen, keine gesellschaftsübergreifende Konsistenz nachverfolgen, keine prüffertigen Nachweispakete erstellen oder Sie warnen, wenn sich Verarbeitungstätigkeiten ändern. Sie lassen sich auch nicht über 10, 20 oder 50 Tochtergesellschaften skalieren, ohne zu einer Vollzeitaufgabe zu werden. Der Datenschutzbeauftragte des Flugzeugherstellers verbrachte 60 % der Compliance-Verwaltungszeit mit manuellen Aktualisierungen des Verarbeitungsverzeichnisses, bevor er zu Priverion wechselte. Innerhalb von 6 Monaten war die Rezertifizierung vollständig automatisiert.

Setzt Priverion KI für die Compliance bei Mitarbeiterdaten ein?

Ja. Priverion bietet KI-gestützte DSFA-Erstellung, Risikobewertung und regulatorische Zuordnung, um Compliance-Workflows zu beschleunigen. Allerdings werden alle KI-Ergebnisse von Menschen überprüft, bevor sie zu Compliance-Nachweisen werden. Es werden keine Kundendaten für das Modelltraining verwendet. Wir verwenden den Begriff "KI-gestützt" bewusst: Die KI ergänzt die Expertise Ihres Teams, sie ersetzt nicht dessen Urteilsvermögen. Das ist besonders wichtig bei Mitarbeiterdaten, bei denen Kontext und rechtsraumspezifisches Wissen entscheidend sind.

Ihre Mitarbeitenden vertrauen Ihnen ihre sensibelsten Daten an. Stellen Sie sicher, dass dieses Vertrauen gerechtfertigt ist.

Der Flugzeughersteller reduzierte die Compliance-Verwaltungszeit in sechs Monaten um 60 %. Ein Schweizer Versicherer erreichte eine vollständig automatisierte Rezertifizierungsquote von 100 % beim Verarbeitungsverzeichnis. Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001. Jeder von ihnen begann mit einer 30-minütigen Tour.

Konzernweite Transparenz

Eine Plattform über jede Tochtergesellschaft, jeden Rechtsraum und jedes Rahmenwerk hinweg

Schweizer Datensouveränität

In der Schweiz entwickelt und gehostet: kein Marketing-Häkchen, sondern ein rechtlicher Vorteil

Planbare Preise

Basierend auf Anzahl und Grösse der Unternehmen, keine Pro-Nutzer-Gebühren, keine Modul-Upsells

30-minütige Tour buchen

Einsatzbereit in Wochen, nicht in Monaten. Kein Beschaffungs-Spiessrutenlauf erforderlich.

The Privacy Compliance Briefing

Monatliche Einblicke in die DSGVO-Durchsetzung, Aktualisierungen zum revDSG und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit abbestellbar.