policy ISO 27701 PIMS Policy Pack

Richtlinie zum Datenschutz von Beschäftigten

Richtlinie zum Datenschutz von Beschäftigten für PIMS: steuert personenbezogene Daten der Belegschaft, Datenschutzhinweise, Rechte, Beschäftigtenüberwachung, HR-Dienstleister, Vorfälle und Nachweisregister.

Übersicht

Diese Richtlinie zum Datenschutz von Beschäftigten regelt personenbezogene Daten der Belegschaft über Erhebung, Nutzung, Datenschutzhinweise, Rechte, Überwachung, Dienstleister, Verknüpfung mit Aufbewahrung, Vorfälle und Nachweise hinweg. Sie hält Nachweise zum Datenschutz von Beschäftigten in REG02, REG04, REG06, REG07, REG08, REG10 und REG12, anstatt separate HR-Datenschutzregister zu erstellen.

Nachweisgesteuerter HR-Datenschutz

Verknüpft die Verarbeitung personenbezogener Daten von Beschäftigten mit REG02, REG04, REG06, REG07, REG08, REG10 und REG12, ohne doppelte HR-Register zu erstellen.

Abdeckung personenbezogener Daten der Belegschaft

Umfasst Beschäftigte, Bewerber, ehemalige Beschäftigte, Auftragnehmer, Praktikanten, entsandte Mitarbeitende und andere an der Belegschaft beteiligte Personen.

Kontrollen für Überwachung und Dienstleister

Erfordert dokumentierte Genehmigungen für Beschäftigtenüberwachung, HR-Auftragsverarbeiter, Gehaltsabrechnung, HRIS, Sozialleistungen und Dienstleister für Hintergrundprüfungen.

Vollständige Übersicht lesen (click to expand)
Die Richtlinie zum Datenschutz von Beschäftigten definiert Datenschutzanforderungen für personenbezogene Daten von Beschäftigten innerhalb des Privacy Information Management Systems. Ihr Geltungsbereich umfasst Erhebung, Nutzung, Offenlegung, Verknüpfung mit Aufbewahrung, Datenschutzhinweise, Bearbeitung von Rechten, Beschäftigtenüberwachung, Unterstützung durch Auftragsverarbeiter und Nachweismanagement für personenbezogene Daten von Beschäftigten. Die Richtlinie gilt in Kontexten als Verantwortlicher und gemeinsam Verantwortlicher, in denen die Organisation Zwecke und Mittel der Verarbeitung personenbezogener Daten von Beschäftigten bestimmt, sowie in Kontexten als Auftragsverarbeiter und Unterauftragsverarbeiter, in denen die Organisation personenbezogene Daten von Beschäftigten nach dokumentierten Weisungen verarbeitet. Personenbezogene Daten von Beschäftigten sind weit gefasst und umfassen Informationen über Beschäftigte, Bewerber, ehemalige Beschäftigte, Auftragnehmer, Zeitarbeitskräfte, Praktikanten, entsandte Mitarbeitende und andere an der Belegschaft beteiligte Personen, wenn die Organisation deren personenbezogene Daten für Zwecke der Belegschaftsverwaltung, Rekrutierung, Beschäftigung, Beauftragung, Vergütung, Sozialleistungen, Sicherheit, Einhaltung, Arbeitsplatzadministration oder verwandte Geschäftszwecke verarbeitet. Ein zentrales Merkmal der Richtlinie ist ihr Nachweismodell. Die Richtlinie erstellt kein separates HR-Datenschutzregister, Beschäftigtendatenschutzregister, Beschäftigtenüberwachungsregister, HR-Dienstleisterregister, Beschäftigtenrechte-Register oder Beschäftigtenvorfallsregister. Stattdessen verlangt sie, dass Nachweise zur Verarbeitung von Beschäftigtendaten in den kanonischen PIMS-Registern gepflegt werden: REG02 für Verarbeitungsinventar und Verknüpfung mit Aufbewahrung, REG04 für Datenschutzrisiken und DSFA-Auslöser, REG06 für Betroffenenanfragen von Beschäftigten, REG07 für Datenschutzhinweise für Beschäftigte, REG08 für HR-Auftragsverarbeiter und Dienstleister, REG10 für Datenschutzvorfälle mit personenbezogenen Daten von Beschäftigten sowie REG12 für Ausnahmen, Nichtkonformitäten, Korrekturmaßnahmen, Überwachung und Nachweise zur Verbesserung. Diese Struktur unterstützt den Zweck der Richtlinie: Personenbezogene Daten von Beschäftigten dürfen nur für dokumentierte, genehmigte, transparente, verhältnismäßige und rechenschaftspflichtige Zwecke der Belegschaftsverwaltung verarbeitet werden, während eine doppelte HR-spezifische Nachweisebene vermieden wird. Die Richtlinienaussagen legen detaillierte operative Kontrollen für den Lebenszyklus personenbezogener Daten von Beschäftigten fest. Bevor personenbezogene Daten von Beschäftigten erhoben, erzeugt, importiert, genutzt oder offengelegt werden, muss der Prozessverantwortliche / Geschäftsinhaber die Verarbeitungstätigkeit für Beschäftigtendaten in REG02 erfassen, einschließlich Kategorien personenbezogener Daten, Beschäftigtenpopulation, Erhebungsquelle, Verarbeitungszweck, Systeme, interner und externer Empfängerkategorien sowie Verknüpfung mit Aufbewahrung. Datenschutzhinweise für Beschäftigte müssen in REG07 gepflegt werden, bevor eine direkte oder indirekte Erhebung für einen neuen oder wesentlich geänderten Zweck erfolgt. Die Richtlinie verlangt, dass personenbezogene Daten von Beschäftigten nur für genehmigte, in REG02 erfasste Zwecke verwendet werden, und sie verlangt, dass interne Empfängerkategorien, Bedingungen des geschäftlichen Bedarfs und wiederkehrende externe Offenlegungen dokumentiert werden, bevor die Offenlegung beginnt. Vermutete unbefugte Offenlegung, unbefugter Zugriff, Verlust oder Missbrauch von Überwachungsdaten muss innerhalb eines Geschäftstags nach Identifizierung an REG10 weitergeleitet werden. Governance für Betroffenenanfragen von Beschäftigten, Beschäftigtenüberwachung und HR-Dienstleister erhält besondere Aufmerksamkeit. Betroffenenanfragen von Beschäftigten müssen innerhalb von zwei Geschäftstagen in REG06 erfasst oder dorthin weitergeleitet werden; Beiträge der Prozessverantwortlichen sind innerhalb von fünf Geschäftstagen nach Zuweisung fällig. Komplexe Anfragen, die Überwachungsaufzeichnungen, Aufzeichnungen zu Hintergrundprüfungen, besondere Kategorien personenbezogener Daten, personenbezogene Daten von Beschäftigten Dritter, rechtliche Beschränkungen oder automatisierte Entscheidungsfindung betreffen, erfordern vor Ablehnung, Verlängerung, Einschränkung oder komplexer Bearbeitung die Beratung durch den Datenschutzbeauftragten / Datenschutzberater. Beschäftigtenüberwachung muss vor Aktivierung oder wesentlicher Änderung in REG02 dokumentiert, bei Auslösung über REG04 für Datenschutz-Risiko-Screening oder DSFA-Screening weitergeleitet, durch aktuelle REG07-Nachweise zu Datenschutzhinweisen oder Kommunikation gestützt und mindestens jährlich in REG12 stichprobenartig geprüft werden, wenn sie in REG02 enthalten ist. HR-Auftragsverarbeiter, Gehaltsabrechnung, HRIS, Sozialleistungen, Hintergrundprüfungen und ausgelagerte HR-Dienstleister müssen in REG08 erfasst werden, bevor personenbezogene Daten von Beschäftigten dem Anbieter offengelegt, von ihm abgerufen oder über ihn verarbeitet werden. Governance-Bestimmungen weisen wiederkehrende Aufsichts- und Durchsetzungsverantwortlichkeiten zu. Der Privacy Lead / PIMS Manager muss vierteljährliche Prüfungen der Nachweise zum Datenschutz von Beschäftigten über REG02, REG04, REG06, REG07, REG08, REG10 und REG12 hinweg durchführen, während die oberste Leitung wesentliche Richtlinienänderungen und risikoreiche Ausnahmen zum Datenschutz von Beschäftigten genehmigt. Kennzahlen umfassen den Prozentsatz der Verarbeitungstätigkeiten für Beschäftigtendaten mit aktuellen REG02-Aufzeichnungen, die Aktualität von Datenschutzhinweisen für Beschäftigte, offene Datenschutzrisiken und DSFA-Routing-Elemente zu Beschäftigten, die Fristeneinhaltung bei Betroffenenanfragen von Beschäftigten, den Abschluss von HR-Dienstleisterprüfungen und Trends bei Datenschutzvorfällen mit personenbezogenen Daten von Beschäftigten, sofern Vorfälle auftreten. Ausnahmen müssen vor Abweichung in REG12 erfasst, mit einem Ablaufdatum von höchstens 90 Tagen versehen und vor Ablauf überprüft werden. Die Durchsetzung verlangt Nichtkonformitäten in REG12, wenn erforderliche Nachweise zum Datenschutz von Beschäftigten fehlen, verhindert die Genehmigung von Beschäftigtenüberwachung ohne erforderliche Nachweise und erlaubt die Aussetzung neuer Offenlegungen personenbezogener Daten von Beschäftigten an HR-Dienstleister, wenn Nachweise zu Auftragsverarbeitern, Unterauftragsverarbeitern, Weisungen oder Unterstützung fehlen.

Richtliniendiagramm

Prozessflussdiagramm, das die Governance personenbezogener Daten von Beschäftigten vom REG02-Inventar und REG07-Prüfungen von Datenschutzhinweisen über REG04-Routing für Risiko/DSFA, REG08-Kontrollen für HR-Dienstleister, REG06-Bearbeitung von Rechten, REG10-Vorfallsweiterleitung sowie REG12-Überwachung, Ausnahmen und Verbesserung zeigt.

Diagramm anklicken, um es in voller Größe anzuzeigen

Inhalt

Verarbeitungsinventar für Beschäftigtendaten und Kontrollen für HR-Zwecke

Anforderungen an Datenschutzhinweise für Beschäftigte und Bearbeitung von Rechten

Regeln für Beschäftigtenüberwachung und HR-Verarbeitung mit hoher Tragweite

Nachweise zu HR-Auftragsverarbeitern, Gehaltsabrechnung, HRIS, Sozialleistungen und Dienstleistern für Hintergrundprüfungen

Verknüpfung mit Aufbewahrung, Offenlegung und Weiterleitung von Vorfällen

Anforderungen an Governance, Kennzahlen, Ausnahmen, Durchsetzung und Überprüfung

Framework-Konformität

🛡️ Unterstützte Standards & Frameworks

Dieses Produkt ist auf die folgenden Compliance-Frameworks ausgerichtet, mit detaillierten Klausel- und Kontrollzuordnungen.

Framework Abgedeckte Klauseln / Kontrollen
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.8Annex A.1.2.9Annex A.1.2.7Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 7.1.2Clause 7.1.3Clause 7.2.4Clause 7.3.2Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 27002:2022
Controls 5.34Controls 6.1Controls 6.2Controls 6.5Controls 6.6Controls 8.15Controls 8.16

Verwandte Richtlinien

Richtlinie zu Verarbeitungsinventar und Rechtsgrundlage

Verarbeitungstätigkeiten von Beschäftigtendaten, Zwecke, Kategorien personenbezogener Daten, Quellen, Systeme, Empfänger und Verknüpfung mit Aufbewahrung werden gemäß dieser verknüpften Richtlinie in REG02 erfasst.

Richtlinie zu Datenschutzhinweisen und Transparenz

Datenschutzhinweise für Beschäftigte und Transparenzaufzeichnungen werden in REG07 gepflegt, bevor eine neue oder wesentlich geänderte Erhebung personenbezogener Daten von Beschäftigten erfolgt.

Richtlinie zum Management von Betroffenenrechten

Betroffenenanfragen von Beschäftigten werden über REG06 weitergeleitet und erfordern unterstützende Beiträge aus Verarbeitungsaufzeichnungen, Systemen, Dienstleistern und Datenschutzberatern.

Richtlinie zur Datenschutz-Risikobeurteilung und DSFA

HR-Verarbeitung mit hoher Tragweite, Beschäftigtenüberwachung und sensitive Beschäftigtendaten werden über REG04 für die Bearbeitung von Datenschutzrisiken oder DSFAs weitergeleitet.

Richtlinie zum Datenschutzmanagement für Auftragsverarbeiter, Unterauftragsverarbeiter und Drittparteien

HR-Auftragsverarbeiter, Gehaltsabrechnung, HRIS, Sozialleistungen, Hintergrundprüfungen und ausgelagerte HR-Services werden über REG08-Anforderungen an Dienstleisternachweise gesteuert.

Richtlinie zum Management von Vorfällen und Datenschutzverletzungen

Vermuteter unbefugter Zugriff auf personenbezogene Daten von Beschäftigten, Offenlegung, Verlust, Kompromittierung oder Missbrauch von Überwachungsdaten wird zur Vorfallsbearbeitung an REG10 weitergeleitet.

Über Clarysec-Richtlinien - Richtlinie zum Datenschutz von Beschäftigten

Datenschutz-Governance scheitert, wenn sie als Sammlung unverbundener Datenschutzhinweise, Formulare und rechtlicher Erklärungen behandelt wird. Eine wirksame Umsetzung von ISO/IEC 27701 erfordert ein Privacy Information Management System, das die Verarbeitung personenbezogener Daten, Rechtsgrundlagen, Rollen als Verantwortlicher und Auftragsverarbeiter, Datenschutzrisiken, DSFAs, Nachweise, Überwachung und kontinuierliche Verbesserung miteinander verbindet. Dieses Richtlinienset ist als operatives Datenschutzrahmenwerk konzipiert, nicht als allgemeines Dokumentationspaket. Es definiert klare PIMS-Rechenschaftspflicht über praktische Unternehmensrollen hinweg, darunter oberste Leitung, Privacy Lead / PIMS Manager, Prozessverantwortliche, Systemverantwortliche, Verantwortliche für Lieferanten / Beschaffung, Informationssicherheit und unabhängige Prüfer. Jede Anforderung ist als eindeutig nummerierte, auditierbare Klausel formuliert und mit definierten Nachweisobjekten wie REG01, REG02, REG03, REG04, REG08, REG11 und REG12 verknüpft. Die Struktur unterstützt Kontexte als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter und hilft Organisationen, ein rechenschaftspflichtiges, risikobasiertes und nachweisgesteuertes Management der Verarbeitung personenbezogener Daten über den gesamten PIMS-Lebenszyklus nachzuweisen.

Kanonisches Nachweismodell

Nachweise zum Datenschutz von Beschäftigten werden in bestehenden PIMS-Registern statt in separaten HR-spezifischen Registern geführt.

Schutzmaßnahmen für Überwachung

Beschäftigtenüberwachung erfordert einen dokumentierten Zweck, Risiko-Routing, Nachweise zu Datenschutzhinweisen und jährliche Stichproben, wenn sie im Geltungsbereich liegt.

Breiter Belegschafts-Geltungsbereich

Gilt für Beschäftigte, Bewerber, Auftragnehmer, Praktikanten, entsandte Mitarbeitende und andere an der Belegschaft beteiligte Personen.

Kontrollen für Dienstleisternachweise

HR-Auftragsverarbeiter, Gehaltsabrechnung, HRIS, Sozialleistungen und Anbieter von Hintergrundprüfungen müssen in REG08 dokumentiert werden.

Häufig gestellte Fragen

Von Führungskräften – für Führungskräfte

Diese Richtlinie wurde von einer Sicherheitsführungskraft mit über 25 Jahren Erfahrung in der Implementierung und Auditierung von ISMS-Frameworks für globale Unternehmen verfasst. Sie ist nicht nur als Dokument gedacht, sondern als belastbares Rahmenwerk, das einer Prüfung durch Auditoren standhält.

Verfasst von einem Experten mit folgenden Qualifikationen:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Abdeckung & Themen

🏢 Zielabteilungen

Datenschutz Recht Einhaltung Personalwesen Büro des Datenschutzbeauftragten

🏷️ Themenabdeckung

Privacy Information Management Verarbeitung personenbezogener Daten Management von Betroffenenrechten Datenschutz-Folgenabschätzung Verzeichnis von Verarbeitungstätigkeiten Drittparteienmanagement Datenaufbewahrung und Entsorgung
€49

Einmaliger Kauf

Sofortiger Download
Lebenslange Updates

Diese Richtlinie ist 1 von 25 im vollständigen ISO/IEC 27701 PIMS-Paket

52% sparen

Erhalten Sie alle 25 PIMS-Richtlinien, das vollständige Register-Set und einen detaillierten Implementierungsplan für €799, statt €1.675 beim Einzelkauf.

Zum vollständigen 27701-Paket →
Employee Privacy Policy

Produktdetails

Typ: policy
Kategorie: ISO 27701 PIMS Policy Pack
Standards: 6