Gratis
5. April 2018 - Beschäftigtendatenschutz nach DSGVO & BDSG-neu

Datenschutz bei der Personaldatenverarbeitung

Drucken

Die Verfahren zur Personaldatenverarbeitung bedürfen einer Kontrolle nach der Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu). Doch Software-Module für HR (Human Resources) gelten als komplex und schwer zu durchschauen. Deshalb ist es wichtig, die Knackpunkte der Personaldatenverarbeitung zu kennen.

Personaldatenverarbeitung: Ein wichtiger Bereich für die Datenschutzkontrolle Die Personalabteilung ist ein wichtiger Anlaufpunkt für die Datenschutzkontrolle (Bild: Rainer Junker / Hemera / Thinkstock)

Wenn es einen Unternehmensbereich gibt, bei dem Datenverarbeitung fast immer Verarbeitung personenbezogener Daten bedeutet, dann ist es Human Resources (HR). In der Personaldatenverarbeitung geht es unter anderem um

  • Gehaltsabrechnung,
  • Bewerber-Management,
  • Talent-Management,
  • Zeit- und Anwesenheits-Management,
  • Urlaubsplanung,
  • Personalplanung und
  • Personalbedarfs-Analysen.

Datenschutzkontrolle in der Personalabteilung

Die laufenden Vorbereitungen auf die Datenschutz-Grundverordnung (DSGVO / GDPR) sollten deshalb ganz besonders dem Personalbereich gelten. Hier gibt es eine Vielzahl von Verfahren, die zu überprüfen sind.

Viele Unternehmen nutzen eine spezielle Software im Personalmanagement, auch HR-Software genannt, um die Verfahren durchzuführen. Leider sind solche Software-Lösungen meist nicht nur reich an Funktionen, sondern auch komplex in der Kontrolle des Datenschutzes.

Diese Kontrolle durch betriebliche Datenschutzbeauftragte ist aber enorm wichtig. Denn die Berichte der Aufsichts-Behörden zeigen regelmäßig Mängel auf im Bereich der Verarbeitung von Personaldaten.

Zudem stellen sowohl DSGVO als auch das neue Bundesdatenschutzgesetz (BDSG-neu) spezielle Anforderungen an die Verarbeitung von Beschäftigtendaten.

DSGVO und BDSG-neu: Anforderungen an die Personaldatenverarbeitung

In der DSGVO macht Artikel 88 (Datenverarbeitung im Beschäftigungskontext) grundlegende Vorgaben zum Beschäftigtendatenschutz. Darüber hinaus enthält der Artikel eine Öffnungsklausel, die die nationalen Gesetzgeber zur weiteren Ausgestaltung nutzen können.

Die nationalen Vorgaben sollen vor allem regeln:

  • angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung,
  • die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und
  • die Überwachungssysteme am Arbeitsplatz.

Das neue Bundesdatenschutzgesetz (BDSG-neu) hat daher den § 26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses). Er ist ab 25. Mai 2018 bei der Datenschutz-Kontrolle der Verarbeitung von personenbezogenen Daten Beschäftigter zu beachten.

Bevor Sie sich nun in der Prüfung von HR-Software-Modulen verlieren, sehen Sie sich in rester Linie die Knackpunkte an, die in der Praxis auffallen:

  • Digitale Personalakten müssen mindestens den gleichen Schutz wie klassische, papiergebundene Personalakten erhalten.
  • Dabei ist zu bedenken, dass die Vorteile der Digitalisierung wie die einfachere Durchsuchbarkeit und die Möglichkeit zur automatischen Datenanalyse gleichzeitig Datenschutz-Risiken darstellen.
  • Achten Sie deshalb darauf, dass die Berechtigungen zum Beispiel für Suchen und Analysen in HR-Modulen sehr restriktiv vergeben werden.
  • Die Konzepte für Aufbewahrung und Entsorgung der Personalakten müssen auch auf die Personaldatenverarbeitung und die digitalen Personalakten übertragen werden.
  • Die Mitarbeiter- und Bewerberdaten müssen also entsprechend rechtlicher bzw. vertraglicher Vorgaben aufbewahrt und fristgerecht gelöscht werden.
  • Es gelten die Grundsätze nach Artikel 5 DSGVO, darunter die Speicherbegrenzung und die Datenminimierung.

Artikel 32 DSGVO: hohe Datensicherheit für Personaldaten

Die Maßnahmen für die Sicherheit der Verarbeitung müssen unter anderem der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen Rechnung tragen, wie Artikel 32 DSGVO darlegt.

Personaldaten oder Beschäftigtendaten haben einen hohen Schutzbedarf, geht es doch auch um Gesundheitsdaten oder Angaben zur Religionszugehörigkeit (besondere Kategorien personenbezogener Daten).

Für die Datensicherheit im Bereich der Personaldatenverarbeitung müssen also Lösungen her, die ein hohes Schutzniveau bieten, also den Zugang zu der HR-Software und den Zugriff auf die elektronischen Personalakten wirksam schützen.

Weiterhin muss sich verhindern lassen, dass Mitarbeiter digitale Personalakten unter Umständen durch einen einfachen falschen Mausklick ungewollt „weitergeben“.

Verschlüsselung und Mehr-Faktor-Authentifizierung sind deshalb Pflicht. Prüfen Sie, ob die HR-Software entsprechende Funktionen vorsieht oder unterstützt.

Die Datenschutz-Prinzipien wie Datenminimierung gelten auch in der Personaldatenverarbeitung. Möglichst viele Daten über Bewerber und Mitarbeiter anzuhäufen, ist zwar für Datenanalysen scheinbar von Vorteil, für den Datenschutz und die Compliance aber nicht.

Somit gibt es einige Knackpunkte in der Personaldatenverarbeitung, die häufig zu wenig Beachtung finden. Das sollte sich nicht nur anlässlich der DSGVO und des BDSG-neu schnell ändern.


Download: Checkliste Datenschutz bei der Personaldatenverarbeitung


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Datenschutz PRAXIS Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen.

Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!