12. September 2016 - Datenschutzberatung: Human Resources

Datenschutz bei der Personaldatenverarbeitung

Die Verfahren zur Personaldatenverarbeitung bedürfen einer genauen Kontrolle durch den Datenschutz. Doch Software-Module für HR (Human Resources) wie zum Beispiel bei SAP gelten als komplex und schwer zu durchschauen. Deshalb ist es wichtig, zuerst die Knackpunkte in der Verarbeitung von Personaldaten zu kennen und zu prüfen.

Personaldatenverarbeitung: Ein wichtiger Bereich für die Datenschutzkontrolle Die Personalabteilung ist ein wichtiger Anlaufpunkt für die Datenschutzkontrolle (Bild: Rainer Junker / Hemera / Thinkstock)

Wenn es einen Unternehmensbereich gibt, bei dem Datenverarbeitung fast immer Verarbeitung personenbezogener Daten bedeutet, dann ist es Human Resources (HR). In der Personaldatenverarbeitung geht es unter anderem um

  • Gehaltsabrechnung,
  • Bewerber-Management,
  • Talent-Management,
  • Zeit- und Anwesenheits-Management,
  • Urlaubsplanung,
  • Personalplanung und
  • Personalbedarfs-Analysen.

Datenschutzkontrolle in der Personalabteilung

Viele Unternehmen nutzen eine spezielle Software für das Personalmanagement, auch HR-Software genannt. Ein Beispiel ist das SAP-Modul Human Capital Management (SAP HCM).

Leider sind solche Softwarelösungen meist nicht nur reich an Funktionen, sondern auch komplex in der Datenschutzkontrolle. Diese Kontrolle durch betriebliche Datenschutzbeauftragte ist aber enorm wichtig. Denn die Berichte der Aufsichtsbehörden zeigen hier regelmäßig Mängel auf.

Anforderungen an die Verarbeitung von Personaldaten

Bevor Sie sich in der Prüfung von HR-Modulen verlieren, nehmen Sie sich die Knackpunkte vor, die in der Praxis häufig auffallen.

Schutz für digitale Personalakten

Grundlegend für den Datenschutz bei den Personaldaten ist, dass digitale Akten mindestens den gleichen Schutz wie klassische, papiergebundene Personalakten erhalten.

  • Ist allen Mitarbeitern bewusst, dass die Vorteile der Digitalisierung wie die einfachere Durchsuchbarkeit und die Möglichkeit zur automatischen Datenanalyse gleichzeitig Datenschutz-Risiken darstellen?
  • Prüfen Sie, ob die Berechtigungen zum Beispiel für Suchen und Analysen in HR-Modulen restriktiv vergeben sind.

Aufbewahrung und Entsorgung

Achten Sie darauf, dass die Konzepte für die Aufbewahrung und Entsorgung der Personalakten auf die Personaldatenverarbeitung und die digitalen Personalakten übertragen werden:

  • Die Personalabteilung muss die Mitarbeiter- und Bewerberdaten entsprechend rechtlicher bzw. vertraglicher Vorgaben aufbewahren und fristgerecht löschen.
  • Während der Aufbewahrung müssen die Daten lesbar und verfügbar bleiben.
  • Das digitale Personalarchiv muss revisionssicher sein. Die digitalen Personalakten brauchen also einen Integritätsschutz.

Hohe Datensicherheit für Personaldaten

Die Datensicherheit im Bereich der Personaldatenverarbeitung braucht Lösungen,

  • die den Zutritt zu den Systemen, die Zugang zu den Personaldaten geben, ebenso betreffen wie den
  • Zugang zu der HR-Software und den
  • Zugriff auf die elektronischen Personalakten.

Bedenken Sie, dass sich digitale Personalakten unter Umständen durch einen einfachen, falschen Mausklick ungewollt „weitergeben“ lassen. Verschlüsselung und Mehr-Faktor-Authentifizierung sind deshalb Pflicht. Prüfen Sie, ob die HR-Software entsprechende Funktionen vorsieht oder unterstützt.

Die Datenschutz-Prinzipien Datensparsamkeit und Datenvermeidung gelten auch in der Personaldatenverarbeitung. Eine Anhäufung vieler Daten über Bewerber und Mitarbeiter ist zwar für Datenanalysen scheinbar von Vorteil. Doch der Datenschutz sieht dies kritisch.

Somit gibt es einige Knackpunkte, die häufig zu wenig Beachtung finden. Die Checkliste hilft Ihnen, dies zu ändern.


Download: Checkliste Datenschutz bei der Personaldatenverarbeitung


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln