Besonders schützenswerte Personaldaten kontrollieren
Die Verarbeitung von Personaldaten gehört zum sensibelsten Bereich eines Unternehmens oder einer Behörde. Ein nachlässiger interner Schutz kann zu Bußgeldern, Schadensersatzforderungen und Imageschäden führen. Umso wichtiger ist es, möglichst früh einen klaren Prozess zur internen Absicherung von Personaldaten einzuführen und diesen stets zu pflegen.
Neben klassischen Stammdaten verarbeitet der Personalbereich regelmäßig auch Gesundheitsdaten, Abmahnungen, Gehaltsinformationen oder Bewerbungsunterlagen. Damit sind diese Daten nicht nur allgemein nach der Datenschutz-Grundverordnung (DSGVO) zu schützen, sondern fallen teilweise auch unter die besonders schützenswerten Kategorien personenbezogener Daten nach Art. 9 DSGVO.
Warum ist die interne Absicherung von Personaldaten essenziell?
Allein die Personalakte begleitet den Mitarbeiter über die Dauer der Betriebszugehörigkeit. Die meisten Inhalte bleiben auch nach dem Ausscheiden des Mitarbeiters noch einige Jahre gespeichert. Zugriffsrechte ohne Grund, unkontrollierte Ablagen oder fehlende Löschkonzepte führen in der Praxis immer wieder zu teils gravierenden Datenschutzverstößen.
Die DSGVO verlangt gemäß Art. 32 geeignete technische und organisatorische Maßnahmen (TOM). Sehr lobenswert, wenn diese auf Papier vorhanden sind. Die praktische Herausforderung liegt allerdings darin, diese Maßnahmen auch zu leben und umzusetzen.
Was sind die ersten Schritte zur internen Absicherung?
Im ersten Schritt ist festzulegen, wer im Unternehmen Zugriff auf Personaldaten benötigt. Hier ist konsequent das „Need-to-know“-Prinzip anzuwenden. Es ist im Vorfeld zu klären, welche Personen Zugriff auf welche Daten benötigen.
Die Zugriffsrechte sind anschließend technisch sauber umzusetzen. Die Einrichtung und Änderungen erfolgen dabei nach dem Vier-Augen-Prinzip. Eine regelmäßige Prüfung und die konsequente Dokumentation dieser Rechte sind dri…
Weiterlesen mit Abo