Bis heute werden in vielen Unternehmen Personaldaten fehlerhaft, unvollständig, aber vor allem nicht DSGVO-konform gespeichert und verwahrt. Obwohl die im Mai 2018 in Kraft getretene EU-Datenschutzverordnung (DSGVO) konkrete Forderungen an den Schutz von Personaldaten stellt, ergeben betriebliche Prüfungen nach wie vor ein großes Defizit beim Datenschutz von Personaldaten. Dadurch geraten zahlreiche Unternehmen in Gefahr, gegen die strengen Auflagen des Datenschutzes zu verstoßen. Hier erfahren Sie, wie Sie den Datenschutz Ihrer Personaldaten gewährleisten.
Welche Personaldaten müssen geschützt werden?
Nahezu alle personenbezogenen Daten von Mitarbeitern werden in der Personalakte erfasst.
Folgende Personaldaten sind davon betroffen:
- Daten aus dem Bewerbungsverfahren
- Arbeitsvertragsdaten
- Urlaubsanträge
- Fortbildungen
- Zeugnisse
- Steuerinformationen
- Personalgespräche
- Angaben zur Sozialversicherung
- ...
All diese Daten sind streng vertraulich und müssen deshalb entsprechend geschützt werden. Diese Anforderungen stellen vor allem IT-Leiter vor große Herausforderungen.
Artikel 88 „Datenverarbeitung im Beschäftigungskontext“ der DSGVO legt fest, wie personenbezogene Daten in Unternehmen gespeichert und verarbeitet werden dürfen. Ergänzt wird er durch den Artikel 32 DSGVO und den § 26 Bundesdatenschutzgesetz, der ebenfalls im Mai 2018 in Kraft getreten ist. Das betrifft sowohl digitale Personalakten als auch die Papierversion.
Da es sich bei den Daten von Beschäftigten jedoch auch um Gesundheitsdaten oder Angaben zur Religionszugehörigkeit handelt, unterliegen sie einem sehr hohen Schutz. Geraten diese Daten in die Hände Dritter, sind die Folgen fatal.
Dreh- und Angelpunkt der inzwischen geltenden DSGVO sind erhöhte Transparenz, Rechenschafts- und Dokumentationspflichten, die Ausweitung der Betroffenenrechte, erhöhte Informationspflichten für den Arbeitgeber sowie erhöhte Bußgelder.
Auch Ihre Personalabteilung unterliegt der Rechenschaftspflicht
Seit Einführung der DSGVO muss auch Ihr Unternehmen jederzeit nachweisen können, dass alle Vorschriften befolgt werden. Das hat zur Folge, dass vor allem auch Ihre Personalabteilung weitaus mehr dokumentieren muss als vor deren Inkrafttreten.
Im Rahmen der Rechenschaftspflicht müssen Sie als Arbeitgeber im Verfahrensfall vor einer Aufsichtsbehörde nachweisen können, dass die Regelungen eingehalten wurden. Darunter fällt z.B. auch, dass eine Erlaubnis zur Datenverarbeitung durch den Mitarbeiter vorhanden sein muss oder dass Vorkehrungen zum Datenschutz getroffen wurden.
>>> Arbeitsrechtlich bedeutet das, dass Ihr Unternehmen keine personenbezogenen Daten ohne vorherige Einwilligung verarbeiten darf.
Vor allem Ihre Mitarbeiter, aber auch Bewerber, haben weitaus mehr Rechte als zuvor, die sich vor allem auf eine Erweiterung der Auskunftsrechte zur Herkunft und zum Verarbeitungszweck ihrer Daten bezieht. Gibt es hier einen Verstoß, können die Betroffenen Schadensersatzansprüche geltend machen. Deshalb muss vor allem Ihre HR-Abteilung darauf achten, dass sie bei Recruiting-Prozessen ihren Transparenz- und Dokumentationspflichten nachkommt.
Höchste Sorgfalt bei gedruckten Personaldaten
Werden Dokumente, die personenbezogene Daten enthalten, einfach ungeschreddert über den regulären Haus- bzw. Firmenpapierkorb entsorgt, bilden sie bereits die Grundlage für rechtliche Konsequenzen, die zu hohen Strafen führen können. Ein Aktenvernichter, der auf zwei Zentimeter eingestellt ist, ist daher ein Muss, um gedrucktes Papier ordnungsgemäß zu entsorgen. Optimal wäre, wenn Sie Personalakten daher digital speichern.
Gefahr Nr. 1 für den Datenschutz: private Speicherlösungen für Personaldaten
Geben Sie in Ihrem Unternehmen nicht konsequent einen Weg vor, wie Daten gespeichert und verwahrt werden müssen, lässt es sich nicht vermeiden, dass der ein oder andere Mitarbeiter eine private Lösung zur Speicherung nutzt.
Was in der Handhabung schnell und unkompliziert aussieht, birgt jedoch eine große Gefahr für den Datenschutz, vor allem wenn personenbezogene Daten des Unternehmens darauf gespeichert werden. Damit verlieren Sie als Verantwortlicher jegliche Kontrolle über diese Daten und geraten umgehend ins Kreuzfeuer der Aufsichtsbehörden.
Augen auf bei der Übermittlung von Personaldaten an Steuerberater, Anwalt & Co
Aber auch beim Übertragen personenbezogener Daten an Externe gibt es nach wie vor viele Schwachstellen, die man in der Online-Kommunikation zwingend berücksichtigen muss. Denn eine Übermittlung von sensiblen Daten an Anwälte oder Steuerberater per E-Mail ist generell kritisch. Sämtliche Daten müssen mindestens mit einem Passwort geschützt sein. Der Datenversand als Anhang – ohne jeglichen Schutz – birgt jedenfalls ein immenses Risiko und widerspricht völlig den Grundsätzen der DSGVO.
>>> Inzwischen setzen zahlreiche Unternehmen eine digitale Personalakte ein. Sie bietet eine moderne Art der Datenverarbeitung und ist sehr vielschichtig in der Kontrolle der Datenschutzfunktionen. Verwendet werden sollte jedoch ein sicherer Datenspeicher, der allen Anforderungen von EU-DSGVO und BDSG gerecht wird. Sorgen auch Sie für eine maximale Sicherheit von Personaldaten.
Artikel nach Kategorien
- News (94)
- Datenschutz & DSGVO (82)
- Compliance (80)
- Produkt & Features (75)
- Wertvolle Tipps & Use Cases (58)
- Compliance, Datenschutz & DSGVO (45)
- Datenaustausch & Datentransfer (37)
- Gesundheitswesen (24)
- Integration & Partner (23)
- API (22)
- Finanzwesen (19)
- Finance (15)
- KRITIS (12)
- Auszeichnungen (11)
- Behörden & Kommunen (11)
- THE NEXT STEP (11)
- Health (7)
- Human Resources (7)
- Steuerberater (6)
- Steuerberater, Wirtschaftsprüfer & Rechtsanwälte (6)
- Valuable Tips & Use Cases (6)
- Wirtschaftsprüfer & Rechtsanwälte (6)
- Women in IT (5)
- Microsoft Office365 (4)
- Compliance, Data Privacy & GDPR (3)
- 6 Fragen an... (2)
- Authorities and Communes (2)
- Outlook (2)
- Teams & Co. (2)
- Product & Features (1)
Rechtliche Anforderungen des Digital-Gesetzes (DigiG)
Die digitale Transformation des deutschen Gesundheitswesens nimmt mit dem Digital-Gesetz (DigiG) an Fahrt auf. Von der Einführung der elektronischen...
Wieso ist sicherer Dateiaustausch bei DORA so wichtig?
Was ist der Digital Operational Resilience Act (DORA)? Obwohl viele Finanzinstitute bereits auf einem guten Weg sind, die Anforderungen von DORA...