DSGVO und die digitale Personalakte

Die digitale Personalakte unter dem Regime der EU-DSGVO:

Spätestens seit die Meldungen an die Sozialversicherungsträger und die Steuerbehörden elektronisch zu erfolgen haben, gehören digitale Vorgänge im Personalbereich zum Standard. Schon bisher stand die digitale Verarbeitung der Mitarbeiterdaten im Fokus der Datenschutzgesetze. Dies ändert sich auch mit der EU-DSGVO nicht. Denn es gibt kaum sensiblere personenbezogene Daten als im HR. Die bisherigen strengen Regelungen des Bundesdatenschutzgesetzes und dem durch die Gerichte gestärkten Forderungen nach Vertraulichkeit greift die EU-Regelung weitgehend auf und stellt insbesondere an die „differenzierte Vergabe von Zugriffsrechten“ hohe Anforderungen. In dem Zusammenhang gewinnen digitale Personalakten an Bedeutung. Wenn Sie Ihre digitalen Personalakten nun auf Ihre DSGVO-Konformität prüfen, beachten Sie nicht nur die technische Seite Ihrer Software sondern vor allem auch Ihre internen Prozesse sowie die bauliche und technische Sicherheit Ihrer Personalabteilung. Denn im Zweifel ist Ihre digitale Personalakte aus der Cloud sicherer als Ihre internen HR-Prozesse.

Alle HR-Prozesse gehören auf den Prüfstand

Die Personalabteilung arbeitet mit einer Unmenge an personenbezogenen Daten sowie persönlichen Dokumenten. Richtig heikel sind digitale Personalakten nicht nur wegen Namen und Anschrift der Mitarbeiter oder Bewerber. Vielfach enthalten sie neben Lebensläufen auch extrem schutzwürdige Dokumente wie Zeugnisse, Pfändungsurteile, Führungszeugnisse oder medizinische Daten. Viele HR-Manager verarbeiten diese mit digitalen Personalakten; immer öfter auch mit Lösungen aus der Cloud. Im besten Falle waren diese bisher BDSG-zertifiziert. Für die Entgeltabrechnung arbeiten viele auch zusammen mit der Buchhaltung, die traditionell Software einsetzt und vielfach bereits Systeme aus der Cloud verwendet, wie die von Sage.

Vorteil bei der Datenverarbeitung in der Cloud ist, dass nur wenige Konzerne eine IT-Sicherheit realisieren können, wie dies Cloud-Anbieter praktizieren. Das aber bewahrt Ihr Unternehmen jedoch nicht vor möglichen Datenschutzverletzungen. Ebenso wenig können Sie als HR-Chef Ihre Datenschutzaufgaben einfach an die IT delegieren. Bestenfalls macht Sie Ihr CIO oder der IT-Leiter darauf aufmerksam, dass Sie Ihre Mitarbeiter zum sorgfältigen Umgang mit den Daten der Kollegen und Bewerber anhalten sollen. Dafür aber müssen Sie als HR-Chef vor allem Ihre internen Prozesse EU-DSGVO-konform gestalten.

Webcast: DSGVO und digitale Personalakte

Personenbezogene Daten im HR und Vorteile mit einer digitalen Personalakte: Kostenfreier Webcast. 

 

Bauliche, organisatorische Maßnahmen sowie Rollen und Rechtevergabe

Denn die beste und sicherste Cloud-Lösung verhindert nicht, dass Unbefugte auf Ihre Systeme zugreifen, wenn Sie diese nicht „State oft he Art“ schützen. Dazu gehören die bauliche Trennung des öffentlichen vom internen Bereich Ihrer HR-Abteilung, organisatorische Maßnahmen wie elektronische Barrieren zum Zutrittsschutz, um Datenklau zu verhindern sowie die differenzierte Vergabe von Rollen und Rechte für die zugriffsberechtigten Mitarbeiter.

Von zentraler Bedeutung ist der Zugriffsschutz auf die digitalen Personalakten. Nicht jeder Mitarbeiter muss alle Informationen einer digitalen Personalakte einsehen dürfen. Den Personalmarketing-Experten sollten Sie jeglichen Zugriff auf die Bestandsakten der Mitarbeiter verwehren, ihnen aber natürlich die elektronischen Schnittstellen zu den Stellenmärkten öffnen. Auch die Personen, die die Entgeltabrechnung durchführen, müssen nicht auf Führungszeugnisse oder medizinische Dokumente zugreifen. Im Grunde sollte jeder Mitarbeiter zur für solche Datenbestände ein Zugriffsrecht erhalten, für deren Bearbeitung er auch befugt ist. Dieser Rollendefinition und Rechtevergabe sollten Sie größte Aufmerksamkeit schenken du sie regelmäßig auch überprüfen.

Fazit: Mach Sie Ihre HR-IT und alle Prozesse DSGVO-sicher

Nehmen Sie den Stichtag der DSGVO erst und stellen Sie alle HR-Prozesse auf den Prüfstand. Denn ab dem 25. Mai drohen drastische Strafen, die die Landes- und Bundesdatenschutzbeauftragten auch garantiert verhängen werden. Prüfen Sie, ob Ihr Software- oder SaaS-Anbieter ein Zertifikat zur DSGVO-konformen Umsetzung seiner Lösung vorlegen kann. Beachten Sie, dass eine Cloud-Lösung wie die digitale Personalakte von Sage im Zweifel heute mehr Sicherheit bietet, als eine IT-Abteilung in einem kleinen oder mittelgroßen Unternehmen bieten kann. Vor allem bei den internen Schutzmaßnahmen sollten Sie jetzt aufrüsten. Unser Webcast gibt Ihnen eine Übersicht, was Sie beachten müssen. Weitere Informationen für Ihr Unternehmen und die Finanzbuchhaltung finden Sie bei uns im DSGVO-Special