EU-Datenschutz-Grundverordnung: Das muss die Personalabteilung beachten.

Eine der weitreichendsten gesetzlichen Neuerungen in 2018 betrifft das Thema Datenschutz: Seit dem 25. Mai 2018 gilt die neue EU Datenschutz-Grundverordnung (EU-DSGVO) verbindlich für alle Unternehmen. Sie hat weitreichende Auswirkungen für Unternehmen und ihren Umgang mit personenbezogenen Daten. Die HR-Arbeit ist davon besonders betroffen. Denn sie verarbeitet ähnlich wie die Buchhaltung in vielen ihrer Prozesse persönliche Daten von aktuellen und ehemaligen Mitarbeitern sowie Bewerbern. Bei der Umsetzung der EU-DSGVO in Ihrem Unternehmen sollten Sie als verantwortlicher HR-Chef darauf achten, dass die Infrastruktur Ihrer Datenverarbeitung die Anforderungen erfüllt. Vor allem sind Zutritts- und Zugriffskontrollen in der Personalabteilung mit ihren vielen Besuchern ein absolutes Muss.

Räumliche Trennung der HR-Prozesse

In vielen Personalabteilungen herrscht reger Publikumsverkehr. Bewerber warten auf ihre Gespräche, Bescheinigungen werden abgegeben und abgeholt. Gleichzeitig aber verarbeiten HR-Sachbearbeiter an ihren Computern persönliche Daten. Wenn die PC-Arbeitsplätze vor den Besuchern nicht strikt abgetrennt sind, besteht immer die Gefahr, dass Unbefugte unbemerkt Daten stehlen, manipulieren oder löschen. Auch unbeaufsichtigte Drucksysteme können eine offene Flanke für den Datenklau sein. Schnell ist der Ausdruck einer Mitarbeiterliste von einem Besucher entwendet, bevor der Druckbefehlende zur Stelle ist. Dann ist der Drucker schuld oder die Kollegen, die wieder kein Papier eingelegt hatten. Der Schutz vor dem Zugriff Unbefugter auf personenbezogene Daten in der HR-Abteilung kann daher gar nicht hoch genug sein. Eine EU-DSVGO-konforme Personalarbeit muss daher schon baulich bestimmte Anforderungen erfüllen und zusätzlich elektronische Barrieren errichten, um einen Datenverlust unmöglich zu machen.

Bauliche Maßnahmen zur Zutrittskontrolle

Schützen Sie alle Büros mit Datenverarbeitung mit Zutrittskontrollsysteme. Nur dafür befugte Mitarbeiter dürfen in die Büros der HR-Abteilung eintreten können. Gängige Systeme arbeiten mit Authentifizierung mittels persönlicher Zutrittskarte oder -chip und speichern Ein- und Ausgangszeit. Auch für Besucher müssen Sie den Zutritt baulich so organisieren, dass diese keinen Zugang zu Datenverarbeitungssystemen haben können. Schützen Sie dabei auch Ihre Drucksysteme. Idealerweise richten Sie für den Publikumsverkehr ein Büro oder Besprechungszimmer her, das von Büros mit Rechnern und Druckern sowie eventuelle auch noch Aktenschränken getrennt ist. Wenn Ihre HR-Abteilung diese baulichen Voraussetzungen bisher nicht erfüllte, kalkulieren Sie jetzt die Kosten und stellen Sie diese in den Budgetansatz für Ihre Abteilung ein.

Elektronische Barrieren und Zugriffskontrolle

Neben baulichen Maßnahmen zur Zutrittskontrolle müssen Sie auch die Datenverarbeitungssysteme so schützen, dass Unbefugte keinen Zugriff darauf haben können. Schließlich müssen nicht alle Mitarbeiter der Personalabteilung auf alle Daten zugreifen. Gewähren Sie den Zugriff auf sensible Daten nur für Mitarbeiter, die für deren Bearbeitung ausdrücklich berechtigt sind. Schützen Sie die Daten durch eine entsprechende Rechtevergabe in Ihren Bearbeitungssystemen. Achten Sie darauf, dass die Passwörter regelmäßig geändert werden und den allgemeinen Sicherheitsanforderungen genügen.

Trennung sensibler Daten

Achten Sie darauf, dass Daten, die für unterschiedliche Zwecke erhoben wurden, auch getrennt verarbeitet werden. So ist es ratsam, die Arbeitsverträge sowie die Personalstammakten getrennt von der Lohnabrechnungssoftware zu verwalten. Schließlich geht es einen Lohnbuchhalter nichts an, was in der Personalakte eines Mitarbeiters steht. Wichtig ist diese Trennung auch für Personen, die nur in die Datenverarbeitung für ein Bewerberverfahren einwilligten aber nicht für weitere Personalmarketingaktionen. Wobei hier anzumerken ist, dass die EU-DSGVO nun die Möglichkeit eröffnet, dass Sie Kandidaten nach ihrer Einwilligung zu künftigen Personalmarketingaktionen fragen können. Dadurch kommen Sie in die Lage, abgelehnte Bewerber zu einem späteren Zeitpunkt wieder zu kontaktieren. So bauen Sie sich mit der Zeit eine Bewerberdatenbank auf, die ihre Recruiting-Prozesse beschleunigen könnte.

Prüfen Sie Ihre Dienstleister auf EU-DSGVO-konforme Prozesse

Achten Sie auch bei Ihren Dienstleistern wie Job-Portalen und HR-Software aus der Cloud darauf, dass diese EU-DSGVO-konforme Datenverarbeitungsprozesse garantieren. In der EU-DSGVO können auch Cloud-Anbieter als Auftrags-Datenverarbeiter für Datenschutzverletzungen haftbar gemacht werden, wenn er sich Fehler zurechnen lassen muss.

Fazit

Die EU-DSGVO hat weitreichende Auswirkungen auf alle Unternehmen und besonders auf die HR- und die Finanzabteilung. Sie sollten sich deshalb in Ihrem Unternehmen dafür einsetzen, dass alle Datenverarbeitungsprozesse überprüft und angepasst werden, sofern das noch nicht geschehen ist. Denn vermutlich sind Sie bei einigen Prozessen auch darauf angewiesen, dass die IT-Abteilung mitspielt und der Geschäftsführer Ihnen Budget für die erforderlichen Mittel bereitstellt.