Datenschutz im Personalbereich

Personalarbeit findet heute nicht mehr ausschließlich in Papierform statt, sondern wird in vielen Phasen maßgeblich technisch unterstützt: ob bei der Bewerberauswahl, zur Personalverwaltung, zur Zeiterfassung, zur Personalentwicklung bis hin zu vollintegrierten Systemen inkl. elektronischer Personalakte. Darüberhinaus werden viele Aufgaben an Dienstleister weitergereicht; sei es „nur“ der Support der entsprechenden IT-Anwendung oder die nahezu vollständige Auslagerung der Personalprozesse. Doch, wo personenbezogene Daten verarbeitet werden, sind auch datenschutzrechtliche Aspekte zu beachten. Viele Softwareprodukte zur Personalverwaltung bieten mittlerweile auch die Möglichkeit, eine elektronische Personalakte zu integrieren. So sind die wichtigen Unterlagen der Personalakte über das Programm abrufbar und können zielgruppenorientiert auch dezentral zur Verfügung gestellt werden, wie z. B. dem Vorgesetzten oder dem Mitarbeiter selbst. Hierbei ist auf Folgendes zu achten:

• gewissenhafte und restriktive Zugriffsberechtigungsvergabe;
• Unterscheidung zwischen Lese-, Schreib- und Änderungsrechten;
• Unterbinden/Restriktion der Downloadmöglichkeiten;
• Protokollierung jeglicher Änderungen (z. T. ist auch eine Protokollierung von Lesevorgängen sinnvoll).

Im Rahmen der Personalentwicklung werden weitere Daten über die Mitarbeiter gespeichert, die über die bloße Abwicklung des Arbeitsverhältnisses hinausgehen. So werden Informationen über die Qualifikationen, aber z. T. auch weitere Informationen im Rahmen von Zielvereinbarungsgesprächen verarbeitet. Neben einer gegenüber dem Mitarbeiter transparenten Verarbeitung, sollte auch auf ein sehr restriktives Zugriffsrechtemodell geachtet und Regeln aufgestellt werden, wie mit besonders vertraulichen Informationen umgegangen werden sollte (beispielsweise private oder finanzielle Probleme). Bei Austritt eines Mitarbeiters aus dem Unternehmen sollten die erforderlichen Stellen schnellstmöglich informiert werden (IT-Abteilung und ggf. Werksschutz/Portier zur Sperrung der entsprechenden Rechte). Dies kann durch ein „intelligentes“ System automatisiert gesteuert werden. Des Weiteren sind jene Daten und Unterlagen nach dem Austritt zu vernichten bzw. zu löschen, die nun nicht mehr benötigt werden (gesetzliche Aufbewahrungsfristen sind für spezifische Daten natürlich zu beachten). Eine Löschung bzw. Sperrung von Daten sollte aber nicht nur beim Ausscheiden eines Mitarbeiters durchgeführt werden; vielmehr sollten auch Abmahnungen, Arbeitszeitprotokolle etc. dann gelöscht werden, wenn die Speicherung nicht mehr erforderlich ist. Im Rahmen einer elektronischen Personalakte oder anderer Systeme kann dies automatisiert werden. Dies kann dadurch erreicht werden, dass Daten entweder nach einem zuvor definierten Zeitraum automatisch gelöscht oder zumindest automatisch Hinweise geniert werden, dass eine Löschung geprüft werden sollte. Somit kann eine sinnvoll konfigurierte Software den Datenschutz unterstützen. Die genannten Beispiele zeigen, dass durch die Technisierung die Anforderungen an den Datenschutz sowohl auf der technischen als auch auf der organisatorischen Seite z. T. erheblich komplexer werden. Deshalb ist es besonders wichtig, die Datenschutzaspekte schon in die Überlegungen zur Softwareauswahl und -implementierung einzubeziehen. Sinnvoll ist es daher, den Datenschutzbeauftragten frühzeitig und in allen Phasen eines solchen Projekts umfassend einzubinden, da die Erfahrung zeigt, dass eine notwendige nachträgliche Änderung zur Sicherstellung der Compliance wesentlich aufwendiger ist.