Digitale Personalakte und Datenschutz
Die digitale Personalakte und Datenschutz – ein wichtiges Thema. Was hat sich mit der EU Datenschutzgrundverordnung (DSGVO) eigentlich geändert? Wie sieht das mit der Umsetzung der Betroffenenrechte aus? Welche technischen und organisatorischen Sicherheitsmaßnahmen braucht die digitale Personalakte?
Digitale Personalakte und DSGVO
Sensible Personendaten digital verarbeiten – da schrillen bei manch einem Personaler die Alarmglocken. Insbesondere nachdem die Berliner Beauftragte für Datenschutz und Informationsfreiheit am 30. Oktober 2019 einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro an eine namhafte Immobiliengesellschaft verhängt hat. Der Grund: personenbezogene Daten wurden nicht DSGVO-konform gelöscht.
Auch in der digitalen Personalakte werden solch sensible Daten verarbeitet. Gemäß DSGVO ist daher sicherzustellen, dass die Einhaltung der Betroffenenrechte – in diesem Fall also die Rechte der Mitarbeiter – eingehalten werden. Im Einzelnen sind das:
- Informationspflicht bzgl. der Datenverarbeitung (und der Änderung der Verarbeitung), Art. 13 und 14, DSGVO
- Auskunftsrecht, Art. 15 DSGVO
- Recht auf Berichtigung, Art. 16 DSGVO
- Recht auf Löschung oder Einschränkung der Verarbeitung wenn z. B. die Datenverarbeitung nicht mehr notwendig ist, die Einwilligung widerrufen wurde, Daten nicht rechtmäßig erhoben oder verarbeitet wurden, die Löschung nach EU/Länderrecht nötig ist, oder betroffene Personen jünger als 16 Jahre sind, Art. 17 und 18 DSGVO
- Recht auf Datenübertragbarkeit, Art. 20 DSGVO
- Widerspruchsrecht (bzgl. der Datenverarbeitung), Art. 21 DSGVO
- Kein Profiling / automatisiertes Entscheiden (es sei denn, dem wurde explizit durch die Betroffenen zugestimmt), Art. 22 DSGVO
Digitale Personalakten bieten hier vielseitige Möglichkeiten, Sie bei der Umsetzung der Betroffenenrechte effektiv zu unterstützen. Angefangen bei elektronischen Akteneinsichten (Self Services), über flexible Bearbeitungsmöglichkeiten, bis zu Sperr- und Löschverfahren.
Damit jedoch nicht genug. Für die Verarbeitung personenbezogener Daten sind gemäß Artikel 32 DSGVO auch geeignete technische und organisatorische Schutzmaßnahmen (TOMs) zu ergreifen. Dazu gehören die Pseudonymisierung und Verschlüsselung von Daten, das Sicherstellen von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, Wiederherstellungsmöglichkeiten und Verfahren zur regelmäßigen Überprüfung der TOMs. Hier gilt es detailliert zu prüfen, welche Sicherheitsfunktionen die gewünschte digitale Personalakte im Bauch hat.
Sie möchten mehr erfahren?
Eine ausführliche Übersicht über das Zusammenspiel digitale Personalakte & DSGVO liefert Ihnen unser Whitepaper zur Datenschutzgrundverordnung!