Nils Müller

Kurzbeschreibung

Die Übersicht enthält Themen, die bei der Erstellung einer Richtlinie zum Umgang mit personenbezogenen Daten berücksichtigt werden sollten.

Vorbemerkung

Der Personalabteilung kann die Aufgabe zuteilwerden, eine Richtlinie für den Beschäftigtendatenschutz am Arbeitsplatz zu entwickeln und deren Einhaltung zu überwachen.

Es macht Sinn, bei der Erstellung anhand einer Übersicht vorzugehen. Für diese Aufgaben findet sich im Folgenden eine Übersicht, die auf die wichtigsten Problembereiche eingeht. Sie ist als Anregung zu verstehen und erhebt nicht den Anspruch auf Vollständigkeit. Die Inhalte sollten individuell auf das betreffende Unternehmen abgestimmt werden.

Übersicht zum Umgang mit personenbezogenen Daten in der Personalabteilung

  • Dokument in Textverarbeitung übernehmen

  • Keine personenbezogenen Informationen telefonisch mitteilen

    Am Telefon sollten keine personenbezogenen Informationen über den Beschäftigten mitgeteilt werden, wenn der Anrufer unbekannt ist. Ggf. sollte ein Rückruf oder eine schriftliche Anfrage vereinbart werden. Im Zweifel sollte stets die Identität des Anrufers geklärt werden. Wichtig ist hierbei Regeln aufzustellen, wie der Anrufer sich identifizieren kann. Auf bekannte Daten sollte hierbei nicht zurückgegriffen werden.

  • Erforderlichkeit klären

    Gleiches gilt für die Preisgabe von personenbezogenen Daten am Telefon, deren Weitergabe nicht erforderlich ist. So ist es nicht erforderlich, dass der Anrufer (z.B. ein Kunde) erfährt, ob oder woran der gewünschte Gesprächspartner erkrankt ist oder ob die Abwesenheit auf Mutterschutz oder Elternzeit zurückzuführen ist. Die schlichte Angabe, dass der gewünschte Gesprächspartner "abwesend" ist, sollte genügen.

  • Nur notwendige Auskünfte erteilen

    Informationen über Mitarbeiter dürfen Kollegen nur dann mitgeteilt werden, wenn diese ein klares Interesse daran haben. So wird der Schichtleiter ein Interesse daran haben, ob und wie lange ein Beschäftigter ausfällt. Nähere Gründe für den Ausfall sollten dem Schichtleiter in aller Regel nicht offenbart werden.

  • Löschfristen festlegen

    Es sollte routinemäßig überprüft werden, ob im E-Mail-Postfach, auf Laufwerken oder in anderen Systemen Beschäftigtendaten vorhanden sind, die nicht mehr benötigt werden, z.B. Performance Reports, die länger als 3 Jahre zurückliegen.

  • Datenminimierung

    Vorsicht bei Abfragen von Daten von eigenen Unternehmensgesellschaften. Häufig erreicht die Personalabteilung eine E-Mail aus dem ausländischen Hauptsitz mit der Bitte, eine Excel-Tabelle mit personenbezogenen Daten der Beschäftigten auszufüllen. Oft reicht es hier aus, die Daten zu pseudonymisieren oder gar zusammenzufassen, so dass gar kein Personenbezug mehr herstellbar ist. Auch im Unternehmensverbund gelten die Regeln der DSGVO, d.h. dass auch für eine Übermittlung von Daten an die Tochter-, Schwester- oder Muttergesellschaft stets eine Rechtsgrundlage notwendig ist und das Prinzip der Datenminimierung eingehalten werden muss.

  • Zugriffsrechte nach konkretem Bedarf festlegen

    Geachtet werden muss bei der Vergabe von Zugriffsrechten auf IT-Systeme, dass die Vergabe von Rollen und Berechtigungen stets nach dem "need-to-know" Prinzip erfolgt.

  • Manuell erstellte Listen vermeiden

    Vermieden werden sollten manuell erstellte Excel oder Word Tabellen von Beschäftigten, die Aufschluss über persönliche Verhältnisse geben.

  • Empfänger korrekt angeben und Interesse an Daten prüfen

    Beim Versand von Dateien ist stets darauf zu achten, ob die Empfänger korrekt angegeben sind und ein berechtigtes Interesse an den Daten haben. Dateien sollten mindestens passwortgeschützt verschickt werden.

  • Daten nicht einsehbar übermitteln

    Werden Personaldaten von Mitarbeitern physisch transportiert, sollten diese so transportiert werden, dass sie für Unbefugte nicht einsehbar sind (z.B. Akte in verschlossenem Umschlag, verschlüsselte und passwortgesicherte Datenträger).

  • Auskünfte nur an Betroffene bzw. Berechtigte

    Keine Auskünfte erteilen, wenn der Empfänger nicht zweifelsfrei als Betroffener oder ggf. Berechtigter identifizierbar ist.

  • Arbeitsplätze so organisieren, dass personenbezogene Daten nicht einsehbar sind

    Sind die Räume der Personalabteilung für andere Mitarbeiter frei zugänglich, so müssen die Arbeitsplätze so organisiert sein, dass Unberechtigte nicht personenbezogene Daten einsehen können (z.B. keine offenen Akten am Schreibtisch, Monitore mit Blickschutzfiltern, Arbeitsplätze so ausrichten, dass Blicke über die Schultern nicht möglich sind etc.).

  • Datenschutz bei der Übermittlung von Personaldaten beachten

    Dokumente mit Personaldaten, z.B. Arbeitsverträge, sollten postalisch nur als Einschreiben versandt werden. Werden solche Dokumente elektronisch, z.B. per E-Mail, versandt, sollten sie verschlüsselt und passwortgeschützt sein. Dem Mitarbeiter ist das Passwort zwingend auf einem anderen Kommunikationsweg (z.B. telefonisch) mitzuteilen, keinesfalls aber im selben Dokument oder mit einer weiteren E-Mail.

  • Individuelle Schrankschlüssel

    Achten Sie auf individuelle Schlösser bei Schränken. Nicht selten sind Büroräumlichkeiten mit derselben Art von Schränken ausgestatte...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Steuer Office Excellence. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge