Datenschutz in der Personalakte

Transkript

1 Datenschutz in der Personalakte Elektronische Personalakte datenschutzkonform umsetzen Thorsten Logemann Vorstandsvorsitzender der am beim Arbeitgeberverband Lüneburg-Nordostniedersachsen e.v. Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs. Besuchen Sie uns im Internet unter:

2 Unternehmensprofil Beratung in Datenschutz, IT-Sicherheit und IT-Forensik Firmensitz der Aktiengesellschaft (nicht börsennotiert) ist Hamburg Weitere Büros: München, Stuttgart, Berlin, Frankfurt am Main, Düsseldorf und Kiel Gegründet: 2006 Aktienkapital: 1,1 Mio. EUR 100% des Aktienkapitals im Besitz der WWK Versicherungsgruppe Umfassende Betriebs- und Vermögensschadenhaftpflicht Vorstände: Thorsten Logemann (Vorstandsvorsitz), Dr. Nils Christian Haag Aufsichtsratsvorsitzender: Herr Ralf Schmidt (WWK Versicherungsgruppe)

3 Agenda 1 Grundsätzliches zum Datenschutz 2 Elektronische Personalakte 3 Anbahnung eines Beschäftigungsverhältnisses 4 Laufendes Beschäftigungsverhältnis 5 Ausscheiden aus dem Beschäftigungsverhältnis

4 Grundsätze des Datenschutzrechts Verbot mit Erlaubnisvorbehalt Alles, was nicht ausdrücklich erlaubt ist, ist verboten!

5 Grundsätze des Datenschutzrechts Gesetzliche Grundlagen Europäische Richtlinien Grundgesetz Allgemeine Gesetze (BDSG, TMG, SGB) Ab 25. Mai 2018 EU-DSGVO

6 Grundsätze des Datenschutzrechts Erlaubnis Erlaubnistatbestände aus dem BDSG Erforderlichkeit für das Beschäftigungsverhältnis Vorliegen eines berechtigten Interesses (Abwägung) Erlaubnistatbestände aus anderen Rechtsvorschriften Betriebsvereinbarung Spezialgesetze, z.b. 93 AO Einwilligung des Betroffenen

7 Grundsätze des Datenschutzrechts Einwilligung des Betroffenen Problematisch im Beschäftigungsverhältnis! Muss freiwillig erteilt werden Widerruflich

8 Betroffenenrechte Diejenige natürliche Person, deren Daten verarbeitet werden, bezeichnet das Gesetz als Betroffener. Betroffene können beispielsweise der Mitarbeiter, der Kunde oder der Ansprechpartner eines Firmenkunden sein.

9 Betroffenenrechte Den Betroffenen räumen die Datenschutzgesetze Rechte ein: Information bei Erhebung oder Benachrichtigung bei erstmaliger Speicherung Auskunftsrecht (idr unentgeltlich) über die zu seiner Person gespeicherten Daten über die Herkunft der gespeicherten Daten über die Empfänger, an die Daten weitergegeben werden über den Zweck der Speicherung Berichtigungsanspruch bei unrichtigen Daten Löschungs- und/oder Sperrungsanspruch, wenn die Daten nicht mehr benötigt werden. Häufig werden diese Auskunftsrechte genutzt, um Beschwerden/ Klagen vorzubereiten!

11 Elektronische Personalakte Papierlose Personalabteilung - Umstellung auf die elektronische Personalakte datenschutzkonform? digital analog Datenschutzrechtliche Anforderungen bleiben gleich!

12 Elektronische Personalakte Datenschutzrechtliche Schwerpunkte zur epersa Einführung Mitbestimmungsrecht des BR Einbindung des DSB Umstellung Revisionssicheres Archivieren Datenschutzvereinbarung mit Scandienstleister Aufbewahrungsfristen prüfen Aktenführung Berechtigungskonzept Auskunftsrechte und Transparenz Löschroutinen

13 Elektronische Personalakte Darauf sollten Sie bei der epersa zusätzlich achten: TOMS prüfen! Personenbezogene Auswertungen vermeiden! Unterlagen zusätzlich im Original aufbewahren?

15 Agenda Anbahnung Online-Bewerbung, Background-Check, Bewerbungsgespräch Ablehnung Berücksichtigung für andere Stellen, Aufbewahrungs- und Löschfristen Ausscheiden Laufzettel, Aufbewahrungs- Und Löschfristen Einstellung Zeiterfassung, Personalfragebogen, Fotos, Skill-Management, Mitarbeiterbefragungen, Krankmeldungen, Personalakte, BEM

16 Online Bewerbungen Bewerbungen per oder über die Website Ermöglichen Sie eine verschlüsselte Übertragung Begrenzen Sie den Zugriff auf die Bewerberdaten Verzichten Sie auf ausufernde Analyse-Tools (keine automatisierte Einzelfallentscheidung)

17 Online-Bewerbungen

18 Background-Check (Pre-Employment-Screening) Selbst oder durch Dritten: Suchmaschinen Eigene Webseiten des Bewerbers? Zeitungen Berufsbezogene soziale Netzwerke Freizeitbezogene soziale Netzwerke O

19 Bewerbungsgespräch Zulässige Fragen im Bewerbungsgespräch: Adresse/Kontaktdaten Familienstand Alter O Schwerbehinderteneigenschaft Religion Vermögensverhältnisse Hobbies O? Rauchereigenschaft Bisheriges Gehalt Vorstrafen? O O?

20 Ablehnung Löschfristen beachten! (ca. 6 Monate nach Ablehnung) Talent-Pool nur mit Einwilligung (zumindest per ) Weitergabe der Bewerbung an Dritte (auch innerhalb des Konzerns) ebenfalls nur mit Einwilligung

22 Personalfragebogen Darf nur Fragen enthalten, die für die Durchführung des Arbeitsverhältnisses erforderlich sind (ansonsten als optional kennzeichnen) Betriebsrat muss zustimmen ( 94 Abs. 1 Satz 1 BetrVG)

23 Datenschutz in der Personalabteilung Zulässige Fragen im Personalfragebogen (Arbeitsbeginn) : Adresse/Kontaktdaten Notfallkontakt Alter, Familienstand Schwerbehinderteneigenschaft Religion Vermögensverhältnisse Hobbies? Rauchereigenschaft Bisheriges Gehalt Vorstrafen Geplante Elternzeit O O?

24 Personalausweis und Führerschein Ist das Kopieren von Personalausweis und Führerscheine zu Dokumentationszwecken zulässig?

25 Krankmeldungen AU direkt an Personalabteilung AU verschlossen aufbewahren Details vertraulich behandeln

26 BEM Der AG ist gemäß 84 Abs. 2 SGB IX dazu verpflichtet ein betriebliches Eingliederungsmanagement anzubieten! Dabei ist auf den Datenschutz zu achten: Schriftliche Einwilligung des Betroffenen erforderlich Mitbestimmungsrechte des BR wahren Unterlagen zu BEM gesondert von der Personalakte verwahren BEM-Team gemäß 5 BDSG auf das Datengeheimnis verpflichten

27 Arbeitszeiterfassung Grundsätzlich zulässig zur Vertragserfüllung bei Gleitzeit Wichtig insbesondere Transparenz Manipulationsschutz Berechtigungssystem Mitbestimmungspflichtig, 87 Abs. 1 Nr. 6 BDSG Vorabkontrolle durch DSB Unbedingt Trennungsgebot beachten Grundsätzlich keine Zusammenführung mit Daten anderer Zweckbestimmung z.b. kein Abgleich mit Videodaten der Zugangskontrolle Bei der Ahndung von Pflichtverletzungen gilt: Betriebsrat einbeziehen, entsprechend der BV vorgehen Verhältnismäßigkeit (Verdacht einer Straftat?)

28 Fotos von Mitarbeitern Verwendung grundsätzlich nur mit Einwilligung! Bildmaterial konkret bezeichnen Verwendungszwecke konkret bezeichnen Auf die Möglichkeit des Widerrufs hinweisen designed by Asierromero - Freepik.com

29 Skill-Management Mitbestimmungsrechte des Betriebsrates beachten Wie soll die Aktualität gewährleistet werden? möglichst transparent gestalten

30 Mitarbeiterbefragungen Abfrage aller AN zu subjektiven Einschätzungen über Arbeitsumfeld, Arbeitszufriedenheit, etc. i.d.r. Durchführung in anonymisierter Form bei Personenbeziehbarkeit: Freiwilligkeit der Teilnahme

32 Laufzettel Beim Ausscheiden bietet sich ein Laufzettel an Datenträger zurückgegeben (Notebook, Mobiltelefon, Tablet, USB-Sticks) Chip-Karte, Schlüssel zurückgegeben Private Daten von Laufwerken (und ggf. aus -Konto) gelöscht Damit in der IT-Abteilung Rechteentzug beantragen!

33 Aufbewahrungsfristen (nicht abschließend) Die Frist beginnt Ende des Jahres, in dem der Mitarbeiter ausgeschieden ist. Nach 3 Jahren verjähren Ansprüche auf Erteilung eines Arbeitszeugnisses, Schadensersatzansprüche, etc. Nach 6 bzw. 10 Jahren enden steuerrechtliche Aufbewahrungsfristen. Nach 10 Jahren sind Personalakten regelmäßig zu vernichten!

34 Aufbewahrung Bayerns Datenschützer sind alarmiert: Ende Juni wurden in der seit elf Jahren verlassenen Wiedemann-Klinik am Starnberger See Krankenakten und Röntgenbilder gefunden darunter auch von deutschen Fernsehstars wie Heinz Rühmann ( ), Inge Meysel ( ), Harald Juhnke ( ) und Klausjürgen Wussow ( ). Nun ermittelt die Staatsanwaltschaft!... BK S. 10

35 Als HR-Mitarbeiter sind Sie wichtiger Vermittler beim Datenschutz!

36 Vielen Dank für Ihre Aufmerksamkeit. Gern stehe ich Ihnen für Fragen zur Verfügung. Thorsten Logemann Vorstandsvorsitzender der Telefon: Hauptsitz:, Beim Strohhause 17, Hamburg Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs. Besuchen Sie uns im Internet unter: