Checkliste zur Rechtssicherheit



Ähnliche Dokumente
Checkliste zum Umgang mit Personalakten

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutz und Systemsicherheit

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

BYOD Bring Your Own Device

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Vernetzung ohne Nebenwirkung, das Wie entscheidet

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

IT-Compliance und Datenschutz. 16. März 2007

Leseprobe zum Download

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Monitoring und Datenschutz

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Gesetzliche Aufbewahrungspflicht für s

Checkliste zum Datenschutz in Kirchengemeinden

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Checkliste: Technische und organisatorische Maßnahmen

Datenschutz der große Bruder der IT-Sicherheit

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Der betriebliche Datenschutzbeauftragte

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutz in beratenden Berufen 10 Tipps & Fragen zum Umgang mit personenbezogenen Daten

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Aufstellung der techn. und organ. Maßnahmen

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Datenschutz für den Betriebsrat PRAXISLÖSUNGEN

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Technische und organisatorische Maßnahmen der

Datenschutz-Unterweisung

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Checkliste: Technische und organisatorische Maßnahmen

Datenschutz-Vereinbarung

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Guter Datenschutz schafft Vertrauen

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Datenschutz und Schule

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Einführung von DMS in 5 Schritten

Vernichtung von Datenträgern mit personenbezogenen Daten

Die Aktive Projektakte. Archiv- und Digitalisierungslösungen für den Anlagenbau

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH

Begriffe. Rechtliche Grundlagen des Datenschutzes

Checkliste zum Datenschutz

Datenschutzbeauftragte

POCKET POWER. Qualitätsmanagement. in der Pflege. 2. Auflage

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Datenschutz im E-Commerce

Studieren- Erklärungen und Tipps

Kassenzahnärztliche Vereinigung Bayerns KZVB

Öffnung dienstlicher E Mailfächer Wann darf der Arbeitsgeber tätig werden?

mit freundlicher Genehmigung der Kanzlei Kemper & Kollegen und ihres Mandanten Kurzgutachten

Datenschutz und -Sicherheit. Gesetzeskonformer. Datenschutz schützt nicht nur Ihre Gäste, sondern auch Sie.

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

D i e n s t e D r i t t e r a u f We b s i t e s

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Quick Check Datenschutzkonzept EDV und TK

Grundlagen des Datenschutzes und der IT-Sicherheit

Ansätze für datenschutzkonformes Retina-Scanning

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

2.4.7 Zugriffsprotokoll und Kontrollen

Jahresbericht Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

CRM und Datenschutz. Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit

GPP Projekte gemeinsam zum Erfolg führen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN

Rechtliche Absicherung von Administratoren

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Transkript:

Checkliste zur Rechtssicherheit Was sollten Sie für einen rechtskonformen Umgang mit Personalakten beachten? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit besonders schützenswerte Daten. Für den Umgang mit ihnen formulieren das Bundesdatenschutzgesetz (BDSG) sowie das Betriebsverfassungsgesetz (BetrVG) einige Richtlinien und Vorschriften. Darüber hinaus gilt es eventuelle Betriebsvereinbarungen und technische wie organisatorische Schutzmaßnahmen (TOM) einzuhalten. Damit Sie auf der sicheren Seite sind, fasst diese Checkliste die zentralen rechtlichen Anforderungen im Umgang mit elektronischen Personalakten für Sie zusammen. Erläuterungen zu den Einzelpunkten finden Sie im Anhang. Folgendes müssen Sie beachten: Erlaubnis: Achten Sie darauf, dass von allen Ihren Mitarbeitern eine Einwilligung zur Datenerhebung vorliegt. Transparenz: Informieren Sie Ihre Mitarbeiter über die Art, Umfang und Grund der Datenerhebung. Stellen Sie jederzeit sicher, dass Ihre Arbeitnehmer die Möglichkeit haben, in die über sie geführten Personalakten Einsicht zu nehmen. Integrität: Stellen Sie sicher, dass die personenbezogenen Daten korrekt sind und es auch bleiben. Zweckbindung: Gewährleisten Sie, dass die Daten nur für den vorher definierten Zweck erhoben werden. Datensparsamkeit& Datenvermeidung: Sammeln Sie nicht wahllos Daten, sondern erheben Sie nur die tatsächlich geschäftsrelevanten und notwendigen personenbezogenen Daten 1

TOM: Achten Sie auf die Einhaltung aller technischen und organisatorischen Schutzmaßnahmen (TOM) nach Anlage zu 9 des BDSG. (Näheres unter Erläuterungen.) Vorabkontrolle: Vor der Einführung einer elektronischen Personalaktenlösung müssen Sie das System durch Ihren betrieblichen Datenschutzbeauftragten kontrollieren und freigeben lassen. Erläuterungen Personenbezogene Daten werden in besonderer Weise durch das Bundesdatenschutzgesetz (BDSG) geschützt. Es erlaubt die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten jedoch nur in einem begrenzten Umfang ( 28 und 32). Das heißt, der elektronische Umgang mit den personenbezogenen Daten ist an unterschiedliche Bedingungen geknüpft. { Ein wichtiges Forderungsbündel sind Datensparsamkeit und Datenvermeidung ( 3a BDSG). Das heißt, Arbeitgeber dürfen nur die zwingend notwendigen Daten erheben und verarbeiten. Diese Forderung dient vor allem der Prävention von Datenschutzverletzungen. Je weniger Daten erhoben werden, umso weniger Datenpannen können auftreten. Was zwingend notwendig ist, muss auch vor der Datenerhebung geklärt sein. Ein wahlloses Sammeln von Daten und eine spätere Auswertung nach ad-hoc Fragestellungen ist nicht zulässig. { Das Prinzip der Richtigkeit oder, im Kontext von Datenhaltung und Verarbeitung etwas konkretisiert, die Integrität der Daten ist eine zentrale Anforderung. Arbeitgeber müssen sicherstellen, dass die personenbezogenen Daten korrekt sind und es auch bleiben. Durch die automatisierte Übernahme von Mitarbeiterstammdaten aus dem führenden HR-System lassen sich etwa die Veränderungen der Arbeitnehmerdaten durch eine fehlerhafte manuelle Eingabe vermeiden. Dazu muss natürlich der verlustfreie und korrekte Datentransfer zwischen den Applikationen gesichert sein. Integrität betrifft zudem Punkte wie das ordnungsgemäße Scannen und lesbar machen von Dokumenten sowie den Schutz vor Veränderungen durch eine langfristig revisionssichere Archivierung. 2

{ Transparenz bei der Datenerhebung und Datenverarbeitung ist eine weitere gesetzliche Verpflichtung. Hieraus ergeben sich etwa das Einsichtsrecht des betroffenen Mitarbeiters in seine Akte ( 34 BDSG) und die Möglichkeit zur Kontrolle des Systems durch den Datenschutzbeauftragten eines Unternehmens. Systemseitig muss es also möglich sein, Dritten jederzeit einen Zugriff auf Personalakten zu gewähren, beispielsweise dem Betriebsrat (nach 83 BetrVG). Technische und organisatorische Schutzmaßnahmen (TOM) Die Anlage zu 9 des BDSG beschreibt, welche technischen und organisatorischen Schutzmaßnahmen (TOM) Sie als Arbeitgeber im Umgang mit elektronischen Akten treffen müssen. Die elektronische Personalakte unterstützt sie dabei in fast allen Belangen. Dennoch gilt es einige Dinge zu beachten. 1. Zutrittskontrolle Stellen Sie sicher, dass nur befugte Mitarbeiter Zutritt zu den Räumlichkeiten haben, in denen die Verarbeitung personenbezogener Daten stattfindet. 2. Zugangskontrolle Gewährleisten Sie, dass nur befugtes Personal über die nötigen Login-Daten für die Nutzung der elektronischen Personalaktenlösung verfügt. 3. Zugriffskontrolle Erstens dürfen Ihre Mitarbeiter nur auf die Inhalte zugreifen können, für die sie berechtigt sind. Zweitens muss sichergestellt sein, dass die Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Hier leistet die elektronische Personalakten-Anwendung schon sehr viel. Sie müssen nur dafür Sorge tragen, dass auch niemand über Umwege und Hintertüren in Ihrer IT auf die Daten zugreifen kann, etwa durch ungesicherte Netzwerke. 3

4. Weitergabekontrolle Ähnlich wie bei dem vorherigen Punkt geht es um die Vermeidung unberechtigter Zugriffe und Veränderungen durch die eine physische oder digitale Weitergabe der Daten. Sie müssen protokollieren, wem Sie die Daten wofür zur Verfügung stellen. Beim physischen Transport, etwa zu einem Dienstleister, müssen Ihre Personalakten in verschließbaren Behältern aufbewahrt werden. Ebenso muss sich der Dienstleister dem Datenschutz verpflichten (Auftragsdatenvereinbarung). 5. Eingabekontrolle Sie müssen nachträglich überprüfen können, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. Die elektronische Personalakten-Lösung macht diese Nachvollziehbarkeit möglich. Stellen Sie aber sicher, dass sich nur berechtigtes Personal einloggen kann. 6. Auftragskontrolle Als Auftraggeber müssen Sie dafür sorgen, dass die von Ihnen an Dritte, etwa einen Scandienstleister, übergebenen Daten, nur so verarbeitet werden, wie Sie es beabsichtigt haben. Nehmen Sie unbedingt Ihre Kontrollrechte war. 7. Verfügbarkeitskontrolle Es muss sichergestellt werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Themen sind etwa: Brandschutzmaßnahmen Überspannungsschutz Unterbrechungsfreie Stromversorgung Klimaanlage Festplattenspiegelung Backupkonzept Virenschutzkonzept Schutz vor Diebstahl 4

Diese Checkliste und auch die Erläuterungen können natürlich nur eine Hilfestellung für die zentralen Kriterien eines rechtskonformen Umgangs mit personenbezogenen Daten und elektronischen Personalakten sein. Sollten Sie bei einigen Punkten im Zweifel sein, ob und wie sie sich in Ihrem Unternehmen umsetzen lassen, ziehen Sie bitte eine professionelle Rechtsberatung hinzu. Über forcont Die forcont business technology gmbh (www.forcont.de) ist ein auf Enterprise Content Management (ECM) spezialisiertes Softwarehaus mit Hauptsitz in Leipzig und einer Geschäftsstelle in Berlin. Das 1990 als IXOS Anwendungs-Software GmbH gegründete Unternehmen bietet standardisierte Anwendungsprodukte und individuelle Projektlösungen zur Steuerung dokumentenlastiger Geschäftsprozesse alternativ auch als Softwareas-a-Service (SaaS) aus der Cloud. Die technologische Basis ist die Software forcont factory FX. forcont leistet zudem den kompletten Service im ECM-Umfeld von SAP. Zu den mehr als 200 Kunden (http://www.forcont.de/ unternehmen/referenzen) zählen so namhafte Unternehmen und Einrichtungen wie ALBA Group plc & Co. KG, Deutsche Solar GmbH, Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR), GASAG Berliner Gaswerke AG, Radeberger Gruppe KG, Total Deutschland GmbH und TRW Airbag Systems GmbH. Ansprechpartner Matthias Edel, Senior Consultant und Produktmanager Personalakte, forcont business technology gmbh E-Mail: matthias.edel@forcont.de 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback