Checkliste zum Umgang mit Personalakten



Ähnliche Dokumente
Checkliste zur Rechtssicherheit

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz und Systemsicherheit

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Vernetzung ohne Nebenwirkung, das Wie entscheidet

BYOD Bring Your Own Device

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Datenschutz und Schule

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

IT-Compliance und Datenschutz. 16. März 2007

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Leseprobe zum Download

Datenschutz der große Bruder der IT-Sicherheit

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Arbeitshilfen zur Auftragsdatenverarbeitung

Einführung in die Datenerfassung und in den Datenschutz

Guter Datenschutz schafft Vertrauen

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Technische und organisatorische Maßnahmen der

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Grundlagen des Datenschutzes und der IT-Sicherheit

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutz-Vereinbarung

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Datenschutz-Unterweisung

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Bestandskauf und Datenschutz?

Aufstellung der techn. und organ. Maßnahmen

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Datenschutz im E-Commerce

Monitoring und Datenschutz

D i e n s t e D r i t t e r a u f We b s i t e s

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Einführung in den Datenschutz

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Der Schutz von Patientendaten

Datenschutz in beratenden Berufen 10 Tipps & Fragen zum Umgang mit personenbezogenen Daten

Der betriebliche Datenschutzbeauftragte

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Checkliste: Technische und organisatorische Maßnahmen

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Ansätze für datenschutzkonformes Retina-Scanning

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Datenschutz und Datensicherheit im Handwerksbetrieb

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Datenschutz für den Betriebsrat PRAXISLÖSUNGEN

Checkliste zum Datenschutz

Checkliste zum Datenschutz in Kirchengemeinden

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Mittagsinfo zum Thema

Datenschutzbeauftragte

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Rechtliche Absicherung von Administratoren

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

POCKET POWER. Qualitätsmanagement. in der Pflege. 2. Auflage

Vernichtung von Datenträgern mit personenbezogenen Daten

Arbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen

Datenschutzvereinbarung

Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Datenschutz-Management

Gründe für ein Verfahrensverzeichnis

Der Datenschutzbeauftragte

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

Transkript:

Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte Daten. Für den Umgang mit ihnen formuliert vor allem das Bundesdatenschutzgesetz (BDSG) einige abstrakte Vorschriften, die für die tägliche Verwendung konkretisiert werden sollten. Dabei gilt es, technische und organisatorische Maßnahmen (TOM) zum Datenschutz gemäß Anlage zu 9 BDSG einzuhalten. Damit Sie eine erste Bewertung Ihrer bestehenden Maßnahmen vornehmen können, fasst diese Checkliste die zentralen rechtlichen Anforderungen für den Umgang mit elektronischen Personalakten für Sie zusammen. Weitere Erläuterungen finden Sie im Anhang. 1.2 Folgendes sollten Sie beachten Für die Zulässigkeit der Datenerhebung oder -verarbeitung muss grundsätzlich eine gesetzliche Erlaubnisnorm erfüllt sein. Häufig ist diese Erlaubnisnorm bei Beschäftigtendaten 32 BDSG. Alternativ muss eine andere Rechtsvorschrift die Datenverarbeitung ermöglichen (beispielsweise im Rahmen einer Betriebsvereinbarung). Eine individuelle Einwilligung von Betroffenen kommt nur in seltenen Ausnahmefällen in Betracht. 1.2.1 Erlaubnisvorbehalt der Datenverarbeitung Für die Zulässigkeit der Datenerhebung oder -verarbeitung muss grundsätzlich eine gesetzliche Erlaubnisnorm erfüllt sein. Häufig ist diese Erlaubnisnorm bei Beschäftigtendaten 32 BDSG. Alternativ muss eine andere Rechtsvorschrift die Datenverarbeitung ermöglichen (beispielsweise im Rahmen einer Betriebsvereinbarung). Eine individuelle Einwilligung von Betroffenen kommt nur in seltenen Ausnahmefällen in Betracht. 1

1.2.2 Zweckbindung Gewährleisten Sie, dass die Daten nur zur Erfüllung eines vorab definierten Zwecks erhoben und verarbeitet werden. Eine nachträgliche Zweckänderung für bereits vorhandene Daten ist im Regelfall nicht zulässig. 1.2.3 Datensparsamkeit und Datenvermeidung Sammeln Sie nicht wahllos Daten, sondern erheben Sie nur die für den definierten Zweck tatsächlich geschäftsrelevanten und notwendigen personenbezogenen Daten. Unnötige Datensammlungen verursachen nicht nur einen erhöhten administrativen und technischen Aufwand, sondern können darüber hinaus zu Haftungsrisiken für Ihr Unternehmen führen. 1.2.4 Transparenz Der Transparenzgrundsatz gewährt es jedermann, zu erfahren, von wem seine Daten zu welchen Zwecken verarbeitet werden. Aus Regelungen des BDSG oder des Betriebsverfassungsgesetzes können sich unterschiedliche Auskunfts- oder Einsichtsrechte von Beschäftigten ergeben. Mit Unterstützung von optimierten Geschäftsprozessen können Sie eine Wahrnehmung der Auskunftsrechte mit geringem Aufwand realisieren. 1.2.5 TOM Achten Sie zur Gewährleistung der Datensicherheit auf die Einhaltung aller technischen und organisatorischen Schutzmaßnahmen (TOM) nach Anlage zu 9 des BDSG bitte beachten Sie dazu auch die Erläuterungen in Anlage. 1.2.6 Vorabkontrolle und Verfahrensverzeichnisse Vor der Einführung eines elektronischen Personalaktensystems kann eine Kontrolle und Freigabe durch Ihren betrieblichen Datenschutzbeauftragten erforderlich sein. Unterstützen Sie Ihren betrieblichen Datenschutzbeauftragten, indem Sie ihm ein Verfahrensverzeichnis zukommen lassen, welches die wesentlichen Charakteristiken der bei Ihnen betriebenen elektronischen Personalakte dokumentiert. 2

2 Erläuterungen Personenbezogene Daten werden vor allem durch das Bundesdatenschutzgesetz (BDSG) geschützt. Es erlaubt die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten jedoch nur in einem begrenzten Umfang. Der Umgang mit den personenbezogenen Daten ist an unterschiedliche Bedingungen geknüpft. Ein wichtiges Thema sind Datensparsamkeit und Datenvermeidung ( 3a BDSG). Das heißt, Arbeitgeber dürfen nur die für einen bestimmten Zweck zwingend notwendigen Daten erheben und verarbeiten. Welche Daten für einen Verarbeitungszweck zwingend notwendig sind, muss bereits vor der Datenerhebung geklärt sein. Das wahllose Sammeln von Daten und deren Auswertung nach Ad-hoc-Fragestellungen ist nicht zulässig. Zudem kann bei Beachtung der Datensparsamkeit das Risiko von Datenpannen minimiert werden. Das Prinzip der Integrität der Daten, das heißt die Gewährleistung von Richtigkeit und Vollständigkeit der Daten, ist eine zentrale Anforderung. Arbeitgeber müssen sicherstellen, dass die personenbezogenen Daten korrekt sind und es auch bleiben. Durch die automatisierte Übernahme von Mitarbeiterstammdaten aus einem HR-System lassen sich ungewollte Veränderungen der Arbeitnehmerdaten durch eine fehlerhafte manuelle Eingabe vermeiden. Dazu muss sowohl der verlustfreie und korrekte Datentransfer zwischen den Applikationen als auch die richtige Zuordnung von Dokumenten zu den jeweiligen Personenakten gesichert sein. Integrität betrifft zudem Punkte wie das ordnungsgemäße Scannen und Lesbar-Machen von Dokumenten sowie den Schutz vor Veränderungen durch eine langfristig revisionssichere Archivierung. Hier muss ebenfalls gewährleistet sein, dass im gesamten Prozessablauf die Integrität der Daten gewahrt bleibt. Der datenschutzrechtliche Grundsatz der Transparenz der Datenerhebung und Datenverarbeitung ist stets zu beachten. In der praktischen Umsetzung können sich daraus Prüfungspflichten des betrieblichen Datenschutzbeauftragten im Rahmen einer Vorabkontrolle sowie Einsichtsrechte des betroffenen Mitarbeiters ergeben. Ein Mitarbeiter kann beispielsweise gemäß 34 BDSG Auskunft zu den über ihn gespeicherten Daten beantragen oder unter entsprechenden Voraussetzungen bei der Einsicht in seine Personalakte einen Betriebsrat hinzuziehen (vergleiche 83 Betriebsverfassungsgesetz). 2.1 Technische und organisatorische Schutzmaßnahmen (TOM) Die Anlage zu 9 BDSG beschreibt, welche technischen und organisatorischen Schutzmaßnahmen (TOM) Arbeitgeber im Umgang mit elektronischen Akten treffen müssen. Die elektronische Personalakte unterstützt sie dabei in fast allen Belangen. Dennoch gilt es einige Dinge zu beachten, die nachfolgend exemplarisch dargestellt sind: 3

2.1.1 Zutrittskontrolle Stellen Sie sicher, dass nur befugte Mitarbeiter Zutritt zu den Räumlichkeiten haben, welche für die Verarbeitung personenbezogener Daten relevant sein können. Dies gilt nicht nur für reine Büroräume sondern beispielsweise auch für Serverräume oder Archivräume, welche für die Datenverarbeitung relevant sind. 2.1.2 Zugangskontrolle Gewährleisten Sie, dass nur befugtes Personal über die nötigen Login-Daten für die Nutzung der elektronischen Personalaktenlösung, beziehungsweise der zugrundeliegenden IT-Systeme, verfügt. Dabei sollten personalisierte Zugangskonten verwendet und die Weitergabe von Daten an Dritte unterbunden werden. Eine Abmeldung der Nutzer bei jedem Verlassen des Rechnerarbeitsplatzes sollte gelebte Unternehmenspraxis sein. 2.1.3 Zugriffskontrolle Mitarbeiter sollten nur auf Dokumente oder Inhalte zugreifen können, für die sie entsprechend berechtigt sind. Die Berechtigungssteuerung kann beispielsweise über die rollenbasierte Zuweisung von Rechten erfolgen. Durch Funktionstrennung sollte der Zugriff von unbefugten Mitarbeitern auf Inhalte von Personalakten unterbunden werden. 2.1.4 Weitergabekontrolle Durch die Weitergabekontrolle wird erreicht, dass Daten beispielsweise nicht unbefugt gelesen, kopiert oder verändert werden können. Dies wird in einer elektronischen Personalakte durch entsprechende dokumentenbezogene Berechtigungssteuerung und Verschlüsselungstechniken gefördert. Bei der Überlassung an Dritte, beispielsweise beim physischen Transport von Papierakten, ist eine sichere Aufbewahrung von Personalakten in verschlossenen Behältern empfehlenswert. Darüber hinaus sollte dokumentiert sein, wann welche Daten an wen übertragen wurden und es kann eine Vereinbarung zur Auftragsdatenverarbeitung erforderlich sein. Eine elektronische Personalakte kann diese Dokumentationspflichten durch Automatisierung der Dokumentation erheblich vereinfachen. 2.1.5 Eingabekontrolle Durch Maßnahmen der Eingabekontrolle können Sie nachträglich überprüfen, ob und von wem bestimmte personenbezogene Daten eingegeben, verändert oder entfernt worden sind, um technische Fehler oder Missbrauchshandlungen aufzuklären. Die elektronische Personalakte ermöglicht diese Nachvollziehbarkeit ohne technisch-administrativen Zusatzaufwand. 4

Die Zugriffe auf Protokolldaten zur Eingabekontrolle werden nur Berechtigten zugänglich gemacht, unterliegen der strengen Zweckbindung und dürfen nicht anderweitig genutzt werden. 2.1.6 Auftragskontrolle Als Auftraggeber müssen Sie dafür sorgen, dass die von Ihnen an Dritte, etwa einen Scandienstleister, übergebenen Daten nur so verarbeitet werden, wie Sie es vertraglich vorgegeben haben. Zur Kontrolle von Auftragnehmern empfiehlt sich häufig die Prüfung von Dokumenten und Zertifikaten, um einen Eindruck zur Art und Weise der Datenverarbeitung zu gewinnen. 2.1.7 Verfügbarkeitskontrolle Es muss sichergestellt werden, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Dies kann beispielsweise durch folgende Maßnahmen erfolgen: { Unterbrechungsfreie Stromversorgung { Klimatisierung { Datenträgerspiegelung { Backupkonzept { Virenschutzkonzept { Schutz vor Diebstahl { Überspannungsschutz { Brandschutzmaßnahmen Hinweis: Dieses Dokument kann nur allgemeine Hilfestellung zum Umgang mit elektronischen Personalakten geben. Für eine individuelle Umsetzung sprechen Sie uns bitte an: Ansprechpartner Matthias Edel, Senior Consultant und Produktmanager Personalakte, forcont business technology gmbh E-Mail: matthias.edel@forcont.de 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback