Sind papierbasierte Akten tatsächlich konformer mit der DSGVO?
Viele Unternehmen setzen heute auf eine digitale Personalakte. Kein Wunder, bietet diese doch im Vergleich zur herkömmlichen Papierakte zahlreiche Vorteile. Und doch gibt es immer wieder Stimmen, die eine digitale Akte hinsichtlich ihrer Sicherheit kritisieren. Erst recht seit der Einführung der DSGVO, deren Nichteinhaltung empfindliche Strafen nach sich ziehen kann. Doch sind papierbasierte Akten tatsächlich konformer mit der DSGVO?
Eine Frage vorweg: Was gehört eigentlich in eine Personalakte? Hierzu gibt es kein festes Regelwerk, weil bislang kein einheitliches Arbeitsrecht existiert. Entsprechende Vorschriften finden sich daher in unterschiedlichen Rechtsquellen. Eine Ausnahme bildet das Beamtenrecht. Hier gibt es konkrete Vorgaben, die sich speziell auf die Personalakte beziehen. Klar ist jedoch: Die Personalakte dient nicht dazu, die politische Gesinnung, den Lieblingsfußballverein oder andere persönliche Neigungen von Mitarbeitern zu sammeln und abzulegen.
Grundsätzlich gibt es einen großen Fundus an Informationen, die Unternehmen im Laufe einer Zusammenarbeit über ihre Mitarbeiter sammeln bzw. sammeln könnten. So kann das Wissen darüber, wann jemand eingestellt wurde, welche Fähigkeiten damals in der Bewerbung aufgeführt wurden oder welche Fortbildungen die Person absolviert hat, grundsätzlich wertvoll sein. Aber: Egal ob analoge oder digitale Personalakte – die hier enthaltenen Informationen unterliegen dem Datenschutz. Gerade im Hinblick auf die DSGVO und die damit verbundenen, drohenden Strafen sind viele HR-Abteilungen inzwischen hellhörig geworden: Kann die Nutzung eines elektronischen Systems nicht schnell zu Verstößen gegen die neue Verordnung führen? Denn wer weiß schon so genau, was ein solches Programm mit den eingegebenen Daten macht? Und hört man nicht ständig von Hacker-Angriffen? Sind Daten in digitaler Form überhaupt ausreichend vor unbefugtem Zugriff geschützt? Die Antwort lautet: Es kommt auf das verwendete System an.
Moderne Lösungen verfügen über Verschlüsselungs- und Rechtesysteme, die unberechtigten Zugriff erschweren. Zudem sollte eines immer bedacht werden: Die Gefahr durch Cybercrime wächst zwar und darf nicht unterschätzt werden, sie geht aber von einer vergleichsweise kleinen Bevölkerungsgruppe aus. Im Gegensatz dazu müssen analoge Personalakten praktisch vor dem Zugriff durch jedermann geschützt sein. Zudem vor Feuer, Diebstahl, höherer Gewalt, Verlust, Manipulation und so weiter.
Sensible Daten in der digitalen Personalakte
Es steht außer Frage, dass auch digitale Personalakten sensible Informationen enthalten, die keinesfalls in die Hände Unbefugter gelangen dürfen. Im Folgenden sind einige der wichtigsten Beispiele aufgeführt:
- Bewerbung mit Name, Anschrift, Lebenslauf und Zeugnissen
- Führungszeugnisse
- Medizinische Daten
- Pfändungsurteile
Nun stellt sich die Frage, welche Anforderungen erfüllt sein müssen, soll DSGVO-konform mit einer digitalen Personalakte gearbeitet werden. Grundsätzlich sind bestimmte technische und organisatorische Schutzmaßnahmen (TOM) vorgeschrieben. Hierzu zählen unter anderem bauliche Maßnahmen oder Zugangskontrollen, die aber ebenso zum Schutz von analogen Akten ergriffen werden müssen. Außerdem gilt das Konzept der Datensparsamkeit und der Datenvermeidung, das vorsieht, ausschließlich die Daten zu erfassen, die tatsächlich benötigt werden.
Des Weiteren muss die Integrität der Daten in der digitalen Personalakte gewährleistet werden, genauso wie die Transparenz. Alle gespeicherten Informationen müssen also korrekt, auf dem aktuellen Stand und darüber hinaus vom Mitarbeiter oder anderen Zugriffsberechtigten auf Wunsch einsehbar sein. Auch müssen Angestellte darüber informiert werden, welche Daten in ihrer digitalen Personalakte hinterlegt werden.
Ein weiteres wichtiges Kriterium: die Revisionssicherheit, also die Unveränderbarkeit der Akten. Diese widerspricht dem ebenfalls vorgeschriebenen Grundsatz, dass Daten auf Wunsch des betroffenen Mitarbeiters gelöscht werden müssen. Sobald der Zweck einer Datenverarbeitung erlischt oder ein Betroffener der Verarbeitung widerspricht, sind personenbezogene Daten zu löschen.
Dem stehen wiederum diverse Aufbewahrungsfristen gegenüber, die eine Datenlöschung bis zu ihrem Ende verbieten. Während dieser Zeit ist es die sinnvollste Lösung, die personenbezogenen Daten für unbefugten Zugriff zu sperren. Eine Voraussetzung dafür ist, dass der genaue Speicherort der Daten zuverlässig identifiziert werden kann und diese bei Bedarf dort entfernt oder gesperrt werden können.
Sicherheitscheck analoge vs. digitale Personalakte
Anforderung | Analoge Personalakte | Digitale Personalakte |
Integrität | Zugriff nur physisch möglich, Bedrohung durch mutwillige oder zufällige Beschädigung | Stets aktuell und im Zugriff, größerer Schutz vor Beschädigung |
Transparenz | Fehleranfällig, hohe Verantwortung der zuständigen Angestellten für die rechtskonforme Datenverarbeitung | Technologiegestützte lückenlose Dokumentation der Rechtskonformität in der Datenverarbeitung |
Schutz vor unbefugtem Zugriff | Schutz nur durch Zugangskontrollen und bauliche Maßnahmen, unbefugte Zugriffe können nicht nachgehalten werden | Durch Vergabe von Rollen- und Benutzerrechten ist der Zugriff nur für befugte Personen möglich. Missbräuche werden protokolliert und sind langfristig nachvollziehbar |
Revisionssicherheit | Leichte Manipulierbarkeit (Schwärzen, Entfernen oder Hinzufügen von Dokumenten) | Unbefugter Zugriff dank Rechtevergabe unmöglich, jegliche Änderungen werden protokolliert |
Löschung personenbezogener Daten | Bis zum Ablauf von Aufbewahrungsfristen nicht möglich | Einzelne Dokumente lassen sich sperren, sodass der Zugriff unmöglich wird. Aufbewahrungsfristen können so eingehalten werden, nach Ablauf erfolgt die Löschung |
Fazit:
Anbieterwahl entscheidend bei der Anschaffung digitaler Personalakten. Die Aufstellung zeigt: Geht es darum, die Vorschriften der DSGVO zu achten, ist die digitale Personalakte gegenüber der analogen Akte klar im Vorteil. Hinzu kommen weitere Compliance-Anforderungen wie zum Beispiel HGB oder AO. Auch diese werden von modernen Lösungen für die elektronische Personalakte abgedeckt.
Auf dem Markt existieren diverse Software-Lösungen für die digitale Personalakte. Allerdings sollte man bei der Anbieterwahl unbedingt darauf achten, dass die oben genannten Anforderungen erfüllt werden. Führende Hersteller garantieren die Rechtskonformität ihrer Lösungen und stehen außerdem bei der Implementierung beratend zur Seite. Hier sind all jene Unternehmen gut aufgehoben, die empfindlichen DSGVO-Strafen entgehen und gleichzeitig die Digitalisierung im eigenen Haus vorantreiben möchten.