Datenschutz und Datensicherheit bei elektronischer (Personal-

)Aktenführung

inPuncto-Seminar 2014

Andreas Stork

Andreas Stork

AGENDA

1. Arbeitnehmerdatenschutz und Aufbewahrungspflichten

2. Technische und organisatorische Maßnahmen

3. Risikovermeidung und Zertifizierung

1. ARBEITNEHMERDATENSCHUTZ UND AUFBEWAHRUNGSPFLICHTEN

• Struktur

• Einsichtsrechte

• Datenschutzaspekte

• Aufbewahrungsfristen

Struktur der ePersonalakte • Weder Form noch Inhalt sind

gesetzlich geregelt • Sammlung der für das Arbeits-

verhältnis relevanten Unterlagen

• Keine grundlegende Unter-scheidung zwischen eAkte und pAkte

• Aus der Rechtsprechung ent-wickelte Grundsätze: • Transparenz • Richtigkeit • Zulässigkeit • Vertraulichkeit

Quelle: Wikipedia

Einsichtsrecht in die Personalakte: Grundlage

Quelle: Verdi

Einsichtsrecht in die Personalakte: Praxis

• Berechtigter Personenkreis: Alle Arbeitnehmer

• Umfang der Einsichtnahme: Sämtliche Personaldaten (entschlüsselt)

• Durchführung: - Während der Arbeitszeit - Einsicht kann unter Aufsicht stattfinden - Akte reist – nicht der Mitarbeiter - Notizen sind zulässig - Kopien (auf eigene Kosten) möglich

• Hinzuziehung Dritter: Mitglied des Betriebsrats Bevollmächtigung möglich Schwerbehinderte: Vertrauensmann Betroffene (BDSG): Datenschutzbeauftr. Öffentlicher Dienst: Frauen- bzw. Gleich- stellungsbeauftragte

Zulässigkeit nach Bundesdatenschutzgesetz

• Seit 01.09.2009: Arbeitnehmerrechte im BDSG

• Davor: § 28 Abs. 1 S. 1 Nr. 1 BDSG „... wenn es für Begründung, Durch- führung und Beendigung eines rechtge- schäftsähnlichen Schuldverhältnisses er- forderlich ist“

• Aktuell: § 32 BDSG erlaubt die „Datenverarbeitung zur Begründung, Durchführung und Beendigung des Be- schäftigungsverhältnisses“

Datenschutzaspekte und Aufbewahrung

Gesetzliche Aufbe-

wahrung

Gesetzliche Aufbe-

wahrung

Vermeidung von

Rechts- risiken

Vermeidung von

Rechts- risiken

Datenspar- samkeit

Datenspar- samkeit

Datenver- meidung Datenver- meidung

Aufbewahrungsfristen in der Personalakte

6 Monate 6 Monate

Eigene (End-) Zeugnisse

Eigene (End-) Zeugnisse

2 Jahre 2 Jahre

Jugendschutz-unterlagen

Jugendschutz-unterlagen

Mutterschutz-unterlagen

Mutterschutz-unterlagen

Arbeitszeit-unterlagen Arbeitszeit-unterlagen

3 Jahre 3 Jahre

Arbeits-verträge Arbeits-verträge

Beurteilungen Beurteilungen

Unfallve-rsicherungs-unterlagen

Unfallve-rsicherungs-unterlagen

6 Jahre 6 Jahre

Fahrtkosten-belege

Fahrtkosten-belege

Anträge auf AN-Sparzulage

Anträge auf AN-Sparzulage

Reisekosten-abrechnungen Reisekosten-

abrechnungen

10 Jahre 10 Jahre

Gehaltsab-rechnungen Gehaltsab-rechnungen

Belege für Sozialver-sicherung

Belege für Sozialver-sicherung

Arbeitsan-weisungen Arbeitsan-weisungen

unbestimmt unbestimmt

alles andere alles andere

Aufbewahrung: Praktikerlösung in der Personalverwaltung

2. TECHNISCHE UND ORGANISA-TORISCHE MAßNAHMEN

• Besondere Risiken im Datenschutz

• Beweisqualität

• Organisatorische Maßnahmen

• Technische Maßnahmen

Besondere Risiken im Datenschutz

Image- schäden Image-

schäden Schadens-

ersatzpflicht Schadens-

ersatzpflicht

Staatliche Aufsicht

Staatliche Aufsicht

Beweislast- umkehr

Beweislast- umkehr

Beweisqualität

Papier-Personalakte

Urkunde gem. ZPO

Anerkanntes Beweismittel

Elektronische Personalakte

Anscheins- beweis

Freie richterliche Würdigung

Organisatorische Maßnahmen

Vernichtung des

Originals

Dokumentation des Verfahrens

(GoBS)

Verzicht auf Original ist

zulässig

Innerbetriebl. Regelungen und

Kontrollen

GoB-konformes Verfahren

Technische Maßnahmen

Berechtigungsstruktur Berechtigungsstruktur

Relative Berechtigung

Individuelle Berechtigung

Ausschluss der eigenen Akte

Zugriff Zugriff

Temporärer Zugriff

Dezentrale Zugriffsmöglichkeiten

Zugriff des Betriebsrats

Umsetzung technischer Anforderungen

• Ordnungsmäßigkeit

• Vollständigkeit

• Sicherheit des Gesamtverfahrens

• Schutz vor Veränderung und Verfälschung

• Sicherung vor Verlust

• Nutzung nur durch Berechtigte

• Einhaltung der Aufbewahrungsfristen

• Dokumentation des Verfahrens

• Nachvollziehbarkeit

• Prüfbarkeit

3. RISIKOVERMEIDUNG UND ZERTIFIZIERUNG

• Risiken aus der ePersonalakte

• Cremeschnitten-Modell

• Risikobilanz

• Zertifizierung

Risiken aus der ePersonalakte sind wie ...

... eine Cremeschnitte

- VIELSCHICHTIG!

Quelle: http://cremeschnitte.ch

Risiken ePersonalakte: Cremeschnitten-Modell

Risikobilanz

Mehr Effizienz

Geringere Trans-aktionskosten

Mehr Transparenz

Mehr Platz

Bessere Schutzmöglich-keiten

Verknüpfung mit HR-Prozessen

Zusätzliche IT-Risiken

Sicherheitsrisiken

Investitionsrisiken

Vo

rtei

le

Vo

rtei

le

Nach

teile N

achteile

Standards des IDW

IDW RS FAIT 1 IDW RS FAIT 1

GoB bei Einsatz von Informationstechnologie GoB bei Einsatz von Informationstechnologie

IDW RS FAIT 2 IDW RS FAIT 2

GoB bei Einsatz von Electronic Commerce GoB bei Einsatz von Electronic Commerce

IDW RS FAIT 3 IDW RS FAIT 3

GoB beim Einsatz elektronischer Archivierungsverfahren

GoB beim Einsatz elektronischer Archivierungsverfahren

IDW RS FAIT 4 IDW RS FAIT 4

Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse

Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse

IDW PS 261 IDW PS 261

IDW PS 330 IDW PS 330

Abschlussprüfung bei Einsatz von Informationstechnologie Abschlussprüfung bei Einsatz von Informationstechnologie

IDW PS 951 IDW PS 951

Die Prüfung des internen Kontroll-systems beim Dienstleistungs-unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen

Die Prüfung des internen Kontroll-systems beim Dienstleistungs-unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen

IDW PS 880 IDW PS 880

Die Prüfung von Softwareprodukten Die Prüfung von Softwareprodukten

IKS

IKS

IKS-

IT

An

we

nd

un

g

Prüfungsstandards Bescheinigungen

Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken

Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken

PH.9.330.1 PH.9.330.1

Checkliste zur Abschluss-prüfung bei Einsatz von Informationstechnologie

Checkliste zur Abschluss-prüfung bei Einsatz von Informationstechnologie

PH.9.330.2 PH.9.330.2

Prüfung von IT-gestütz-ten Geschäftsprozessen im Rahmen der Abschluss-prüfung

Prüfung von IT-gestütz-ten Geschäftsprozessen im Rahmen der Abschluss-prüfung

PH.9.330.3 PH.9.330.3

Einsatz von Datenanalysen im Rahmen der Abschlussprüfung

Einsatz von Datenanalysen im Rahmen der Abschlussprüfung

Zertifizierung

Prüfung erfolgt auf Grundlage einer Verfahrensdoku-mentation. Basis hierfür sind die Prüfkriterien für Dokumententenmanagementlösungen (PK-DML) des VOI e.V.

Überprüfung der Einhaltung der Vorgaben und die Zertifizierung von elektro-nischen Archivsystemen, bzw. in kaufmännische Anwendungen oder Doku-mentenmanagement integrierte Archivkomponenten, erfolgt durch Wirt-schaftsprüfer beim Anwender vor Ort. Sofwarebescheinigung, die dem Auf- traggeber Ordnungsmäßigkeit und Sicherheit des Systems bestätigt.

Noch Fragen?

• Andreas Stork

o Telefon: (07151) 502671

o Telefax: (07151) 502672

o Handy: (0174) 600 8831

o web: www.auditcoach.org

o eMail: info@auditcoach.de

o Xing: https://www.xing.com/profile/Andreas_Stork