Die glorreichen Sieben

1. Detailliertes Berechtigungskonzept

Über einen differenzierten Zugriffsschutz muss gewährleistet sein, dass nur Berechtigte genau die Dokumente der Akte sehen oder bearbeiten können, für die sie zugelassen sind. Hierbei ist auf die Ausgestaltung der bekannten Fragestellung „Wer darf was bei wem?“ zu achten: Hierbei sind die Berechtigten (wer) zu definieren (Personalsachbearbeiter, Führungskräfte, Mitarbeiter et cetera), die Rollen mit den zulässigen Funktionen (was), die von diesen ausgeführt werden dürfen (nur lesen, drucken, attribuieren, löschen et cetera) sowie auf welche Gruppen von Akten (wen) zugegriffen werden darf (standortbezogen, abteilungs-/kostenstellenweise et cetera).

2. Einsichtsbeschränkungen

Aus dem Berechtigungskonzept leiten sich entsprechend die Einsichtsbeschränkungen ab, die der Frage nachgehen, welche Teile, das heißt welche Dokumente der Akte für wen zur Verfügung stehen sollen. Eine datenschutzkonforme Gestaltung muss hier die unterschiedlichen Benutzergruppen entsprechend berücksichtigen. So sollte zum Beispiel der Personalabrechner nur auf die abrechungsrelevanten Dokumente Zugriff haben.

3. Protokollierung

Die sekundengenaue Protokollierung stellt die Grundlage der Nachvollziehbarkeit aller Änderungen von Metadaten (zum Beispiel Registerzuordnung) sowie des Dokumenten-Checkin und -out (zum Beispiel Einscannung, Löschung) innerhalb der digitalen Personalakte dar. Diese kann – unter Beachtung der Einschränkungen des Betriebsverfassungsgesetzes – auch bis hin zur Protokollierung von reiner Recherchetätigkeit reichen. Unbedingt zu beachten ist, dass nicht alle Tätigkeiten in der digitalen Personalakte protokolliert werden dürfen, insbesondere bei rückstandsfreier Löschung, da das Löschprotokoll Rückschlüsse auf ein Vorhandensein eines Dokumentes zulässt.

4. Ineinandergreifende Sicherheitsmechanismen

Hierbei werden in der Regel folgende vier Aspekte verstanden: (a) persönliche Authentifizierung und Autorisation des Benutzers, (b) Verschlüsselung der Kommunikation zwischen Server und Client, (c) sichere Übernahme von Daten und Berechtigungen aus HR-Systemen, insbesondere dem Abrechnungssystem und schließlich (d) das Nicht-Speichern von Informationen im lokalen Cache.

5. Rechts- und revisionssichere Archivierung

Um die Unveränderbarkeit der Dokumentinhalte sicherzustellen, muss eine vollständige Übertragung des Originals – nicht einer Kopie – auf das Speichermedium erfolgen und dort ordnungsmäßig in einem unveränderbaren, rechtssicheren Format wie TIFF G4 oder PDF/A gespeichert werden, um dann jederzeit unverzüglich mit unverändertem Inhalt und Index mittels eindeutiger Dokument-ID retrievalt (wiedergegeben) werden zu können. Dass auch beim Einscannen von Papier die Einhaltung des Datenschutzgesetzes berücksichtigt werden muss, sei hier eigens hingewiesen: Insofern scheitert die kostengünstigere Erstverscannung im nichtdeutschen Rechtsraum.

6. Trennung von Datenbank und Archivbereich

Heute werden zu Recht insbesondere auf Seite des technischen Designs hohe Ansprüche an die Sicherheit gestellt: Die bewusste Trennung von Datenbank, in der die Metadaten zum Dokument gespeichert werden, und Archivbereich, auf dem die eigentlichen Dokumente gespeichert werden, führt dazu, dass unterschiedliche Personen administrieren können: Während der Datenbankspezialist nur Zugriff auf die Datenbank hat –und damit höchstens Metadaten sehen könnte –, kann ein anderer IT-Spezialist für den Archivbereich dort nur unsortierte Dokumentmengen sehen, das heißt ein gezieltes Suchen nach einem bestimmten Dokument ist nicht möglich.

7. Verfahrensdokumentation

Die Umsetzung der Dokumentation des vollständigen Prozessablaufes wird nicht selten gescheut, obgleich in Tz. 6 der GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) eine solche Verfahrensdokumentation eindeutig vorgeschrieben ist.

Sie gilt als umfangreich, ressourcen- und damit kostenintensiv, aber auch nicht zu Unrecht als Garant für Rechtssicherheit. In ihr wird nicht nur das interne Kontrollsystem (IKS) dokumentiert, das die Gesamtheit aller aufeinander abgestimmten Kontrollen, Maßnahmen und Regelungen der Personal-Organisation umfasst, sondern auch die Beschreibung der sachlogischen Lösung (zum Beispiel Beschreibung von Datenbeständen, Verarbeitungsregeln, Datenaustausch et cetera) wie auch deren technische Umsetzung in der sogenannten programm-technischen Lösung sowie der Beschreibung zur Programmidentität und Datenintegrität. Darüber hinaus hat sie Arbeitsanweisungen für den Anwender zu enthalten.

Sind diese „sieben Grundsätze zum Datenschutz“ eingehalten, so darf von einer rechts- und revisionssicheren Personalakte ausgegangen werden, die vor dem Hintergrund der Novellierung des Bundesdatenschutzgesetzes (BDSG) neue Brisanz bekommt. Mit der Novellierung des BDSG vom 1. September 2009 wird in § 32 BDSG zum einen erstmals explizit auf Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses eingegangen, zum anderen auf die nicht automatisierte Verarbeitung ausgedehnt, das heißt auf die althergebrachte Papiersammlung von Personendaten, wie sie häufig noch in Unternehmen in der papiergebundenen Personalakte vorzufinden ist. Kurz: Die digitale Personalakte ist heute sicherer als ihre papier-geführte Schwester – vorausgesetzt alle Datenschutzvorschriften werden gemäß BDSG exakt eingehalten.