Mehr Sicherheit für Personaler

Personelle Maßnahme

Beschäftigte, die personenbezogene Daten erheben, verarbeiten oder nutzen, sind gemäß § 5 BDSG auf das Datengeheimnis zu verpflichten: Diesen Mitarbeitern ist der unbefugte Umgang mit personenbezogenen Daten verboten.

Unbefugtes Handeln liegt nicht erst dann vor, wenn gegen gesetzliche Regelungen vorstoßen wird, sondern bereits, wenn Personalmitarbeiter unternehmensinterne Zugriffsbefugnisse überschreiten, selbst wenn der konkrete Datenverarbeitungsvorgang an sich vom Unternehmen zulässig vollzogen werden dürfte. [1] Das Geheimnis gilt nach Beendigung des Beschäftigungsverhältnisses weiter. Da regelmäßig alle Mitarbeiter im Personalbereich mit Personaldaten in Berührung kommen, trifft diese Verpflichtung praktisch auf sämtliche im Personalmanagement Beschäftigten zu.

Die betroffenen Mitarbeiter sind bei Durchführung der Verpflichtung adäquat zu unterweisen. Es hat eine hinreichende Information dahingehend zu erfolgen, was die Pflicht zur Wahrung des Datengeheimnisses konkret und tätigkeitsspezifisch beinhaltet. [2] Darüber hinaus sollte auf drohende Schadenersatzforderungen sowie auf mögliche Sanktionen arbeits- und strafrechtlicher Natur hingewiesen werden. Auch muss die Aufforderung, das Datengeheimnis stets gewissenhaft zu wahren, erfolgen.

Zu Beweiszwecken ist es ratsam, den Vollzug der Aufklärung durch Unterschrift der Mitarbeiter bestätigen zu lassen. Für die unternehmerische Praxis bietet es sich an, das unterschriebene Exemplar im Original in die Personalakte mit aufzunehmen und eine Kopie dem Beschäftigten auszuhändigen. [3]

Technische und organisatorische Maßnahmen

Nachfolgend sind technische und organisatorische Vorkehrungen dargestellt, die sich unmittelbar aus dem Datenschutzrecht (siehe § 9 BDSG und dessen Anlage, § 4f BDSG) ergeben. Zu beachten gilt diesbezüglich – mit Ausnahme der Pflicht zur Bestellung eines Beauftragten für den Datenschutz aus § 4f BDSG – zweierlei: Erstens stellen die genannten Schutzmaßnahmen keinen abschließenden Katalog dar, was das Wort „insbesondere“ in Satz 2 der Anlage zu § 9 BDSG deutlich macht; es können also einzelfallabhängig weitergehende Sicherungen zu treffen sein, etwa wenn besondere Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG betroffen sind.

Zweitens enthält die Vorschrift einen dynamischen Maßstab im Hinblick auf die konkret umzusetzenden Maßnahmen: Diese gelten nur insoweit als erforderlich, als ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Diese Abwägungsklausel soll die Wirtschaft vor unverhältnismäßigen Investitionen bewahren. So wäre es zum Beispiel vollkommen überzogen, neben den nachstehend genannten Zutrittskontrollvorkehrungen einen speziellen Wachschutz zu engagieren, der jeden Mitarbeiter, der Einlass in die Räume des Personalwesens begehrt, persönlich überprüfte.

Zutrittsbeschränkung

Unbefugte Personen dürfen keinen Zutritt zu Unternehmensbereichen oder zu Datenverarbeitungsanlagen haben, in denen personenbezogene Daten verarbeitet werden; dies gilt besonders für Räumlichkeiten des Personalbereichs. Der Begriff „Zutritt“ ist ausschließlich räumlich zu verstehen. [4] Grundsätzlich dürfen lediglich Personalmitarbeiter eine Zutrittserlaubnis und –möglichkeit erhalten. Die Berechtigung zum Zutritt zu Räumen des Personalwesens lässt sich durch verschiedene Maßnahmen kontrollieren. Beispielhaft können folgende Vorkehrungen ins Feld geführt werden:

• RFID-Kartenlesesystem,

• mechanische Schließanlage,

• Tastatur zur PIN-Eingabe,

• biometrische Authentifizierungsverfahren.

Einer besonderen Regelung bedarf die Frage, wie die Zutrittsberechtigungen von beispielsweise Wartungspersonal, Hausmeister oder Reinigungskräften ausgestaltet sein sollen. [5] Es muss jedenfalls gewährleistet sein, dass dieser Personenkreis keine Möglichkeit hat, personenbezogene Daten im Personalbereich einzusehen. Als grundlegend gilt in diesem Kontext, dass sämtliche Personalaktenschränke stets verschlossen und keine Unterlagen, die personenbezogene Daten beinhalten, offen – etwa auf den Schreibtischen an den Arbeitsplätzen der Personalmitarbeiter (Stichwort „Clear Desk“) – abgelegt sind. Es ist überdies festzulegen, wie in Notfallsituationen verfahren werden soll, das heißt wer unter welchen Umständen die Räume betreten kann und darf. [6]

Zugangsbeschränkung per Passwort

Die Zugangsbeschränkung soll sicherstellen, dass nur berechtigte Mitarbeiter Zugang zu den Datenverarbeitungsanlagen und -systemen im Personalbereich haben. Im Gegensatz zum Zutritt handelt es sich hierbei nicht um den körperlichen Einlass, sondern um die tatsächliche Möglichkeit der Nutzung eines bestimmten Datenverarbeitungssystems. [7]

Ein einfacher Weg, die Zugangsberechtigung einer Person zu prüfen, besteht in der Abfrage des Benutzernamens und des zugehörigen Passworts. Bei der Passwortgestaltung gilt es, gewisse Regeln zu beachten:

• ausreichende Passwortlänge (mindestens zehn Zeichen),

• Komplexität (Ziffern und Sonderzeichen sowie Groß- und Kleinbuchstaben),

• regelmäßige Änderung, idealerweise vom IT-System selbst erzwungen (alle drei Monate).

Im Regelfall werden Zugangskontrollen bei IT-Systemen programmtechnisch realisiert. Denkbar sind zum Beispiel auch Chipkartenverfahren, bei denen die Zugangsberechtigung von einem Kartenlesegerät geprüft wird. Allerdings sind derartige Verfahren risikobehaftet – man denke nur an den Verlust einer Chipkarte.

In einem solchen Fall hat eine unverzügliche Sperrung der betreffenden Karte zu erfolgen, um einem Missbrauch durch unberechtigte Personen möglichst zuvorzukommen. Ideal im Sinne des Datenschutzes und der Datensicherheit sind Zugangsbeschränkungen, die auf zwei Faktoren, beispielsweise auf „Besitz“ (Chipkarte) und „Wissen“ (Benutzername und Passwort), gleichzeitig beruhen.

Die Beschränkung der Zugriffsmöglichkeit zielt darauf ab, dass berechtigte Personalmitarbeiter, die Zugang zu IT-Systemen – etwa dem Personalinformationssystem – haben, nur diejenigen personenbezogenen Daten einsehen und bearbeiten können, die sie zur Erledigung ihrer jeweiligen Arbeitsaufgabe unbedingt benötigen. Nicht nur die Eingrenzung auf Datenbereichsebene, sondern auch auf bestimmte Nutzungshandlungen muss dabei in Erwägung gezogen werden. So können gewisse Mitarbeitergruppen mit einem Zugriffsrecht, das nur das Lesen erlaubt, ausgestattet werden. [8]

Zugriffsbeschränkung

Darüber hinaus soll verhindert werden, dass personenbezogene Daten unbefugt kopiert, verändert oder entfernt werden können. Das unbefugte Kopieren von Daten lässt sich etwa dadurch verhindern, dass die Druckfunktion in der Softwareanwendung deaktiviert ist, keine Speichermedien am Datenverarbeitungssystem angeschlossen werden können und die Zwischenspeicherung von bestimmten Daten im Arbeitsspeicher („Copy and Paste“) nicht funktioniert.

Auf Seiten des IT-Systems lassen sich Zugriffsbeschränkungen komfortabel mittels Rollen- und Rechtekonzept umsetzen. Hierbei können Mitarbeiter zu bestimmten Gruppen (Nutzerrollen) zusammengefasst werden, denen jeweils spezifische Zugriffsrechte zugewiesen werden. Dies vereinfacht das Management der Zugriffsberechtigungen erheblich.

Übertragungssicherung

Eine weitere Schutzmaßnahme besteht in der Übertragungssicherung: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während des Transports nicht unbefugt Dritten zur Kenntnis gelangen, manipuliert oder gelöscht werden können.

Besitzen Mitarbeiter des Personalmanagements beispielsweise die Möglichkeit, von unternehmensextern via Internet auf das Personalinformationssystem zuzugreifen, darf dies nur unter Einsatz einer verschlüsselten Kommunikationsverbindung (zum Beispiel mittels VPN oder TLS) erfolgen. Kommt ein externer Dienstleister für die Aktenvernichtung zum Einsatz, ist sicherzustellen, dass Dokumente, die personenbezogene Daten beinhalten, in einem verschlossenen und uneinsehbaren Behältnis gesammelt werden.

Die Dokumente müssen bis zum Zeitpunkt ihrer Vernichtung im Container verbleiben und dürfen von niemandem zur Kenntnis genommen werden können. Es ist daher ein zuverlässiges Entsorgungsunternehmen auszuwählen; entsprechende Zertifizierungen des Dienstleisters sprechen für einen sicheren Vernichtungsprozess. Da im Sinne des Datenschutzrechts mit der Übergabe der zu vernichtenden Dokumente an ein Aktenvernichtungsunternehmen eine Datenverarbeitung vorliegt, ist ergänzend anzuführen, dass mit dem Dienstleister ein Auftragsdatenverarbeitungsvertrag gemäß § 11 BDSG geschlossen werden muss.

Implementierung einer Journalfunktion

Um nachvollziehen zu können, wer wann welche personenbezogenen Daten eingegeben, bearbeitet oder entfernt hat, ist eine Journalfunktion im Datenverarbeitungssystem zu implementieren. Diese erstellt nutzerspezifisch automatisiert Protokolle über die vorgenommenen Datenverarbeitungsvorgänge, sodass die Aufdeckung unerlaubter Handlungen ermöglicht wird.

Auftragskontrolle

Wenn ein externer Dienstleister personenbezogene Daten im Auftrag des Unternehmens verarbeitet, ist ein Auftragsdatenverarbeitungsvertrag gemäß § 11 BDSG abzuschließen. Im Vertrag werden konkret die Befugnisse und datenschutzrechtlichen Pflichten des Auftragnehmers geregelt. Ein solcher Fall wäre bei der Nutzung einer gemieteten Webplattform für Onlinebewerbungen gegeben.

Erfolgen Datenverarbeitungen im Auftrag, unterliegt das die jeweilige Aufgabe auslagernde Unternehmen gemäß § 11 Abs. 1, 2 BDSG der Verpflichtung, die Auftragnehmer sorgfältig auszuwählen und regelmäßig die Einhaltung der im Auftragsdatenverarbeitungsvertrag getroffenen Regelungen zu kontrollieren. Dabei sind insbesondere die vom Auftragnehmer getroffenen technisch-organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit von hoher Relevanz.

Die regelmäßige Auftragskontrolle kann in Form von Begehungen beim Auftragnehmer erfolgen. In manchen Fällen wird es als unverhältnismäßig anzusehen sein, einen Vor-Ort-Besuch beim Auftragnehmer wahrzunehmen; dann kommt die Einforderung von Nachweisen, etwa durch spezielle Zertifikate, über die Gewährleistung eines hohen Datenschutz- und Datensicherheitsniveaus in Betracht.

Verfügbarkeitssicherung

Es ist zu gewährleisten, dass personenbezogene Daten, die im Rahmen des Personalmanagements verarbeitet werden, gegen Verlust und zufällige oder unberechtigte Zerstörung geschützt sind. Hierzu bedarf es der Entwicklung eines systematischen Datensicherungskonzepts. Die regelmäßige Anfertigung von Sicherungskopien, deren Aufbewahrung andernorts und unter besonderem Schutz erfolgt, oder die redundante Datenspeicherung mittels serverbasiertem RAID-System bei einer Client-/Server-Architektur, stellen mögliche Vorgehensweisen dar.

Neben verschiedenen Faktoren, darunter unter anderem die Wichtigkeit und Menge der zu sichernden Daten, spielen bei der Erstellung eines Datensicherungskonzepts hauptsächlich folgende Aspekte eine Rolle:

• Zeitpunkt und Zeitintervall der Datensicherungen,

• Umfang der jeweiligen Datensicherungen,

• Anzahl der aufzubewahrenden Generationen,

• Zuständigkeits- und Verantwortlichkeitsregelungen,

• Dokumentation der Datensicherungen. [9]

Grundsätzlich dürfen personenbezogene Daten nur zu den Zwecken verarbeitet werden, zu denen sie erhoben wurden. So ist es zum Beispiel untersagt, Bewerberdaten dazu zu nutzen, um den Bewerbern Werbematerial für den Verkauf der eigenen Produkte zu unterbreiten. Daten von abgelehnten Bewerbern sind im Übrigen – sofern keine Einwilligung in die weitere Speicherung, etwa im Zusammenhang mit einem „Bewerberpool“ vorliegt – im Regelfall nach einer Zeitspanne von zwei Monaten (vergleiche § 15 Abs. 4 AGG) zu löschen. [10]

Weitergehend müssen zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. Dieser Forderung kann man durch Einrichtung einer logischen Trennung innerhalb des IT-Systems (Mandantentrennung) nachkommen.

Bestellung eines Datenschutzbeauftragten

Die Notwendigkeit der schriftlichen Bestellung eines Beauftragten für den Datenschutz besteht für Unternehmen der Privatwirtschaft in der Regel erst, wenn dort mehr als neun Personen mit automatisierten Verarbeitungsvorgängen befasst sind oder mindestens 20 Mitarbeiter personenbezogene Daten listenmäßig manuell oder in Papierakten verarbeiten. [11] Diese Verpflichtung trifft für eine Vielzahl von Unternehmen zu. So manches Unternehmen mittlerer Größe verfügt bereits allein mit dem Personalbereich über eine entsprechende Mitarbeiterzahl, die personenbezogene Daten automatisiert verarbeiten, um die Schwelle zur Bestellpflicht zu überschreiten.

Die Person des Datenschutzbeauftragten kann entweder der Organisation angehören oder ein externer Berater sein. Der Datenschutzbeauftragte hat gemäß § 4f Abs. 2 Satz 1 BDSG sowohl ausreichende Fachkunde zu besitzen als auch ein hohes Maß an Zuverlässigkeit vorzuweisen.

Die Hauptfunktion des Datenschutzbeauftragten besteht darin, die Vorschriften des Bundesdatenschutzgesetzes und weiterer datenschutzrechtlicher Vorgaben dahingehend zu konkretisieren, dass sie auf die unternehmensindividuellen Gegebenheiten angewendet werden können. Aus dieser Funktion resultieren hauptsächlich Tätigkeiten der Kontrolle der personenbezogenen Datenverarbeitungsprozesse sowie der Beratung und Schulung der Geschäftsleitung und der Beschäftigten. [12]

Gefahren werden reduziert

Werden die im Beitrag aufgezeigten gesetzlichen Pflichten zum Schutz personenbezogener Daten adäquat erfüllt, reduzieren sich die Gefahren, dass Datenlecks oder sonstige Möglichkeiten für eine unrechtmäßige Kenntnisnahme der Daten durch Dritte entstehen, und die Risiken, dass entsprechende Straf- und Bußgeldtatbestände erfüllt sind, auf ein Minimum. Nicht zu unterschätzen ist überdies der Faktor Vertrauen der eigenen Beschäftigten in die Sicherheit der Datenverarbeitungsprozesse in ihrem Unternehmen.

Eine grundlegende personelle Maßnahme stellt die schriftliche Verpflichtung der im Personalbereich tätigen Personen auf das Datengeheimnis nach § 5 BDSG dar. Durch eine explizite Unterweisung, zum Beispiel vorgenommen durch den betrieblichen Datenschutzbeauftragten, sollte dem Beschäftigten präzise verdeutlicht werden, welche Datenverarbeitungsschritte tätigkeitsabhängig erforderlich sind und sich daher im zulässigen Rahmen bewegen. Idealerweise sollte im Personalmanagement ein strukturierter Prozess etabliert werden, durch den die Verfahren, in denen personenbezogene Daten verarbeitet werden, laufend geprüft und die bereits vorhandenen Schutzvorkehrungen hinterfragt werden. Wesentliche Kriterien stellen die drei allgemeinen Schutzziele der IT-Sicherheit dar: Dies sind Vertraulichkeit, Integrität und Verfügbarkeit.

Als Maßstäbe sind insbesondere die Schutzwürdigkeit der personenbezogenen Daten, die Zugriffsbefugnisse der Beschäftigten sowie Fragen, welche Schäden potenziell entstehen und welche Auswirkungen aus Schäden resultieren können, zu nennen. Berücksichtigung muss auch der jeweilige Stand der Technik finden: So werden zum Beispiel Verschlüsselungstechniken im Zeitverlauf unsicher, sodass daraus die Notwendigkeit resultiert, etwa die auf einem Speichermedium kryptografisch abgelegten personenbezogenen Daten mit einen aktuellen Verschlüsselungsalgorithmus „nachzuverschlüsseln“.