Datenschutzrechtliche Vorgaben bei der Entwicklung und Einführung von Personalinformationssystemen

Diplomarbeit von Ulrike Liss

Einleitung:

Personalabteilungen in Unternehmen nutzen heute leistungsfähige IT-Systeme in nahezu jedem Tätigkeitsgebiet des Personalmanagements. Ihr Einsatzbereich beginnt bei der Bewerberauswahl und reicht von der Erfassung von Stammdaten eines Mitarbeiters bei seiner Einstellung über seine monatliche Lohn- und Gehaltsabrechnung bis hin zur betrieblichen Ruhegeldversorgung nach Ausscheiden aus dem Arbeitsverhältnis. Diese Informationssysteme werden üblicherweise Personalinformations- beziehungsweise Personalmanagementsysteme genannt.

Solche Systeme befassen sich überwiegend mit Daten, die unmittelbar oder mittelbar mit dem Beschäftigten in Beziehung stehen. Der Umgang mit diesen Daten ermöglicht dem Arbeitgeber ein erhebliches Maß an Leistungs- und Verhaltenskontrolle seiner Mitarbeiter und berührt mithin die Persönlichkeitsrechte der Betroffenen.

Zum Schutz der Arbeitnehmerdaten dienen die Datenschutzgesetze sowie auf kollektivrechtlicher Ebene das Betriebsverfassungsgesetz. Die Einhaltung der Datenschutzgesetze wird durch die Landesaufsichtsbehörden gewährleistet und ein Verstoß mit Bußgeldern sanktioniert. Dem Betriebsrat des Unternehmens stehen bei Verletzung seiner Mitbestimmungsrechte unter Umständen Unterlassungsansprüche zu, mit denen er die Durchführung von Maßnahmen des Arbeitgebers verhindern kann.

Ein primäres Ziel der Unternehmensleitung bei der Entwicklung und Einführung von Personalinformationssystemen muss es daher sein, die einschlägigen datenschutzrechtlichen und kollektivrechtlichen Regelungen zu beachten. Unterstützung findet der Arbeitgeber in der Person des Datenschutzbeauftragten, der ihm als Experte in wirtschaftlichen, rechtlichen, organisatorischen und IT-technischen Fragen beratend zur Seite stehen kann.

Durch die Einschaltung eines Datenschutzbeauftragten kann sich aber das Unternehmen nicht von etwaigen Datenschutzverstößen durch den Einsatz des Personalinformationssystems entlasten. Die Entscheidung über die Einführung konkreter Datenschutz- und Datensicherungsmaßnahmen obliegt weiterhin alleine dem Arbeitgeber. Er ist daher angehalten sich umfassend über seine datenschutzrechtlichen Pflichten und die Rechte der Betroffenen zu informieren. Dabei sind datenschutzrechtliche Vorgaben in allen Phasen der Projektentwicklung zu berücksichtigen.

Diese Arbeit ist ein Leitfaden, der der Unternehmensleitung und dem IT-Beauftragten des Unternehmens das bei der Entwicklung und Einführung von Personalinformationssystemen erforderliche datenschutzrechtliche Wissen vermittelt, spezifische Hinweise gibt und das Augenmerk für datenschutzrelevante Sicherheitslücken und Bedrohungen durch den Einsatz des Systems schult.

Anhand eines an die datenschutzrechtlich relevanten Aspekte angepassten Phasenmodells werden die für jede Phase (Planung, Analyse, Konzeption, Realisierung, Einführung und Nutzung) typischen Fragestellungen, die bei der Entwicklung und Einführung eines Personalinformationssystems auftreten, untersucht und beispielhaft Lösungen aufgezeigt. Es werden zum einen datenschutzrechtliche Themen des Entwicklungs- und Einführungsprozesses als solches untersucht (zum Beispiel: wie muss die Programmierung ausgeführt werden, um den datenschutzrechtlichen Anforderungen zu genügen oder welche Sicherheitsvorkehrungen müssen die Mitarbeiter der Personalabteilung beachten, wenn sie mit dem Personalinformationssystem arbeiten) und zum anderen werden die Vorgaben geprüft, denen das Anwendungssystem am Ende seiner Entwicklung nach den Datenschutzgesetzen entsprechen muss (zum Beispiel: welche Daten darf das Personalinformationssystem speichern), um einen ordnungsgemäßen Umgang mit den personenbezogenen Daten der Belegschaft zu gewährleisten.

Dabei erhebt dieser Leitfaden nicht den Anspruch auf Vollständigkeit. Die Fülle an Gesetzen, die einen datenschutzrechtlichen Bezug aufweisen, der Umfang an sicherheitsrechtlichen Bedrohungen für personenbezogene Daten im Unternehmen sowie die Vielfalt an möglichen Personalinformationssystemen machen eine umfassende und abschließende Untersuchung im Rahmen dieser Arbeit unmöglich. Vorrangiges Ziel dieser Ausarbeitungen ist es vielmehr, dass das Unternehmen mit Hilfe der hier vorgestellten Beispielsfälle in die Lage versetzt wird, im Rahmen eines konkreten Projektes sein erworbenes Wissen anzuwenden und unter Umständen für neue Problemstellungen zu abstrahieren.

Diese Arbeit gliedert sich wie folgt: Nach der Einleitung folgt im zweiten Teil eine Einführung in softwaretechnische, datenschutzrechtliche und betriebswirtschaftliche Begriffe und Hintergründe. Insbesondere wird ein datenschutzspezifisches Phasenmodell für die Einführung von Personalinformationssystemen vorgestellt, das als Richtschnur den Aufbau des dritten Teils bestimmt. Der dritte Teil befasst sich mit konkreten datenschutzrechtlichen Problemstellungen bei der Entwicklung und Einführung von Personalinformationssystemen und untersucht diese im Rahmen der Entwicklungsphasen des Phasenmodells. Der letzte Teil nennt einige zentrale Ergebnisse der Arbeit. Im Anhang VI sind die Ergebnisse des dritten Abschnitts für einen schnellen Überblick tabellarisch zusammengefasst.

Inhaltsverzeichnis:

Textprobe:

Kapitel 3.3.2, Sicherheitskonzept:

Im Rahmen des Sicherheitskonzepts sind die aus den technischen und organisatorischen Datenschutzanforderungen folgenden Maßnahmen zur Datensicherheit gemäß der Anlage zu § 9 BDSG zu spezifizieren und zu dokumentieren. Das Sicherheitskonzept stellt primär sicher, dass die Entwicklung und Einführung (und natürlich auch der spätere Betrieb) des Personalinformationssystems datenschutzkonform verläuft.

Technische und organisatorische Maßnahmen zur Zutritts-, Zugangs- und Zugriffskontrolle:

Für den Bereich des Personalmanagements gibt es auf Grund des verstärkten Umgangs mit den besonderen Arten personenbezogener Daten einen sehrl hohen Schutzbedarf. Daher ist für die Personalabteilung zunächst eine eigene Schutzzone einzurichten, für die folgende allgemeine Kriterien gelten:

- Räumlichkeiten sind verschlossen zu halten.

- Räumlichkeiten sind mit einer separaten Schließung zu versehen.

- Arbeitsplätze sind aufgeräumt zu halten.

- Die Zutrittsberechtigungen sind auf das absolute Minimum zu beschränken.

- Personenbezogene Unterlagen sind mit wirkungsvollem Zugriffsschutz (hohe Passwortgüte) zu versehen.

- Ein hinreichendes Berechtigungskonzept ist einzuführen.

Zunächst ist ein Verfahren für einen effektiven Zutrittsschutz festzulegen. Immer verbreiteter ist zum Beispiel das Radio Frequency Identification Verfahren (RFID). Bei diesem Verfahren geht es um die berührungslose Übertragung von Informationen zwischen einem Datenträger und einer Leseeinheit zur automatische Identifizierung und Lokalisierung von Lebewesen oder Objekten. Ein RFID-System besteht aus einem Transponder sowie einem Lesegerät zum Auslesen der Transponder-Kennung. Das Lesegerät enthält eine Software, die den eigentlichen Leseprozess steuert und Schnittstellen zu weiteren IT-Systemen und der Datenbank bereithält. Soll dieses Verfahren im Unternehmen eingesetzt werden, sind weiterhin Entscheidungen darüber zu treffen, ob der RFID-Transponder auch für die Zeiterfassung oder andere Leistungen (zum Beispiel die Kantine) eingesetzt werden wird und dementsprechend personalisiert werden muss. In diesem Fall muss weiterhin darauf geachtet werden, dass die personenbezogenen Daten, die auf den Chips gespeichert werden, aufgrund des Gebots der Datenvermeidung und Datensparsamkeit auf eine Minimum reduziert werden (so reicht zum Beispiel die Speicherung der Personalnummer für die Zeiterfassung aus).

Für die Zugangskontrolle sollte ein Verfahren gewählt werden, das den Schwächen des herkömmlichen Passwortes (siehe oben) in geeigneter Weise begegnet. Hier gibt es verschiedene Möglichkeiten. Zunächst kann die Passworteingabe über so genannte virtuelle Tastaturen erfolgen. Dabei wird die Tastatur auf dem Bildschirm abgebildet und die eigentliche Passworteingabe erfolgt über die Maus. So können Sniffer-Attacken, bei denen ein Programm die Eingaben zwischen Tastatur und Motherboard überwacht, abgewendet werden. Eine weitere Möglichkeit ist die Verwendung von Einmal-Passwörtern. Diese können nur einmal verwendet werden und ihre Gültigkeit läuft nach kürzester Zeit ab. Zuletzt gibt es auch noch das so genannte Single-Sign-On-System. Hier wird einem Nutzer für das gesamte System ein einziges Passwort zugeordnet und so die Sicherheit erhöht und der Administratoraufwand gesenkt. Abgesehen von einer effektiven technischen Umsetzung der Zugangskontrolle, ist im Rahmen von Mitarbeitergesprächen insbesondere auch darauf zu achten, dass den Arbeitnehmern der Sinn und Zweck von geeigneten Passwörtern und deren Schutz vor unbefugter Kenntnisnahme vermittelt wird. Ein technisch ausgereiftes Single-Sign-On-System wird kaum vor unberechtigtem Zugang schützen, wenn der entsprechende Mitarbeiter dieses Passwort freizügig an seine Kollegen weitergibt.

Im Rahmen der Zugriffskontrolle muss ein Berechtigungskonzept entwickelt werden. Zunächst muss die Verantwortlichkeit zur Vergabe und Verwaltung der Nutzerrechte festgelegt werden. In einem weiteren Schritt erfolgt dann die Festlegung der konkreten Rechte für einen ganz bestimmten Nutzer oder aber dessen Zuordnung zu einer Gruppe mit gleichem Rechteniveau. Letzteres geschieht über die Festlegung von Rollen. Eine Rolle fasst alle Berechtigungen zusammen, die eine bestimmte Gruppe von Mitarbeitern für einen bestimmten Geschäftsprozess benötigt. Zuletzt muss regelmäßig überprüft werden, ob das Berechtigungskonzept noch aktuell ist oder sich zum Beispiel Änderungen durch ausgeschiedene Mitarbeiter ergeben. Im Idealfall sollte hier ein entsprechender automatisch ablaufender Prozess zwischen der Personal- und IT-Abteilung eingerichtet werden.

Schließlich ist auch eine Entsorgungsordnung festzulegen, um die sichere Datenträgervernichtung zu gewährleisten. In dieser muss geregelt werden, wer für das Entleeren der Papierkörbe verantwortlich ist, wo nicht mehr in Gebrauch befindliche Datenträger gesammelt werden und wie die ordnungsgemäße Lagerung und schließlich Datenvernichtung zu erfolgen hat.

Neben der Einrichtung einer allgemeinen Schutzzone für die Personalabteilung erfordern die einzelnen Personalinformationssysteme darüber hinaus spezifische Datensicherheitsmaßnahmen:

Bei der digitalen Personalakte muss die Vertraulichkeit der Unterlagen und Datensätze im besonderen Maße sichergestellt werden, weil hier verstärkt besondere Arten personenbezogener Daten erhoben, gespeichert und genutzt werden (zum Beispiel die Zugehörigkeit zu einer Religionsgemeinschaft, für die Kirchensteuer abzuführen ist oder die Angaben zur Staatsangehörigkeit, Schwerbehinderung oder zu Gehaltspfändungen). Soll die Personalakte im Zuge der Einführung eines Personalinformationssystems erst digitalisiert werden, erfolgt ein Medienwechsel, der besondere organisatorische Schutzvorkehrungen verlangt (sicheres Dokumentenscanning, Test auf jederzeitige Lesbarkeit der gespeicherten Datensätze, besonderer Zugriffsschutz, Einsatz einer Transportverschlüsselung zwischen Client und Server bei Datenaufruf und Datenübertragung sowie eine Protokollierung aller Zugriffe). Leistungsbewertungen im Rahmen von Performance-Management-Systemen sind der Personalakte zuzuordnen.

Gehen im Rahmen eines Beschaffungsmanagementsystems Bewerbungen per Email ein, sind diese separat zu speichern und zu sichern. Werden Bewerbungen im Rahmen des e-Recruiting nur über das Internet aufgenommen, muss die verantwortliche Stelle sicherstellen, dass ein besonderes Schutzkonzept entwickelt wird, das zunächst für eine gesicherte Übertragung des Webformulars (Verschlüsselung mittels SSL) und einen gesicherten Webserver sorgt und eine entsprechende Datenschutzerklärung auf der Webseite bereithält.

Bei Arbeitszeitmanagementsystemen muss zusätzlich zu einem wirksamen Zugangsschutz gewährleistet sein, dass betroffene Mitarbeiter jeweils nur ihre eigenen Zeiten in einem elektronischen Arbeitszeitkonto einsehen dürfen. Werden im Rahmen der Zeiterfassung auch die Gründe für die Abwesenheit festgehalten und handelt es sich bei diesen Informationen um besondere Arten personenbezogener Daten (zum Beispiel Gesundheitsdaten), so dürfen diese wiederum nur einem beschränkten Personenkreis zugänglich gemacht werden.

Im Zusammenhang mit den Abrechnungsdaten bei der Lohn- und Gehaltsabrechnung sind insbesondere die Schnittstellen zu Softwaretools von öffentlichen Stellen (ELSTER oder DAKOTA) oder zu privaten Institutionen wie den Banken besonders zu schützen. Hier müssen geeignete Übertragungswege vereinbart werden um eine sichere Übertragung der Abrechnungsdaten zu gewährleisten.