Page 1
intersoft consulting services AG
Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs.
Besuchen Sie uns im Internet unter:
www.intersoft-consulting.de
Datenschutz in der Personalakte
Elektronische Personalakte datenschutzkonform umsetzen
Thorsten Logemann
Vorstandsvorsitzender der intersoft consulting services AG
am 28.02.2016 beim Arbeitgeberverband Lüneburg-Nordostniedersachsen e.V.
Page 2
intersoft consulting services AG
Unternehmensprofil
intersoft consulting services AG
Beratung in Datenschutz, IT-Sicherheit und IT-Forensik
Firmensitz der Aktiengesellschaft (nicht börsennotiert) ist Hamburg
Weitere Büros: München, Stuttgart, Berlin, Frankfurt am Main, Düsseldorf und Kiel
Gegründet: 2006
Aktienkapital: 1,1 Mio. EUR
100% des Aktienkapitals im Besitz der WWK Versicherungsgruppe
Umfassende Betriebs- und Vermögensschadenhaftpflicht
Vorstände: Thorsten Logemann (Vorstandsvorsitz), Dr. Nils Christian Haag
Aufsichtsratsvorsitzender: Herr Ralf Schmidt (WWK Versicherungsgruppe)
Page 3
intersoft consulting services AG
Agenda
1 Grundsätzliches zum Datenschutz
2 Elektronische Personalakte
3 Anbahnung eines Beschäftigungsverhältnisses
4 Laufendes Beschäftigungsverhältnis
5 Ausscheiden aus dem Beschäftigungsverhältnis
Page 4
intersoft consulting services AG
Grundsätze des Datenschutzrechts
Verbot mit Erlaubnisvorbehalt
Alles,
was nicht ausdrücklich erlaubt ist,
ist verboten!
Page 5
intersoft consulting services AG
Grundsätze des Datenschutzrechts
Gesetzliche Grundlagen
Europäische Richtlinien
Grundgesetz
Allgemeine Gesetze (BDSG, TMG, SGB)
Ab 25. Mai 2018 EU-DSGVO
Page 6
intersoft consulting services AG
Grundsätze des Datenschutzrechts
Erlaubnistatbestände aus dem BDSG
Erforderlichkeit für das Beschäftigungsverhältnis
Vorliegen eines berechtigten Interesses (Abwägung)
Erlaubnistatbestände aus anderen Rechtsvorschriften
Betriebsvereinbarung
Spezialgesetze, z.B. § 93 AO
Einwilligung des Betroffenen
Erlaubnis
Page 7
intersoft consulting services AG
Grundsätze des Datenschutzrechts
Einwilligung des Betroffenen
Problematisch im Beschäftigungsverhältnis!
Muss freiwillig erteilt werden
Widerruflich
Page 8
intersoft consulting services AG
Betroffenenrechte
Diejenige natürliche Person, deren
Daten verarbeitet werden, bezeichnet
das Gesetz als „Betroffener“.
Betroffene können beispielsweise der
Mitarbeiter, der Kunde oder der
Ansprechpartner eines Firmenkunden
sein.
Page 9
intersoft consulting services AG
Betroffenenrechte
Den Betroffenen räumen die Datenschutzgesetze Rechte ein:
Information bei Erhebung oder Benachrichtigung bei erstmaliger
Speicherung
Auskunftsrecht (idR unentgeltlich)
über die zu seiner Person gespeicherten Daten
über die Herkunft der gespeicherten Daten
über die Empfänger, an die Daten weitergegeben werden
über den Zweck der Speicherung
Berichtigungsanspruch bei unrichtigen Daten
Löschungs- und/oder Sperrungsanspruch, wenn die Daten nicht mehr
benötigt werden.
Häufig werden diese Auskunftsrechte genutzt, um Beschwerden/
Klagen vorzubereiten!
Page 10
intersoft consulting services AG
Agenda
1 Grundsätzliches zum Datenschutz
2 Elektronische Personalakte
3 Anbahnung eines Beschäftigungsverhältnisses
4 Laufendes Beschäftigungsverhältnis
5 Ausscheiden aus dem Beschäftigungsverhältnis
Page 11
intersoft consulting services AG
Elektronische Personalakte
Papierlose Personalabteilung - Umstellung auf die elektronische
Personalakte datenschutzkonform?
digitalanalog
DatenschutzrechtlicheAnforderungen bleiben
gleich!
Page 12
intersoft consulting services AG
Elektronische Personalakte
Datenschutzrechtliche Schwerpunkte zur ePersA
Einführung • Mitbestimmungsrecht des BR
• Einbindung des DSB
Umstellung
• Revisionssicheres Archivieren
• Datenschutzvereinbarung mit Scandienstleister
• Aufbewahrungsfristen prüfen
Aktenführung
• Berechtigungskonzept
• Auskunftsrechte und Transparenz
• Löschroutinen
Page 13
intersoft consulting services AG
Elektronische Personalakte
Darauf sollten Sie bei der ePersA zusätzlich achten:
TOMS prüfen !
Personenbezogene Auswertungen vermeiden !
Unterlagen zusätzlich im Original aufbewahren ?
Page 14
intersoft consulting services AG
Agenda
1 Grundsätzliches zum Datenschutz
2 Elektronische Personalakte
3 Anbahnung eines Beschäftigungsverhältnisses
4 Laufendes Beschäftigungsverhältnis
5 Ausscheiden aus dem Beschäftigungsverhältnis
Page 15
intersoft consulting services AG
Agenda
Anbahnung
Online-Bewerbung, Background-Check,Bewerbungsgespräch
Ablehnung
Berücksichtigung für andere Stellen,Aufbewahrungs- und Löschfristen
Einstellung
Zeiterfassung, Personalfragebogen, Fotos, Skill-Management,Mitarbeiterbefragungen,Krankmeldungen,Personalakte, BEM
Ausscheiden
Laufzettel,Aufbewahrungs-Und Löschfristen
Page 16
intersoft consulting services AG
Online Bewerbungen
Ermöglichen Sie eine verschlüsselte Übertragung
Begrenzen Sie den Zugriff auf die Bewerberdaten
Verzichten Sie auf ausufernde Analyse-Tools (keine automatisierte
Einzelfallentscheidung)
Bewerbungen per E-Mail oder über die Website
Page 17
intersoft consulting services AG
Online-Bewerbungen
Page 18
intersoft consulting services AG
Background-Check (Pre-Employment-Screening)
Selbst oder durch Dritten:
Suchmaschinen
Eigene Webseiten des Bewerbers?
Zeitungen
Berufsbezogene soziale Netzwerke
Freizeitbezogene soziale Netzwerke
O
Page 19
intersoft consulting services AG
Bewerbungsgespräch
Adresse/Kontaktdaten
Familienstand
Alter
Schwerbehinderteneigenschaft
Religion
Vermögensverhältnisse
Hobbies
Rauchereigenschaft
Bisheriges Gehalt
Vorstrafen
Zulässige Fragen im Bewerbungsgespräch:
?
?
?
O
O
O
O
Page 20
intersoft consulting services AG
Ablehnung
Löschfristen beachten! (ca. 6 Monate nach Ablehnung)
Talent-Pool nur mit Einwilligung (zumindest per E-Mail)
Weitergabe der Bewerbung an Dritte (auch innerhalb des
Konzerns) ebenfalls nur mit Einwilligung
Page 21
intersoft consulting services AG
Agenda
1 Grundsätzliches zum Datenschutz
2 Elektronische Personalakte
3 Anbahnung eines Beschäftigungsverhältnisses
4 Laufendes Beschäftigungsverhältnis
5 Ausscheiden aus dem Beschäftigungsverhältnis
Page 22
intersoft consulting services AG
Personalfragebogen
Darf nur Fragen enthalten, die für die Durchführung des
Arbeitsverhältnisses erforderlich sind (ansonsten als optional
kennzeichnen)
Betriebsrat muss zustimmen (§ 94 Abs. 1 Satz 1 BetrVG)
Page 23
intersoft consulting services AG
Datenschutz in der Personalabteilung
Zulässige Fragen im Personalfragebogen (Arbeitsbeginn) :
Adresse/Kontaktdaten
Notfallkontakt
Alter, Familienstand
Schwerbehinderteneigenschaft
Religion
Vermögensverhältnisse
Hobbies
Rauchereigenschaft
Bisheriges Gehalt
Vorstrafen
Geplante Elternzeit
?
?
O
O
Page 24
intersoft consulting services AG
Personalausweis und Führerschein
Ist das Kopieren von Personalausweis und Führerscheine zu
Dokumentationszwecken zulässig?
Page 25
intersoft consulting services AG
Krankmeldungen
AU direkt an Personalabteilung
AU verschlossen aufbewahren
Details vertraulich behandeln
Page 26
intersoft consulting services AG
BEM
Der AG ist gemäߧ84 Abs. 2 SGB IX dazu verpflichtet ein
betriebliches Eingliederungsmanagement anzubieten!
Dabei ist auf den Datenschutz zu achten:
Schriftliche Einwilligung des Betroffenen
erforderlich
Mitbestimmungsrechte des BR wahren
Unterlagen zu BEM gesondert von der
Personalakte verwahren
BEM-Team gemäߧ5 BDSG auf das
Datengeheimnis verpflichten
Page 27
intersoft consulting services AG
Arbeitszeiterfassung
Grundsätzlich zulässig zur Vertragserfüllung bei Gleitzeit
Wichtig insbesondere
Transparenz
Manipulationsschutz
Berechtigungssystem
Mitbestimmungspflichtig,§ 87 Abs. 1 Nr. 6 BDSG
Vorabkontrolle durch DSB
Unbedingt Trennungsgebot beachten
Grundsätzlich keine Zusammenführung mit Daten anderer Zweckbestimmung
z.B. kein Abgleich mit Videodaten der Zugangskontrolle
Bei der Ahndung von Pflichtverletzungen gilt:
Betriebsrat einbeziehen, entsprechend der BV vorgehen
Verhältnismäßigkeit (Verdacht einer Straftat?)
Page 28
intersoft consulting services AG
Fotos von Mitarbeitern
designed by Asierromero - Freepik.com
Verwendung grundsätzlich nur mit Einwilligung!
Bildmaterial konkret bezeichnen
Verwendungszwecke konkret
bezeichnen
Auf die Möglichkeit des Widerrufs
hinweisen
Page 29
intersoft consulting services AG
Skill-Management
Mitbestimmungsrechte des Betriebsrates beachten
Wie soll die Aktualität gewährleistet werden?
möglichst transparent gestalten
Page 30
intersoft consulting services AG
Mitarbeiterbefragungen
Abfrage aller AN zu subjektiven
Einschätzungen über Arbeitsumfeld,
Arbeitszufriedenheit, etc.
i.d.R. Durchführung in anonymisierter Form
bei Personenbeziehbarkeit: Freiwilligkeit der
Teilnahme
Page 31
intersoft consulting services AG
Agenda
1 Grundsätzliches zum Datenschutz
2 Elektronische Personalakte
3 Anbahnung eines Beschäftigungsverhältnisses
4 Laufendes Beschäftigungsverhältnis
5 Ausscheiden aus dem Beschäftigungsverhältnis
Page 32
intersoft consulting services AG
Laufzettel
Datenträger zurückgegeben (Notebook, Mobiltelefon, Tablet,
USB-Sticks)
Chip-Karte, Schlüssel zurückgegeben
Private Daten von Laufwerken (und ggf. aus E-Mail-Konto)
gelöscht
Beim Ausscheiden bietet sich ein „Laufzettel“ an
Damit in der IT-Abteilung Rechteentzug beantragen!
Page 33
intersoft consulting services AG
Aufbewahrungsfristen (nicht abschließend)
Die Frist beginnt Ende des Jahres, in dem der Mitarbeiter ausgeschieden ist.
Nach 3 Jahren verjähren Ansprüche auf Erteilung eines Arbeitszeugnisses, Schadensersatzansprüche, etc.
Nach 6 bzw. 10 Jahren enden steuerrechtliche Aufbewahrungsfristen.
Nach 10 Jahren sind Personalakten regelmäßig zu vernichten!
Page 34
intersoft consulting services AG
Aufbewahrung
„Bayerns Datenschützer sind alarmiert:
Ende Juni wurden in der seit elf Jahren
verlassenen Wiedemann-Klinik am
Starnberger See Krankenakten und
Röntgenbilder gefunden – darunter auch
von deutschen Fernsehstars wie Heinz
Rühmann (1902-1994), Inge Meysel
(1910-2004), Harald Juhnke (1929-2005)
und Klausjürgen Wussow (1929-2007).
Nun ermittelt die Staatsanwaltschaft!
...”BK 28.7.16 S. 10
http://www.nordkurier.de/templin/brisante-personalunterlagen-offen-zugaenglich-1124448208.html
Page 35
intersoft consulting services AG
Als HR-Mitarbeiter sind
Sie wichtiger Vermittler
beim Datenschutz!
Page 36
intersoft consulting services AG
Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs.
Besuchen Sie uns im Internet unter:
www.intersoft-consulting.de
Vielen Dank für Ihre Aufmerksamkeit.
Gern stehe ich Ihnen für Fragen zur Verfügung.
Thorsten LogemannVorstandsvorsitzender der intersoft consulting services AG
E-Mail: [email protected] | Telefon: +49 40 790 235 – 0
Hauptsitz: intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg