Datenschutz, Geheimhaltung und IT-Sicherheit: Wie baut man eine rechtssichere Personalabteilung auf?

Heute haben die meisten Unternehmen ihre HR-Prozesse, Personaldaten und Personalakten komplett digitalisiert. Das hat viele praktische Vorteile für die Personalabteilung und ermöglicht für die Mitarbeitenden schnellen Zugriff auf die eigenen Daten und erhöht die Transparenz. Gleichzeitig entstehen durch die zunehmende Digitalisierung auch Risiken, die bewusst vermieden und verringert werden sollten. Datenklau und -leaks können erheblichen Schaden anrichten. Ebenso spielt die Unternehmensgröße eine Rolle: Was für ein zehnköpfiges Team funktionieren mag, lässt sich selten für 100 Mitarbeitende skalieren. Wir stellen fünf Säulen der HR-Compliance vor, damit eine gesunde Struktur aufgebaut werden kann und vor allem Risiken präventiv eingedämmt werden.

5 Säulen der HR Compliance

1. Sensibilisierung für Datenschutz im HR Team

Wie häufig sollten sich Personalabteilungen mit dem Thema Datenschutz beschäftigen? Johanna Große Daldrup von torq.partners unterstreicht die große Bedeutung von Datenschutz im Personalbereich: 

,,Wir als HR-Team sind in der Verantwortung, achtsam mit den Daten unserer Mitarbeitenden umzugehen. Aus dem Grund ist das Thema Datenschutz ein wichtiger Hygienefaktor, der viel mehr thematisiert werden sollte.”

Durch Sensibilisierung für Datenschutz, sei es durch Training und Weiterbildung, kann das Thema immer natürlicher und bewusster in Prozesse eingebunden werden. Eine interne Prüfung, wer mit welchen Daten arbeitet und Zugriff hat, ist der erste Schritt. Verhaltensweisen und interne Prozesse müssen im zweiten Schritt angepasst werden. Beispielsweise sollten E-Mails mit Dokumenten zu sensiblen Mitarbeiter*innen-Daten nur verschlüsselt versendet werden. Nicht nur virtuell, aber auch räumlich sollte das HR-Team auf Geheimhaltung und Datenschutz achten. Gerade bei shared desk policy oder im Großraumbüros sollte das HR-Team Sichtschutz und Privacy Filter für die Bildschirme einführen. Es empfiehlt sich, für das HR-Team ein separates Büro im Gebäude einzurichten, damit offene Gespräche zu Gehaltsdaten sowie Telefonate mit dem Lohnbüro gewährleistet sind. Home Office und Remote Work spielen immer mehr eine Rolle. Das HR-Team sollte dafür separat geschult und sensibilisiert werden. Eventuell werden nun nicht mehr Kündigungsschreiben im Kopierraum des Büros vergessen, sondern der eigene Bildschirm im Co-Working-Space ungesperrt gelassen oder kein VPN genutzt.

2. Zugangsrechte

In jedem guten HRIS können die Ansichtsrechte für individuelle Daten der Mitarbeitenden angepasst werden. Wer darf eigentlich was sehen, bearbeiten und warum? Eine Frage, die täglich in der HR-Abteilung gestellt werden sollte. Schwierig wird es vor allem in den Grauzonen: Darf man dem Manager die Adresse eines Mitarbeiters schicken, weil sie einen Blumenstrauß zur Genesung schicken wollen? Darf man einen angefragten Report zu Diversity mit dem Kommunikationsteam teilen, wenn dieser eine detaillierte Liste über Mitarbeiter enthält und nicht nur eine Auswertung der Daten in Summe? Hier müssen klare Richtlinien und Leitsätze entwickelt werden, damit nicht aus jeder Anfrage eine Grundsatzdiskussion wird. Diese können intern gemeinsam mit Verantwortlichen aus Datenschutz, Rechtsabteilung und HR entwickelt werden.

3. IT-Sicherheit

Das Personalteam steht heute vor neuen Herausforderungen in Zeiten von Home Office und Remote Work: Was passiert, wenn sich eine Mitarbeiter*in aus dem Workation in Costa Rica nicht über den VPN ins Firmennetzwerk einloggt?

Ohne einen starken IT-Partner an der Hand wird der Aufbau einer rechts- und IT-sicheren Personalabteilung schwer. Themen wie die VPN-Nutzung, das Setup im Home Office oder die Einführung des Single-Sign-On bei neuen HR Systemen müssen berücksichtigt werden, bergen aber auch Herausforderungen. Ein enger Austausch mit einem externen oder internen IT-Team kann bei Problemen helfen und die IT-Sicherheit gewährleisten.

4. Internationalisierung

Die Komplexität der Rechtssicherheit erhöht sich wesentlich, wenn Mitarbeitende in verschiedenen lokalen Entitäten anderer Länder eingestellt werden. Das Personalteam muss sich im Zuge der Einführung und Einstellung damit auseinandersetzen, was im jeweiligen Länderkontext rechtlich vorgegeben ist und wie dies auch im globalen Unternehmenskontext berücksichtigt werden kann. Leitfragen sind hierbei: Welche personenbezogenen Daten darf ich bei der Mitarbeiter*In abfragen und in einem HRIS speichern. Welche Angaben sind freiwillig? Auf welche Dokumente der Mitarbeiter*in darf der Manager auch Zugriff haben?

5. Datenschutzverletzung

Der Ernstfall ist eingetreten und es gibt eine Datenschutzverletzung. Jede Verletzung muss zunächst einmal intern bewertet werden, ob eine Meldung an die jeweilige Datenschutzbehörde (nach Bundesland) notwendig ist. Die Meldung hängt von der Schwere der Panne ab. Beispielsweise ist bei dem Verlieren eines verschlüsselten Datenträgers in der Regel keine Meldung erforderlich. Der wichtigste Schritt ist, die Datenschutzverletzung gründlich zu dokumentieren und sofortige Gegenmaßnahmen einzuführen 
Das Ziel ist dabei, die stetige Verbesserung im Blick zu haben und ein größeres Bewusstsein zu schaffen. Bei dem Reporting geht es nicht um Schuldzuweisung, sondern darum,  eine sogenannte "Post Mortem" Aufklärung zu ermöglichen sowie Bewusstsein und Sensiblisierung für das Thema zu schaffen. Wenn Datenschutzlücken aufgedeckt werden, müssen diese sofort verbessert werden können, ohne dass erst über Verantwortliche gesprochen wird.

Eins ist klar, eine rechtssicheres Personalabteilung entsteht nicht durch Zufall, sondern muss kontinuierlich aufgebaut, evaluiert und verbessert werden. Dazu gehören regelmäßige Schulungen zum Thema für die Personalabteilung und eine offene Zusammenarbeit mit den relevanten Stakeholdern der anderen Abteilungen.