BLOG
Wer hat Einsicht in die Personalakte? HR-Rollen- und -Rechtemanagement gemäß DSGVO
Datenschutz ist für jede HR-Abteilung sicherlich kein Neuland. Mit der 2018 eingeführten Datenschutz-Grundverordnung (DSGVO) sind die Anforderungen an das Personalmanagement aber noch einmal angestiegen. Wie Sie den Anforderungen entsprechen, erfahren Sie im Beitrag.
Betroffene, darunter unter anderem Mitarbeiter und Bewerber, haben mehr Rechte beim Umgang mit personenbezogenen Daten. Gleichzeitig wird das Unternehmen stärker in die Pflicht genommen, um für die Einhaltung der damit verbundenen gesetzlichen Bestimmungen zu sorgen. Denn die Strafen für Datenschutzverstöße wurden mit Einführung der DSGVO empfindlich erhöht.
Für die Personalabteilung bedeutet das: Der Datenschutz muss proaktiv angegangen und von vornherein in allen relevanten HR-Prozessen implementiert werden. Dabei geht es um weit mehr, als nur die Frage zu beantworten, wer in die Personalakte Einsicht bekommt. In diesem Blogbeitrag erklären wir Ihnen, welche Bedeutung dabei ein klar ausgearbeitetes Rollen- und Rechtemanagement beim Umgang mit Personaldaten hat. Und wir zeigen Ihnen einen Weg auf, um dieses Instrument für einen proaktiven Datenschutz in Ihrem Unternehmen zu implementieren.
Rollen- und Rechtemanagement im Personalwesen: absolut notwendig!
Die rechtliche Grundlage für den Aufbau eines Rollen- und Rechtemanagements in der HR ist das „Need-to-know“-Prinzip. Es geht auf Kapitel 2 Art. 5 Absatz 1b, Kapitel 2 Art. 5 Absatz 1f sowie Kapitel 4 Art. 32 Abs. 1b der DSGVO zurück. Im Kern verlangt der Gesetzgeber, dass Unternehmen bei der Bearbeitung personenbezogener Daten sicherstellen, dass sie einer „Zweckbindung“ unterliegen und die „Integrität und Vertraulichkeit“ der Daten in hinreichendem Maße gewährleistet ist.
Das hat für die Praxis in der Personalabteilung zwei Folgen:
- Sie ist dazu verpflichtet, Maßnahmen zu treffen, durch die personenbezogene Daten nur von Personen im Rahmen einer konkreten Aufgabenerfüllung im Unternehmen eingesehen und bearbeitet werden können. Diese Maßnahmen müssen technisch und organisatorisch umgesetzt werden.
- Sie müssen diese Maßnahmen in einem „Berechtigungskonzept“ dokumentieren. Das Berechtigungskonzept beinhaltet die schriftliche Ausarbeitung des Rollen- und Rechtemanagements.
Wie das Rollen- und Rechtemanagement im HR-Bereich funktioniert
Der Datenschutz beginnt im Personalwesen bereits vor dem Rollen- und Rechtemanagement mit der Erhebung der Daten. Diese müssen nach dem Prinzip der Zweckbindung eine belegbare Funktion haben, also für das Arbeitsverhältnis erforderlich sein. Mit dem Rollen- und Rechtemanagement wird der weitere Zugriff und die Bearbeitung dieser Daten im Unternehmen geregelt: Wer darf wie und mit welchen Mitteln auf personenbezogene Daten von Mitarbeitern oder Bewerbern zugreifen?
Sehen wir uns dazu drei Beispiele an, wie Zugriffsrechte vergeben werden können:
Beispiel 1: Sachbearbeiterin aus der Lohnbuchhaltung
Der Sachbearbeiterin wird im Rollen- und Rechtemanagement Zugriff auf alle Informationen von Mitarbeiterinnen und Mitarbeitern gewährt, die im Rahmen der Gehaltsabrechnung notwendig sind. Dazu können zum Beispiel der Zugriff auf Gehalts- und Kontoinformationen sowie die Religionszugehörigkeit zählen.
Darüber hinaus legt das Rollen- und Rechtemanagement auch fest, welche Art des Zugriffs gewährt wird. So könnte es Sachbearbeiterin A aus der Lohnbuchhaltung nur gestattet sein, die für die Gehaltsabrechnung notwendigen Informationen einzusehen, diese aber nicht zu verändern oder zu löschen.
Beispiel 2: Sachbearbeiter aus dem Personalwesen
Sachbearbeiter B ist im Rahmen seiner Tätigkeit für die Verwaltung der digitalen Personalakten zuständig: Im Rahmen des Datenschutzes sucht er bei Bedarf Informationen heraus, nimmt Änderungen der Einträge vor und archiviert Mitarbeiterdaten. Dafür bekommt Sachbearbeiter B im Rollen- und Rechtemanagement ein Profil zugewiesen, das ihm die Durchführung dieser Aufgaben ermöglicht.
Dieses Profil beinhaltet auch Einschränkungen beim Umgang mit personenbezogenen Daten. Dieses Verbot kann zum Beispiel die Möglichkeit enthalten, einen kompletten Datensatz zu löschen oder technische Änderungen an den Datensätzen vorzunehmen.
Beispiel 3: Geschäftsführerin auf Managementebene
Anders verhält es sich mit der Geschäftsführerin C. Als Verantwortliche des Unternehmens erhält sie im Rollen- und Rechtemanagement einen Vollzugriff auf alle personenbezogenen Daten im System: Sie kann alle Informationen zu Mitarbeitern einsehen, erstellen, ändern oder löschen und technische Änderungen vornehmen.
Die DSGVO im Personalwesen: Daran führt kein Weg vorbei
In unserem Leitfaden zeigen wir Ihnen, wie Sie in Ihrer HR-Abteilung ein DSGVO-konformes Berechtigungskonzept etablieren – inklusive Anleitung und Checkliste. Hier geht’s zum gratis Download!
Standardisieren und Clustern: Bessere Übersicht im Rollen- und Rechtemanagement
Aus den drei zuvor genannten Beispielen könnte geschlussfolgert werden, im Rollen- und Rechtemanagement wird für alle Mitarbeiter, die mit personenbezogenen Daten in Kontakt kommen, ein individuelles Profil erstellt, das die jeweiligen Zugriffsrechte genau definiert. Ein DSGVO-konformes Rollen- und Rechtekonzept geht über die bloße Lesen, also wer in die Personalakte Einsicht erhält, hinaus.
Ein solcher Ansatz wäre zwar DSGVO-konform, aber in der Praxis viel zu aufwändig, weil für alle Mitarbeiter individuelle Rollen definiert werden müssten.
Einfacher ist es, standardisierte Rollen zu schaffen, die alle relevanten Aufgabenbereiche im Unternehmen im Zusammenhang mit personenbezogenen Daten abdecken. Für diese standardisierten Rollen werden dann jeweils DSGVO-konforme Zugriffsrechte definiert, die für die Erfüllung der jeweiligen Aufgaben benötigt werden. Schließlich können diesen Rollen dann konkrete Mitarbeiter zugeordnet werden.
Der Vorteil dieses Vorgehens: Treten Mitarbeiter neu in das Unternehmen ein, verändern ihre Position oder scheiden aus dem Unternehmen aus, wird ihnen einfach ein entsprechendes Rollenprofil zugewiesen oder sie verlieren ihre Zugriffsrechte ganz.
Mit Blick auf die zuvor genannten Beispiele ließen sich also beispielhaft drei unterschiedliche Rollen bilden und mit Zugriffsrechten verknüpfen:
- Rolle 1: Sachbearbeitung Lohnbuchhaltung
Zugriffsrechte: Abfrage von Daten - Rolle 2: Sachbearbeitung Personalwesen
Zugriffsrechte: Abfrage von Daten, Erstellung von Daten, Änderung von Daten - Rolle 3: Geschäftsführung
Zugriffsrechte: Daten Vollzugriff
Digitale Identitäten: Zugriffsrechte gelten nicht nur für Personen
In Unternehmen laufen heutzutage viele Prozesse digital ab. Personenbezogene Daten werden mit Hilfe einer technischen Infrastruktur aus Hard- und Software bearbeitet, transferiert, abgerufen und gespeichert. Die DSGVO sieht deshalb vor, dass ein Rollen- und Rechtemanagement in der HR nicht nur Personen betrifft, sondern auch Software-Programme und Endgeräte beinhalten muss.
Aus diesem Grund werden die Rollen, die im Zuge des Rollen- und Rechtemanagements gebildet werden, auch als „digitale Identitäten“ bezeichnet. Diese beziehen sich sowohl auf Software-Anwendungen und Geräte als auch auf Personen.
Datenschutz in der HR: Die digitale Personalakte wird zum Standard
Der hier beschriebene Aufbau eines DSGVO-konformes Rollen- und Rechtemanagement im HR-Bereich klingt auf den ersten Blick nach einem komplizierten und aufwendigen Verfahren. Die Vorgaben sind in der DSGVO jedoch so angelegt worden, dass sie sich mit Hilfe digitaler Tools sehr gut umsetzen lassen.
Aufbauend auf der digitalen Personalakte können Sie sehr schnell ein software-basiertes Berechtigungskonzept für das Rollen- und Rechtemanagement in Ihrem Unternehmen aufziehen, z.B. mit easy hr. Haben Sie ein solches Berechtigungskonzept erst einmal aufgesetzt und im Betrieb implementiert, haben Sie nicht nur einen großen Schritt zur Erfüllung der gesetzlichen Datenschutzauflagen gemacht. Sie erhalten auch ein viel größeres Maß an Transparenz und Kontrolle beim Umgang mit sensiblen Mitarbeiterdaten.
Whitepaper: schritt für schritt zur digitalen personalabteilung
In Ihrer Personalabteilung türmen sich verstaubte Personalakten und Ihr Team verschwindet hinter Papierbergen auf Schreibtischen? Zeit für eine Revolution! Mit unserer Checkliste führen wir Sie Schritt für Schritt in ein neues Zeitalter der HR-Arbeit.