Personalabteilungen in Unternehmen nutzen heute leistungsfähige IT-Systeme in nahezu jedem Tätigkeitsgebiet des Personalmanagements. Ihr Einsatzbereich beginnt bei der Bewerberauswahl und reicht bis hin zur betrieblichen Ruhegeldversorgung nach Ausscheiden aus dem Arbeitsverhältnis. Solche Personalinformationssysteme befassen sich überwiegend mit Daten, die unmittelbar oder mittelbar mit dem Beschäftigten in Beziehung stehen. Der Umgang mit diesen Daten ermöglicht dem Arbeitgeber ein erhebliches Maß an Leistungs- und Verhaltenskontrolle seiner Mitarbeiter und berührt mithin die Persönlichkeitsrechte der Betroffenen. Zum Schutz der Arbeitnehmerdaten dienen die Datenschutzgesetze sowie auf kollektivrechtlicher Ebene das Betriebsverfassungsgesetz. Die Einhaltung der Datenschutzgesetze wird durch die Landesaufsichtsbehörden gewährleistet und ein Verstoß mit Bußgeldern sanktioniert. Dem Betriebsrat des Unternehmens stehen bei Verletzung seiner Mitbestimmungsrechte unter Umständen Unterlassungsansprüche zu, mit denen er die Durchführung von Maßnahmen des Arbeitgebers verhindern kann. Diese Studie ist ein Leitfaden, der den für die Entwicklung und Einführung von Personalinformationssystemen Verantwortlichen im Unternehmen das erforderliche datenschutzrechtliche Wissen vermittelt, spezifische Hinweise gibt und das Augenmerk für datenschutzrelevante Sicherheitslücken und Bedrohungen durch den Einsatz des Systems schult. Anhand eines an die datenschutzrechtlich relevanten Aspekte angepassten Phasenmodells werden die für jede Phase (Planung, Analyse, Konzeption, Realisierung, Einführung und Nutzung) typischen Fragestellungen, die bei der Entwicklung und Einführung eines Personalinformationssystems auftreten, untersucht und beispielhaft Lösungen aufgezeigt. Es werden zum einen datenschutzrechtliche Themen des Entwicklungs- und Einführungsprozesses als solches untersucht und zum anderen werden die Vorgaben geprüft, denen das Anwendungssystem am Ende seiner Entwicklung nach den Datenschutzgesetzen entsprechen muss, um einen ordnungsgemäßen Umgang mit den personenbezogenen Daten der Belegschaft zu gewährleisten.

Textprobe: Kapitel 3.3.2, Sicherheitskonzept: Im Rahmen des Sicherheitskonzepts sind die aus den technischen und organisatorischen Datenschutzanforderungen folgenden Maßnahmen zur Datensicherheit gemäß der Anlage zu § 9 BDSG zu spezifizieren und zu dokumentieren. Das Sicherheitskonzept stellt primär sicher, dass die Entwicklung und Einführung (und natürlich auch der spätere Betrieb) des Personalinformationssystems datenschutzkonform verläuft. Technische und organisatorische Maßnahmen zur Zutritts-, Zugangs- und Zugriffskontrolle: Für den Bereich des Personalmanagements gibt es auf Grund des verstärkten Umgangs mit den besonderen Arten personenbezogener Daten einen sehrl hohen Schutzbedarf. Daher ist für die Personalabteilung zunächst eine eigene Schutzzone einzurichten, für die folgende allgemeine Kriterien gelten: - Räumlichkeiten sind verschlossen zu halten. - Räumlichkeiten sind mit einer separaten Schließung zu versehen. - Arbeitsplätze sind aufgeräumt zu halten. - Die Zutrittsberechtigungen sind auf das absolute Minimum zu beschränken. - Personenbezogene Unterlagen sind mit wirkungsvollem Zugriffsschutz (hohe Passwortgüte) zu versehen. - Ein hinreichendes Berechtigungskonzept ist einzuführen. Zunächst ist ein Verfahren für einen effektiven Zutrittsschutz festzulegen. Immer verbreiteter ist zum Beispiel das Radio Frequency Identification Verfahren (RFID). Bei diesem Verfahren geht es um die berührungslose Übertragung von Informationen zwischen einem Datenträger und einer Leseeinheit zur automatische Identifizierung und Lokalisierung von Lebewesen oder Objekten. Ein RFID-System besteht aus einem Transponder sowie einem Lesegerät zum Auslesen der Transponder-Kennung. Das Lesegerät enthält eine Software, die den eigentlichen Leseprozess steuert und Schnittstellen zu weiteren IT-Systemen und der Datenbank bereithält. Soll dieses Verfahren im Unternehmen eingesetzt werden, sind weiterhin Entscheidungen darüber zu treffen, ob der RFID-Transponder auch für die Zeiterfassung oder andere Leistungen (zum Beispiel die Kantine) eingesetzt werden wird und dementsprechend personalisiert werden muss. In diesem Fall muss weiterhin darauf geachtet werden, dass die personenbezogenen Daten, die auf den Chips gespeichert werden, aufgrund des Gebots der Datenvermeidung und Datensparsamkeit auf eine Minimum reduziert werden (so reicht zum Beispiel die Speicherung der Personalnummer für die Zeiterfassung aus). Für die Zugangskontrolle sollte ein Verfahren gewählt werden, das den Schwächen des herkömmlichen Passwortes (siehe oben) in geeigneter Weise begegnet. Hier gibt es verschiedene Möglichkeiten. Zunächst kann die Passworteingabe über so genannte virtuelle Tastaturen erfolgen. Dabei wird die Tastatur auf dem Bildschirm abgebildet und die eigentliche Passworteingabe erfolgt über die Maus. So können Sniffer-Attacken, bei denen ein Programm die Eingaben zwischen Tastatur und Motherboard überwacht, abgewendet werden. Eine weitere Möglichkeit ist die Verwendung von Einmal-Passwörtern. Diese können nur einmal verwendet werden und ihre Gültigkeit läuft nach kürzester Zeit ab. Zuletzt gibt es auch noch das so genannte Single-Sign-On-System. Hier wird einem Nutzer für das gesamte System ein einziges Passwort zugeordnet und so die Sicherheit erhöht und der Administratoraufwand gesenkt. Abgesehen von einer effektiven technischen Umsetzung der Zugangskontrolle, ist im Rahmen von Mitarbeitergesprächen insbesondere auch darauf zu achten, dass den Arbeitnehmern der Sinn und Zweck von geeigneten Passwörtern und deren Schutz vor unbefugter Kenntnisnahme vermittelt wird. Ein technisch ausgereiftes Single-Sign-On-System wird kaum vor unberechtigtem Zugang schützen, wenn der entsprechende Mitarbeiter dieses Passwort freizügig an seine Kollegen weitergibt. Im Rahmen der Zugriffskontrolle muss ein Berechtigungskonzept entwickelt werden. Zunächst muss die Verantwortlichkeit zur Vergabe und Verwaltung der Nutzerrechte festgelegt werden. In einem weiteren Schritt erfolgt dann die Festlegung der konkreten Rechte für einen ganz bestimmten Nutzer oder aber dessen Zuordnung zu einer Gruppe mit gleichem Rechteniveau. Letzteres geschieht über die Festlegung von Rollen. Eine Rolle fasst alle Berechtigungen zusammen, die eine bestimmte Gruppe von Mitarbeitern für einen bestimmten Geschäftsprozess benötigt. Zuletzt muss regelmäßig überprüft werden, ob das Berechtigungskonzept noch aktuell ist oder sich zum Beispiel Änderungen durch ausgeschiedene Mitarbeiter ergeben. Im Idealfall sollte hier ein entsprechender automatisch ablaufender Prozess zwischen der Personal- und IT-Abteilung eingerichtet werden. Schließlich ist auch eine Entsorgungsordnung festzulegen, um die sichere Datenträgervernichtung zu gewährleisten. In dieser muss geregelt werden, wer für das Entleeren der Papierkörbe verantwortlich ist, wo nicht mehr in Gebrauch befindliche Datenträger gesammelt werden und wie die ordnungsgemäße Lagerung und schließlich Datenvernichtung zu erfolgen hat. Neben der Einrichtung einer allgemeinen Schutzzone für die Personalabteilung erfordern die einzelnen Personalinformationssysteme darüber hinaus spezifische Datensicherheitsmaßnahmen: Bei der digitalen Personalakte muss die Vertraulichkeit der Unterlagen und Datensätze im besonderen Maße sichergestellt werden, weil hier verstärkt besondere Arten personenbezogener Daten erhoben, gespeichert und genutzt werden (zum Beispiel die Zugehörigkeit zu einer Religionsgemeinschaft, für die Kirchensteuer abzuführen ist oder die Angaben zur Staatsangehörigkeit, Schwerbehinderung oder zu Gehaltspfändungen). Soll die Personalakte im Zuge der Einführung eines Personalinformationssystems erst digitalisiert werden, erfolgt ein Medienwechsel, der besondere organisatorische Schutzvorkehrungen verlangt (sicheres Dokumentenscanning, Test auf jederzeitige Lesbarkeit der gespeicherten Datensätze, besonderer Zugriffsschutz, Einsatz einer Transportverschlüsselung zwischen Client und Server bei Datenaufruf und Datenübertragung sowie eine Protokollierung aller Zugriffe). Leistungsbewertungen im Rahmen von Performance-Management-Systemen sind der Personalakte zuzuordnen. Gehen im Rahmen eines Beschaffungsmanagementsystems Bewerbungen per Email ein, sind diese separat zu speichern und zu sichern. Werden Bewerbungen im Rahmen des e-Recruiting nur über das Internet aufgenommen, muss die verantwortliche Stelle sicherstellen, dass ein besonderes Schutzkonzept entwickelt wird, das zunächst für eine gesicherte Übertragung des Webformulars (Verschlüsselung mittels SSL) und einen gesicherten Webserver sorgt und eine entsprechende Datenschutzerklärung auf der Webseite bereithält. Bei Arbeitszeitmanagementsystemen muss zusätzlich zu einem wirksamen Zugangsschutz gewährleistet sein, dass betroffene Mitarbeiter jeweils nur ihre eigenen Zeiten in einem elektronischen Arbeitszeitkonto einsehen dürfen. Werden im Rahmen der Zeiterfassung auch die Gründe für die Abwesenheit festgehalten und handelt es sich bei diesen Informationen um besondere Arten personenbezogener Daten (zum Beispiel Gesundheitsdaten), so dürfen diese wiederum nur einem beschränkten Personenkreis zugänglich gemacht werden. Im Zusammenhang mit den Abrechnungsdaten bei der Lohn- und Gehaltsabrechnung sind insbesondere die Schnittstellen zu Softwaretools von öffentlichen Stellen (ELSTER oder DAKOTA) oder zu privaten Institutionen wie den Banken besonders zu schützen. Hier müssen geeignete Übertragungswege vereinbart werden um eine sichere Übertragung der Abrechnungsdaten zu gewährleisten.

• Personalinformationssysteme

• Datenschutz

• Datensicherheit

• Phasenmodell

• IT-Entwicklungsprojekt

• Arbeitnehmerdatenschutz

• Personalmanagement

Ulrike Liss wurde 1975 in Berlin geboren. Zunächst studierte sie Rechtswissenschaften an der FU Berlin und schloss daran einen Masterstudiengang in Australien mit dem Schwerpunkt IT-Recht an. Nach ihrem Referendariat begann sie in einem Softwareunternehmen zu arbeiten. Als Wissensarchitektin ist sie in dem Unternehmen für die juristischen und betriebswirtschaftlichen Inhalte der Software verantwortlich. Das im Rahmen ihrer beruflichen Tätigkeit angeeignete praktische Wissen untermauerte und erweiterte sie schließlich durch ein Fernstudium der Wirtschaftsinformatik, welches sie im Juni 2010 erfolgreich abschloss. Als Expertin auf beiden Fachgebieten ist es ein besonderes Interesse von Frau Liss solche Themen zu untersuchen, die eine Schnittstelle sowohl zum Recht als auch zur IT aufweisen. Aus diesem Grund widmet sie sich in dem vorliegenden Buch den datenschutzrechtlichen Themenstellungen, die im Rahmen der Softwareentwicklung relevant sein können.