Unstimmigkeiten im Datenschutz im HR-Bereich stellen für viele Unternehmen eine große Herausforderung dar. Oft wissen die Verantwortlichen in den einzelnen Fachabteilungen selbst nicht genau, wie sich verschiedene Aspekte des Datenschutzes auf die Mitarbeiter_innen auswirken. Insbesondere in der Personalabteilung stellt sich immer wieder die Frage, welche Berechtigungen in Bezug auf den Datenschutz erteilt werden.
Erfüllen Angestellte bestimmte Rollen im Unternehmen, verfügen sie in der Regel über zusätzliche Berechtigungen bezüglich der Daten von Mitarbeiter_innen. Oft dürfen Personalbetreuer_innen oder Zeitbeauftragte zum Beispiel mehr Daten sichten, als andere Angestellte im Personalbereich.
Um die DSVGO umzusetzen, ist es notwendig, dass Unternehmen Klarheit darüber schaffen, wer auf welche Daten zugreifen kann.
In der Praxis verfügt der Großteil der Unternehmen über ein Berechtigungskonzept, das festschreibt, welche Mitarbeiter_innen auf welche Datensätze zugreifen dürfen. Zumeist sind diese Konzepte für den Datenschutz im HR-Bereich jedoch veraltet und berücksichtigen beispielsweise die in Kraft getretene DSVGO noch nicht.
Ein weiterer Nachteil älterer Berechtigungskonzepte besteht häufig darin, dass Personen mit doppelten Rollen mit sehr weitreichenden Berechtigungen ausgestattet werden. Somit kann eine Führungskraft zum Beispiel dazu berechtigt sein, die Daten der ihr unterstellten Mitarbeiter_innen einzusehen. Erfüllt diese Führungskraft gleichzeitig die Rolle eines freigestellten Betriebsrates, der für seinen Bereich ebenfalls Mitarbeiter_innendaten einblicken kann, können sich jeweils unterschiedliche Berechtigungen auf eine Person beziehen. Die verschiedenen Berechtigungen vermischen sich dadurch unter Umständen. So könnte die Führungskraft nicht nur sensible Daten, wie beispielsweise das Gehalt der ihr unterstellten Mitarbeiter_innen einsehen, sondern auch derjenigen, für die sie als Betriebsrat zuständig wäre.
Wenn Verantwortliche sich über diesen Zusammenhang keine Gedanken machen, werden verschiedene Personen mit so weitreichenden Berechtigungen ausgestattet, dass sie die Daten von allen Mitarbeiter_innen eines Unternehmens ohne Einschränkung einsehen können.
Um den Datenschutz im HR-Bereich erfolgreich umzusetzen, sollten Verantwortliche definieren, wie die Berechtigungen am Ende verteilt sein sollen. In diesem Zusammenhang müssen sie sich zum Beispiel Gedanken darüber machen, welche Daten Manager_innen und Personaler_innen einsehen sollen. Auch die betroffenen Fachbereiche und die Dauer der jeweiligen Berechtigung sollten festgelegt werden.
Bei diesem Planungsprozess müssen nicht nur die Berechtigungen für einige wenige Personen, sondern für sämtliche Mitarbeiter_innen festgelegt werden. Insbesondere, wenn zwei Rollen miteinander vermischt werden, müssen Verantwortliche die Berechtigungen der jeweiligen Person genau ausstecken/definieren/ausrichten. In den meisten Fällen gibt es in größeren Unternehmen niemanden, der die Mitarbeiter_innen-Struktur bis ins Detail kennt. Aus diesem Grund ist es sinnvoll, mehrere Fachbereiche miteinzubeziehen. Neben Datenschützer_innen ist dies zum Beispiel die Leitung der Personalabteilung und die der anderen Unternehmensbereiche.
Nachdem die Ziele des neuen Berechtigungskonzeptes ausformuliert wurden, obliegt es der IT-Abteilung, diese im System umzusetzen. Auch hier wird nach entsprechenden Rücksprachen deutlich, ob und inwiefern das Konzept tatsächlich umgesetzt werden kann.
Jan Temminghoff hat an der Westfälischen Hochschule am Standort Bocholt Informatik studiert. Im Rahmen seiner Tätigkeit als SAP-Consultant bei der mindsquare GmbH beschäftigt er sich seit mehreren Jahren mit Berechtigungskonzepten und Datenschutz im HR-Bereich.