datenschutz bei elektronischer personalakte & datensicherheit
Post on 25-Jan-2015
303 Views
Preview:
DESCRIPTION
TRANSCRIPT
Datenschutz und Datensicherheit bei elektronischer (Personal-
)Aktenführung
inPuncto-Seminar 2014
Andreas Stork
Andreas Stork
AGENDA
1. Arbeitnehmerdatenschutz und Aufbewahrungspflichten
2. Technische und organisatorische Maßnahmen
3. Risikovermeidung und Zertifizierung
1. ARBEITNEHMERDATENSCHUTZ UND AUFBEWAHRUNGSPFLICHTEN
• Struktur
• Einsichtsrechte
• Datenschutzaspekte
• Aufbewahrungsfristen
Struktur der ePersonalakte • Weder Form noch Inhalt sind
gesetzlich geregelt • Sammlung der für das Arbeits-
verhältnis relevanten Unterlagen
• Keine grundlegende Unter-scheidung zwischen eAkte und pAkte
• Aus der Rechtsprechung ent-wickelte Grundsätze: • Transparenz • Richtigkeit • Zulässigkeit • Vertraulichkeit
Quelle: Wikipedia
Einsichtsrecht in die Personalakte: Grundlage
Quelle: Verdi
Einsichtsrecht in die Personalakte: Praxis
• Berechtigter Personenkreis: Alle Arbeitnehmer
• Umfang der Einsichtnahme: Sämtliche Personaldaten (entschlüsselt)
• Durchführung: - Während der Arbeitszeit - Einsicht kann unter Aufsicht stattfinden - Akte reist – nicht der Mitarbeiter - Notizen sind zulässig - Kopien (auf eigene Kosten) möglich
• Hinzuziehung Dritter: Mitglied des Betriebsrats Bevollmächtigung möglich Schwerbehinderte: Vertrauensmann Betroffene (BDSG): Datenschutzbeauftr. Öffentlicher Dienst: Frauen- bzw. Gleich- stellungsbeauftragte
Zulässigkeit nach Bundesdatenschutzgesetz
• Seit 01.09.2009: Arbeitnehmerrechte im BDSG
• Davor: § 28 Abs. 1 S. 1 Nr. 1 BDSG „... wenn es für Begründung, Durch- führung und Beendigung eines rechtge- schäftsähnlichen Schuldverhältnisses er- forderlich ist“
• Aktuell: § 32 BDSG erlaubt die „Datenverarbeitung zur Begründung, Durchführung und Beendigung des Be- schäftigungsverhältnisses“
Datenschutzaspekte und Aufbewahrung
Gesetzliche Aufbe-
wahrung
Gesetzliche Aufbe-
wahrung
Vermeidung von
Rechts- risiken
Vermeidung von
Rechts- risiken
Datenspar- samkeit
Datenspar- samkeit
Datenver- meidung Datenver- meidung
Aufbewahrungsfristen in der Personalakte
6 Monate 6 Monate
Eigene (End-) Zeugnisse
Eigene (End-) Zeugnisse
2 Jahre 2 Jahre
Jugendschutz-unterlagen
Jugendschutz-unterlagen
Mutterschutz-unterlagen
Mutterschutz-unterlagen
Arbeitszeit-unterlagen Arbeitszeit-unterlagen
3 Jahre 3 Jahre
Arbeits-verträge Arbeits-verträge
Beurteilungen Beurteilungen
Unfallve-rsicherungs-unterlagen
Unfallve-rsicherungs-unterlagen
6 Jahre 6 Jahre
Fahrtkosten-belege
Fahrtkosten-belege
Anträge auf AN-Sparzulage
Anträge auf AN-Sparzulage
Reisekosten-abrechnungen Reisekosten-
abrechnungen
10 Jahre 10 Jahre
Gehaltsab-rechnungen Gehaltsab-rechnungen
Belege für Sozialver-sicherung
Belege für Sozialver-sicherung
Arbeitsan-weisungen Arbeitsan-weisungen
unbestimmt unbestimmt
alles andere alles andere
Aufbewahrung: Praktikerlösung in der Personalverwaltung
2. TECHNISCHE UND ORGANISA-TORISCHE MAßNAHMEN
• Besondere Risiken im Datenschutz
• Beweisqualität
• Organisatorische Maßnahmen
• Technische Maßnahmen
Besondere Risiken im Datenschutz
Image- schäden Image-
schäden Schadens-
ersatzpflicht Schadens-
ersatzpflicht
Staatliche Aufsicht
Staatliche Aufsicht
Beweislast- umkehr
Beweislast- umkehr
Beweisqualität
Papier-Personalakte
Urkunde gem. ZPO
Anerkanntes Beweismittel
Elektronische Personalakte
Anscheins- beweis
Freie richterliche Würdigung
Organisatorische Maßnahmen
Vernichtung des
Originals
Dokumentation des Verfahrens
(GoBS)
Verzicht auf Original ist
zulässig
Innerbetriebl. Regelungen und
Kontrollen
GoB-konformes Verfahren
Technische Maßnahmen
Berechtigungsstruktur Berechtigungsstruktur
Relative Berechtigung
Individuelle Berechtigung
Ausschluss der eigenen Akte
Zugriff Zugriff
Temporärer Zugriff
Dezentrale Zugriffsmöglichkeiten
Zugriff des Betriebsrats
Umsetzung technischer Anforderungen
• Ordnungsmäßigkeit
• Vollständigkeit
• Sicherheit des Gesamtverfahrens
• Schutz vor Veränderung und Verfälschung
• Sicherung vor Verlust
• Nutzung nur durch Berechtigte
• Einhaltung der Aufbewahrungsfristen
• Dokumentation des Verfahrens
• Nachvollziehbarkeit
• Prüfbarkeit
3. RISIKOVERMEIDUNG UND ZERTIFIZIERUNG
• Risiken aus der ePersonalakte
• Cremeschnitten-Modell
• Risikobilanz
• Zertifizierung
Risiken aus der ePersonalakte sind wie ...
... eine Cremeschnitte
- VIELSCHICHTIG!
Quelle: http://cremeschnitte.ch
Risiken ePersonalakte: Cremeschnitten-Modell
Risikobilanz
Mehr Effizienz
Geringere Trans-aktionskosten
Mehr Transparenz
Mehr Platz
Bessere Schutzmöglich-keiten
Verknüpfung mit HR-Prozessen
Zusätzliche IT-Risiken
Sicherheitsrisiken
Investitionsrisiken
Vo
rtei
le
Vo
rtei
le
Nach
teile N
achteile
Standards des IDW
IDW RS FAIT 1 IDW RS FAIT 1
GoB bei Einsatz von Informationstechnologie GoB bei Einsatz von Informationstechnologie
IDW RS FAIT 2 IDW RS FAIT 2
GoB bei Einsatz von Electronic Commerce GoB bei Einsatz von Electronic Commerce
IDW RS FAIT 3 IDW RS FAIT 3
GoB beim Einsatz elektronischer Archivierungsverfahren
GoB beim Einsatz elektronischer Archivierungsverfahren
IDW RS FAIT 4 IDW RS FAIT 4
Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse
Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse
IDW PS 261 IDW PS 261
IDW PS 330 IDW PS 330
Abschlussprüfung bei Einsatz von Informationstechnologie Abschlussprüfung bei Einsatz von Informationstechnologie
IDW PS 951 IDW PS 951
Die Prüfung des internen Kontroll-systems beim Dienstleistungs-unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen
Die Prüfung des internen Kontroll-systems beim Dienstleistungs-unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen
IDW PS 880 IDW PS 880
Die Prüfung von Softwareprodukten Die Prüfung von Softwareprodukten
IKS
IKS
IKS-
IT
An
we
nd
un
g
Prüfungsstandards Bescheinigungen
Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken
Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken
PH.9.330.1 PH.9.330.1
Checkliste zur Abschluss-prüfung bei Einsatz von Informationstechnologie
Checkliste zur Abschluss-prüfung bei Einsatz von Informationstechnologie
PH.9.330.2 PH.9.330.2
Prüfung von IT-gestütz-ten Geschäftsprozessen im Rahmen der Abschluss-prüfung
Prüfung von IT-gestütz-ten Geschäftsprozessen im Rahmen der Abschluss-prüfung
PH.9.330.3 PH.9.330.3
Einsatz von Datenanalysen im Rahmen der Abschlussprüfung
Einsatz von Datenanalysen im Rahmen der Abschlussprüfung
Zertifizierung
Prüfung erfolgt auf Grundlage einer Verfahrensdoku-mentation. Basis hierfür sind die Prüfkriterien für Dokumententenmanagementlösungen (PK-DML) des VOI e.V.
Überprüfung der Einhaltung der Vorgaben und die Zertifizierung von elektro-nischen Archivsystemen, bzw. in kaufmännische Anwendungen oder Doku-mentenmanagement integrierte Archivkomponenten, erfolgt durch Wirt-schaftsprüfer beim Anwender vor Ort. Sofwarebescheinigung, die dem Auf- traggeber Ordnungsmäßigkeit und Sicherheit des Systems bestätigt.
Noch Fragen?
• Andreas Stork
o Telefon: (07151) 502671
o Telefax: (07151) 502672
o Handy: (0174) 600 8831
o web: www.auditcoach.org
o eMail: info@auditcoach.de
o Xing: https://www.xing.com/profile/Andreas_Stork
top related