Arbeitnehmerdatenschutz in IT-Entwicklungsprojekten: Datenschutzrechtliche Vorgaben bei der Entwicklung und Einführung von Personalinformationssystemen

Textprobe: Kapitel 3.3.2, Sicherheitskonzept: Im Rahmen des Sicherheitskonzepts sind die aus den technischen und organisatorischen Datenschutzanforderungen folgenden Maßnahmen zur Datensicherheit gemäß der Anlage zu § 9 BDSG zu spezifizieren und zu dokumentieren. Das Sicherheitskonzept stellt primär sicher, dass die Entwicklung und Einführung (und natürlich auch der spätere Betrieb) des Personalinformationssystems datenschutzkonform verläuft. Technische und organisatorische Maßnahmen zur Zutritts-, Zugangs- und Zugriffskontrolle: Für den Bereich des Personalmanagements gibt es auf Grund des verstärkten Umgangs mit den besonderen Arten personenbezogener Daten einen sehrl hohen Schutzbedarf. Daher ist für die Personalabteilung zunächst eine eigene Schutzzone einzurichten, für die folgende allgemeine Kriterien gelten: - Räumlichkeiten sind verschlossen zu halten. - Räumlichkeiten sind mit einer separaten Schließung zu versehen. - Arbeitsplätze sind aufgeräumt zu halten. - Die Zutrittsberechtigungen sind auf das absolute Minimum zu beschränken. - Personenbezogene Unterlagen sind mit wirkungsvollem Zugriffsschutz (hohe Passwortgüte) zu versehen. - Ein hinreichendes Berechtigungskonzept ist einzuführen. Zunächst ist ein Verfahren für einen effektiven Zutrittsschutz festzulegen. Immer verbreiteter ist zum Beispiel das Radio Frequency Identification Verfahren (RFID). Bei diesem Verfahren geht es um die berührungslose Übertragung von Informationen zwischen einem Datenträger und einer Leseeinheit zur automatische Identifizierung und Lokalisierung von Lebewesen oder Objekten. Ein RFID-System besteht aus einem Transponder sowie einem Lesegerät zum Auslesen der Transponder-Kennung. Das Lesegerät enthält eine Software, die den eigentlichen Leseprozess steuert und Schnittstellen zu weiteren IT-Systemen und der Datenbank bereithält. Soll dieses Verfahren im Unternehmen eingesetzt werden, sind weiterhin Entscheidungen darüber zu treffen, ob der RFID-Transponder auch für die Zeiterfassung oder andere Leistungen (zum Beispiel die Kantine) eingesetzt werden wird und dementsprechend personalisiert werden muss. In diesem Fall muss weiterhin darauf geachtet werden, dass die personenbezogenen Daten, die auf den Chips gespeichert werden, aufgrund des Gebots der Datenvermeidung und Datensparsamkeit auf eine Minimum reduziert werden (so reicht zum Beispiel die Speicherung der Personalnummer für die Zeiterfassung aus). Für die Zugangskontrolle sollte ein Verfahren gewählt werden, das den Schwächen des herkömmlichen Passwortes (siehe oben) in geeigneter Weise begegnet. Hier gibt es verschiedene Möglichkeiten. Zunächst kann die Passworteingabe über so genannte virtuelle Tastaturen erfolgen. Dabei wird die Tastatur auf dem Bildschirm abgebildet und die eigentliche Passworteingabe erfolgt über die Maus. So können Sniffer-Attacken, bei denen ein Programm die Eingaben zwischen Tastatur und Motherboard überwacht, abgewendet werden. Eine weitere Möglichkeit ist die Verwendung von Einmal-Passwörtern. Diese können nur einmal verwendet werden und ihre Gültigkeit läuft nach kürzester Zeit ab. Zuletzt gibt es auch noch das so genannte Single-Sign-On-System. Hier wird einem Nutzer für das gesamte System ein einziges Passwort zugeordnet und so die Sicherheit erhöht und der Administratoraufwand gesenkt. Abgesehen von einer effektiven technischen Umsetzung der Zugangskontrolle, ist im Rahmen von Mitarbeitergesprächen insbesondere auch darauf zu achten, dass den Arbeitnehmern der Sinn und Zweck von geeigneten Passwörtern und deren Schutz vor unbefugter Kenntnisnahme vermittelt wird. Ein technisch ausgereiftes Single-Sign-On-System wird kaum vor unberechtigtem Zugang schützen, wenn der entsprechende Mitarbeiter dieses Passwort freizügig an seine Kollegen weitergibt. Im Rahmen der Zugriffskontrolle muss ein Berechtigungskonzept entwickelt werden. Zunächst muss die Verantwortlichkeit zur Vergabe und Verwaltung der Nutzerrechte festgelegt werden. In einem weiteren Schritt erfolgt dann die Festlegung der konkreten Rechte für einen ganz bestimmten Nutzer oder aber dessen Zuordnung zu einer Gruppe mit gleichem Rechteniveau. Letzteres geschieht über die Festlegung von Rollen. Eine Rolle fasst alle Berechtigungen zusammen, die eine bestimmte Gruppe von Mitarbeitern für einen bestimmten Geschäftsprozess benötigt. Zuletzt muss regelmäßig überprüft werden, ob das Berechtigungskonzept noch aktuell ist oder sich zum Beispiel Änderungen durch ausgeschiedene Mitarbeiter ergeben. Im Idealfall sollte hier ein entsprechender automatisch ablaufender Prozess zwischen der Personal- und IT-Abteilung eingerichtet werden. Schließlich ist auch eine Entsorgungsordnung festzulegen, um die sichere Datenträgervernichtung zu gewährleisten. In dieser muss geregelt werden, wer für das Entleeren der Papierkörbe verantwortlich ist, wo nicht mehr in Gebrauch befindliche Datenträger gesammelt werden und wie die ordnungsgemäße Lagerung und schließlich Datenvernichtung zu erfolgen hat. Neben der Einrichtung einer allgemeinen Schutzzone für die Personalabteilung erfordern die einzelnen Personalinformationssysteme darüber hinaus spezifische Datensicherheitsmaßnahmen: Bei der digitalen Personalakte muss die Vertraulichkeit der Unterlagen und Datensätze im besonderen Maße sichergestellt werden, weil hier verstärkt besondere Arten personenbezogener Daten erhoben, gespeichert und genutzt werden (zum Beispiel die Zugehörigkeit zu einer Religionsgemeinschaft, für die Kirchensteuer abzuführen ist oder die Angaben zur Staatsangehörigkeit, Schwerbehinderung oder zu Gehaltspfändungen). Soll die Personalakte im Zuge der Einführung eines Personalinformationssystems erst digitalisiert werden, erfolgt ein Medienwechsel, der besondere organisatorische Schutzvorkehrungen verlangt (sicheres Dokumentenscanning, Test auf jederzeitige Lesbarkeit der gespeicherten Datensätze, besonderer Zugriffsschutz, Einsatz einer Transportverschlüsselung zwischen Client und Server bei Datenaufruf und Datenübertragung sowie eine Protokollierung aller Zugriffe). Leistungsbewertungen im Rahmen von Performance-Management-Systemen sind der Personalakte zuzuordnen. Gehen im Rahmen eines Beschaffungsmanagementsystems Bewerbungen per Email ein, sind diese separat zu speichern und zu sichern. Werden Bewerbungen im Rahmen des e-Recruiting nur über das Internet aufgenommen, muss die verantwortliche Stelle sicherstellen, dass ein besonderes Schutzkonzept entwickelt wird, das zunächst für eine gesicherte Übertragung des Webformulars (Verschlüsselung mittels SSL) und einen gesicherten Webserver sorgt und eine entsprechende Datenschutzerklärung auf der Webseite bereithält. Bei Arbeitszeitmanagementsystemen muss zusätzlich zu einem wirksamen Zugangsschutz gewährleistet sein, dass betroffene Mitarbeiter jeweils nur ihre eigenen Zeiten in einem elektronischen Arbeitszeitkonto einsehen dürfen. Werden im Rahmen der Zeiterfassung auch die Gründe für die Abwesenheit festgehalten und handelt es sich bei diesen Informationen um besondere Arten personenbezogener Daten (zum Beispiel Gesundheitsdaten), so dürfen diese wiederum nur einem beschränkten Personenkreis zugänglich gemacht werden. Im Zusammenhang mit den Abrechnungsdaten bei der Lohn- und Gehaltsabrechnung sind insbesondere die Schnittstellen zu Softwaretools von öffentlichen Stellen (ELSTER oder DAKOTA) oder zu privaten Institutionen wie den Banken besonders zu schützen. Hier müssen geeignete Übertragungswege vereinbart werden um eine sichere Übertragung der Abrechnungsdaten zu gewährleisten.