Sie sind hier
E-Book

Arbeitnehmerdatenschutz in IT-Entwicklungsprojekten: Datenschutzrechtliche Vorgaben bei der Entwicklung und Einführung von Personalinformationssystemen

AutorUlrike Liss
VerlagDiplomica Verlag GmbH
Erscheinungsjahr2011
Seitenanzahl111 Seiten
ISBN9783842804074
FormatPDF/ePUB
Kopierschutzkein Kopierschutz/DRM
GerätePC/MAC/eReader/Tablet
Preis34,99 EUR
Personalabteilungen in Unternehmen nutzen heute leistungsfähige IT-Systeme in nahezu jedem Tätigkeitsgebiet des Personalmanagements. Ihr Einsatzbereich beginnt bei der Bewerberauswahl und reicht bis hin zur betrieblichen Ruhegeldversorgung nach Ausscheiden aus dem Arbeitsverhältnis.
Solche Personalinformationssysteme befassen sich überwiegend mit Daten, die unmittelbar oder mittelbar mit dem Beschäftigten in Beziehung stehen. Der Umgang mit diesen Daten ermöglicht dem Arbeitgeber ein erhebliches Maß an Leistungs- und Verhaltenskontrolle seiner Mitarbeiter und berührt mithin die Persönlichkeitsrechte der Betroffenen.
Zum Schutz der Arbeitnehmerdaten dienen die Datenschutzgesetze sowie auf kollektivrechtlicher Ebene das Betriebsverfassungsgesetz. Die Einhaltung der Datenschutzgesetze wird durch die Landesaufsichtsbehörden gewährleistet und ein Verstoß mit Bußgeldern sanktioniert. Dem Betriebsrat des Unternehmens stehen bei Verletzung seiner Mitbestimmungsrechte unter Umständen Unterlassungsansprüche zu, mit denen er die Durchführung von Maßnahmen des Arbeitgebers verhindern kann.
Diese Studie ist ein Leitfaden, der den für die Entwicklung und Einführung von Personalinformationssystemen Verantwortlichen im Unternehmen das erforderliche datenschutzrechtliche Wissen vermittelt, spezifische Hinweise gibt und das Augenmerk für datenschutzrelevante Sicherheitslücken und Bedrohungen durch den Einsatz des Systems schult.
Anhand eines an die datenschutzrechtlich relevanten Aspekte angepassten Phasenmodells werden die für jede Phase (Planung, Analyse, Konzeption, Realisierung, Einführung und Nutzung) typischen Fragestellungen, die bei der Entwicklung und Einführung eines Personalinformationssystems auftreten, untersucht und beispielhaft Lösungen aufgezeigt. Es werden zum einen datenschutzrechtliche Themen des Entwicklungs- und Einführungsprozesses als solches untersucht und zum anderen werden die Vorgaben geprüft, denen das Anwendungssystem am Ende seiner Entwicklung nach den Datenschutzgesetzen entsprechen muss, um einen ordnungsgemäßen Umgang mit den personenbezogenen Daten der Belegschaft zu gewährleisten.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe
Textprobe: Kapitel 3.3.2, Sicherheitskonzept: Im Rahmen des Sicherheitskonzepts sind die aus den technischen und organisatorischen Datenschutzanforderungen folgenden Maßnahmen zur Datensicherheit gemäß der Anlage zu § 9 BDSG zu spezifizieren und zu dokumentieren. Das Sicherheitskonzept stellt primär sicher, dass die Entwicklung und Einführung (und natürlich auch der spätere Betrieb) des Personalinformationssystems datenschutzkonform verläuft. Technische und organisatorische Maßnahmen zur Zutritts-, Zugangs- und Zugriffskontrolle: Für den Bereich des Personalmanagements gibt es auf Grund des verstärkten Umgangs mit den besonderen Arten personenbezogener Daten einen sehrl hohen Schutzbedarf. Daher ist für die Personalabteilung zunächst eine eigene Schutzzone einzurichten, für die folgende allgemeine Kriterien gelten: - Räumlichkeiten sind verschlossen zu halten. - Räumlichkeiten sind mit einer separaten Schließung zu versehen. - Arbeitsplätze sind aufgeräumt zu halten. - Die Zutrittsberechtigungen sind auf das absolute Minimum zu beschränken. - Personenbezogene Unterlagen sind mit wirkungsvollem Zugriffsschutz (hohe Passwortgüte) zu versehen. - Ein hinreichendes Berechtigungskonzept ist einzuführen. Zunächst ist ein Verfahren für einen effektiven Zutrittsschutz festzulegen. Immer verbreiteter ist zum Beispiel das Radio Frequency Identification Verfahren (RFID). Bei diesem Verfahren geht es um die berührungslose Übertragung von Informationen zwischen einem Datenträger und einer Leseeinheit zur automatische Identifizierung und Lokalisierung von Lebewesen oder Objekten. Ein RFID-System besteht aus einem Transponder sowie einem Lesegerät zum Auslesen der Transponder-Kennung. Das Lesegerät enthält eine Software, die den eigentlichen Leseprozess steuert und Schnittstellen zu weiteren IT-Systemen und der Datenbank bereithält. Soll dieses Verfahren im Unternehmen eingesetzt werden, sind weiterhin Entscheidungen darüber zu treffen, ob der RFID-Transponder auch für die Zeiterfassung oder andere Leistungen (zum Beispiel die Kantine) eingesetzt werden wird und dementsprechend personalisiert werden muss. In diesem Fall muss weiterhin darauf geachtet werden, dass die personenbezogenen Daten, die auf den Chips gespeichert werden, aufgrund des Gebots der Datenvermeidung und Datensparsamkeit auf eine Minimum reduziert werden (so reicht zum Beispiel die Speicherung der Personalnummer für die Zeiterfassung aus). Für die Zugangskontrolle sollte ein Verfahren gewählt werden, das den Schwächen des herkömmlichen Passwortes (siehe oben) in geeigneter Weise begegnet. Hier gibt es verschiedene Möglichkeiten. Zunächst kann die Passworteingabe über so genannte virtuelle Tastaturen erfolgen. Dabei wird die Tastatur auf dem Bildschirm abgebildet und die eigentliche Passworteingabe erfolgt über die Maus. So können Sniffer-Attacken, bei denen ein Programm die Eingaben zwischen Tastatur und Motherboard überwacht, abgewendet werden. Eine weitere Möglichkeit ist die Verwendung von Einmal-Passwörtern. Diese können nur einmal verwendet werden und ihre Gültigkeit läuft nach kürzester Zeit ab. Zuletzt gibt es auch noch das so genannte Single-Sign-On-System. Hier wird einem Nutzer für das gesamte System ein einziges Passwort zugeordnet und so die Sicherheit erhöht und der Administratoraufwand gesenkt. Abgesehen von einer effektiven technischen Umsetzung der Zugangskontrolle, ist im Rahmen von Mitarbeitergesprächen insbesondere auch darauf zu achten, dass den Arbeitnehmern der Sinn und Zweck von geeigneten Passwörtern und deren Schutz vor unbefugter Kenntnisnahme vermittelt wird. Ein technisch ausgereiftes Single-Sign-On-System wird kaum vor unberechtigtem Zugang schützen, wenn der entsprechende Mitarbeiter dieses Passwort freizügig an seine Kollegen weitergibt. Im Rahmen der Zugriffskontrolle muss ein Berechtigungskonzept entwickelt werden. Zunächst muss die Verantwortlichkeit zur Vergabe und Verwaltung der Nutzerrechte festgelegt werden. In einem weiteren Schritt erfolgt dann die Festlegung der konkreten Rechte für einen ganz bestimmten Nutzer oder aber dessen Zuordnung zu einer Gruppe mit gleichem Rechteniveau. Letzteres geschieht über die Festlegung von Rollen. Eine Rolle fasst alle Berechtigungen zusammen, die eine bestimmte Gruppe von Mitarbeitern für einen bestimmten Geschäftsprozess benötigt. Zuletzt muss regelmäßig überprüft werden, ob das Berechtigungskonzept noch aktuell ist oder sich zum Beispiel Änderungen durch ausgeschiedene Mitarbeiter ergeben. Im Idealfall sollte hier ein entsprechender automatisch ablaufender Prozess zwischen der Personal- und IT-Abteilung eingerichtet werden. Schließlich ist auch eine Entsorgungsordnung festzulegen, um die sichere Datenträgervernichtung zu gewährleisten. In dieser muss geregelt werden, wer für das Entleeren der Papierkörbe verantwortlich ist, wo nicht mehr in Gebrauch befindliche Datenträger gesammelt werden und wie die ordnungsgemäße Lagerung und schließlich Datenvernichtung zu erfolgen hat. Neben der Einrichtung einer allgemeinen Schutzzone für die Personalabteilung erfordern die einzelnen Personalinformationssysteme darüber hinaus spezifische Datensicherheitsmaßnahmen: Bei der digitalen Personalakte muss die Vertraulichkeit der Unterlagen und Datensätze im besonderen Maße sichergestellt werden, weil hier verstärkt besondere Arten personenbezogener Daten erhoben, gespeichert und genutzt werden (zum Beispiel die Zugehörigkeit zu einer Religionsgemeinschaft, für die Kirchensteuer abzuführen ist oder die Angaben zur Staatsangehörigkeit, Schwerbehinderung oder zu Gehaltspfändungen). Soll die Personalakte im Zuge der Einführung eines Personalinformationssystems erst digitalisiert werden, erfolgt ein Medienwechsel, der besondere organisatorische Schutzvorkehrungen verlangt (sicheres Dokumentenscanning, Test auf jederzeitige Lesbarkeit der gespeicherten Datensätze, besonderer Zugriffsschutz, Einsatz einer Transportverschlüsselung zwischen Client und Server bei Datenaufruf und Datenübertragung sowie eine Protokollierung aller Zugriffe). Leistungsbewertungen im Rahmen von Performance-Management-Systemen sind der Personalakte zuzuordnen. Gehen im Rahmen eines Beschaffungsmanagementsystems Bewerbungen per Email ein, sind diese separat zu speichern und zu sichern. Werden Bewerbungen im Rahmen des e-Recruiting nur über das Internet aufgenommen, muss die verantwortliche Stelle sicherstellen, dass ein besonderes Schutzkonzept entwickelt wird, das zunächst für eine gesicherte Übertragung des Webformulars (Verschlüsselung mittels SSL) und einen gesicherten Webserver sorgt und eine entsprechende Datenschutzerklärung auf der Webseite bereithält. Bei Arbeitszeitmanagementsystemen muss zusätzlich zu einem wirksamen Zugangsschutz gewährleistet sein, dass betroffene Mitarbeiter jeweils nur ihre eigenen Zeiten in einem elektronischen Arbeitszeitkonto einsehen dürfen. Werden im Rahmen der Zeiterfassung auch die Gründe für die Abwesenheit festgehalten und handelt es sich bei diesen Informationen um besondere Arten personenbezogener Daten (zum Beispiel Gesundheitsdaten), so dürfen diese wiederum nur einem beschränkten Personenkreis zugänglich gemacht werden. Im Zusammenhang mit den Abrechnungsdaten bei der Lohn- und Gehaltsabrechnung sind insbesondere die Schnittstellen zu Softwaretools von öffentlichen Stellen (ELSTER oder DAKOTA) oder zu privaten Institutionen wie den Banken besonders zu schützen. Hier müssen geeignete Übertragungswege vereinbart werden um eine sichere Übertragung der Abrechnungsdaten zu gewährleisten.
Blick ins Buch
Inhaltsverzeichnis
Arbeitnehmerdatenschutz in IT-Entwicklungsprojekten1
I. Inhaltsverzeichnis3
II. Abkürzungsverzeichnis6
III. Tabellenverzeichnis7
IV. Abbildungsverzeichnis8
1 Einleitung und Untersuchungsgegenstand9
2 Softwaretechnische, datenschutzrechtliche und betriebswirtschaftliche Grundlagen13
2.1 Personalinformationssysteme13
2.2 Datenschutz - Grundlagen15
2.2.1 Die bei der Entwicklung und Einführung von PIS einschlägigen (datenschutzrechtlichen) Gesetze und Vorschriften16
2.2.2 Das informationelle Selbstbestimmungsrecht als Grundlage für den Datenschutz in Deutschland25
2.3 Ein angepasstes Phasenmodell zur systematischen Abhandlung der datenschutzrechtlichen Fragestellungen26
2.3.1 Beschreibung von Vorgehensmodellen26
2.3.2 Die einzelnen Phasen des datenschutzspezifischen Phasenmodells28
3 Datenschutzrechtliche Anforderungen an die Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen bei der Entwicklung und Einführung von PIS31
3.1 Planung32
3.1.1 Anwendbarkeit des BDSG, BetrVG und von Tarifverträgen im Einzelfall32
3.1.2 Beteiligung weiterer Stellen35
3.2 Analyse45
3.2.1 Vorliegen eines Eingriffs46
3.2.2 Eingriffsrechtfertigung64
3.3 Konzeption76
3.3.1 Datenschutzkonzept77
3.3.2 Sicherheitskonzept82
3.4 Realisierung86
3.4.1 Programmierung86
3.4.2 Tests87
3.5 Einführungsphase88
3.6 Nutzung89
3.6.1 Unternehmensalltag90
3.6.2 Wartung90
4 Schlussbemerkung93
V. Literatur und Quellenverzeichnis95
VI. Handout99

Weitere E-Books zum Thema: Personal - Personalmanagement

Teams effizient führen

E-Book Teams effizient führen
Format: PDF

Erfolgreich durch Teamwork Nichts ist mehr so wie früher, und nichts wird mehr so sein. Diese Erkenntnis verspüren heute fast alle Unternehmen, die im Zuge der schlanken Organisation,…

Teams effizient führen

E-Book Teams effizient führen
Format: PDF

Erfolgreich durch Teamwork Nichts ist mehr so wie früher, und nichts wird mehr so sein. Diese Erkenntnis verspüren heute fast alle Unternehmen, die im Zuge der schlanken Organisation,…

Weitere Zeitschriften

Baumarkt

Baumarkt

Baumarkt enthält eine ausführliche jährliche Konjunkturanalyse des deutschen Baumarktes und stellt die wichtigsten Ergebnisse des abgelaufenen Baujahres in vielen Zahlen und Fakten zusammen. Auf ...

Berufsstart Gehalt

Berufsstart Gehalt

»Berufsstart Gehalt« erscheint jährlich zum Sommersemester im Mai mit einer Auflage von 50.000 Exemplaren und ermöglicht Unternehmen sich bei Studenten und Absolventen mit einer ...

Card-Forum

Card-Forum

Card-Forum ist das marktführende Magazin im Themenbereich der kartengestützten Systeme für Zahlung und Identifikation, Telekommunikation und Kundenbindung sowie der damit verwandten und ...

caritas

caritas

mitteilungen für die Erzdiözese FreiburgUm Kindern aus armen Familien gute Perspektiven für eine eigenständige Lebensführung zu ermöglichen, muss die Kinderarmut in Deutschland nachhaltig ...

Das Grundeigentum

Das Grundeigentum

Das Grundeigentum - Zeitschrift für die gesamte Grundstücks-, Haus- und Wohnungswirtschaft. Für jeden, der sich gründlich und aktuell informieren will. Zu allen Fragen rund um die Immobilie. Mit ...

Das Hauseigentum

Das Hauseigentum

Das Hauseigentum. Organ des Landesverbandes Haus & Grund Brandenburg. Speziell für die neuen Bundesländer, mit regionalem Schwerpunkt Brandenburg. Systematische Grundlagenvermittlung, viele ...

dima

dima

Bau und Einsatz von Werkzeugmaschinen für spangebende und spanlose sowie abtragende und umformende Fertigungsverfahren. dima - die maschine - bietet als Fachzeitschrift die Kommunikationsplattform ...

EineWelt

EineWelt

Lebendige Reportagen, spannende Interviews, interessante Meldungen, informative Hintergrundberichte. Lesen Sie in der Zeitschrift „EineWelt“, was Menschen in Mission und Kirche bewegt Man kann ...