Viele Verantwortliche wollen ihre Beschäftigten immer wieder ganz genau im Auge behalten und installieren daher in den meisten Fällen datenschutzwidrige Videoüberwachungsanlagen an Dauerarbeitsplätzen, Sozialräumen und sogar vor den Sanitärräumen. Doch was viel wichtiger ist und häufig aus dem Blick verloren wird, ist die Berechtigungen der einzelnen Beschäftigten über die komplette Dauer des Beschäftigungsverhältnisses zu dokumentieren und den tatsächlichen Anforderungen der Stelle der Beschäftigten anzupassen.
Der Inhalt im Überblick
Berechtigungsvergabe beim On-Boarding
Wesentlich in allen Abteilungen und jeder Phase des Beschäftigungsverhältnisses ist eine geregelte und dokumentierte Vergabe von Berechtigungen.
Maßgeblich für den Umgang mit personenbezogenen Daten ist dabei wie so oft der sog. „Need-to-know-Grundsatz“ (Kenntnis nur bei Erforderlichkeit). Dieser Grundsatz verbietet den Zugang und Zugriff auf Daten, wenn die Informationen nicht unmittelbar für die Erfüllung der konkreten Tätigkeit einer Person benötigt werden.
Für Tätigkeiten im HR-Bereich und den Umgang mit Beschäftigtendaten bedeutet das z.B., dass der Zugriff auf diese Daten grundsätzlich auf die Mitarbeitenden der Personalabteilung sowie bei Bedarf auch auf die Geschäftsführung zu beschränken ist. Speziell in kleineren Unternehmen ist dafür eine klare Benennung des/der Personalverantwortlichen erforderlich.
Insgesamt ist es daher wichtig, sowohl festzulegen, welche Berechtigungen für die Tätigkeit einer Beschäftigten benötigt werden, als auch zu dokumentieren, welche Berechtigungen einer Beschäftigten aktuell erteilt wurden. Es sollte zudem eindeutig definiert werden, wer die Vergabe oder den Entzug von Berechtigungen beantragen und schließlich vergeben oder entziehen kann.
Die Basis zur Festlegung der jeweils erforderlichen Berechtigungen kann selbstverständlich auf Grundlage der im Unternehmen vorhandenen Rollen erstellt werden. Aber natürlich muss diese grundsätzlich nicht für jede Beschäftigte individuell angelegt werden. Dies gilt jedoch nicht für etwaige Ausnahmen, welche ebenfalls mit entsprechender Begründung dokumentiert werden sollten.
Berechtigungsänderungen im laufenden Beschäftigungsverhältnis
Auch während des laufenden Beschäftigungsverhältnisses kann es fatale Folgen haben, die Berechtigungen der Beschäftigten nicht weiter anzupassen und nicht weiter zu beobachten.
Denn letztlich entstehen so potenziell nicht nur Verstöße gegen den „Need-to-know-Grundsatz“, sondern auch schnell mal ein Datenschutzvorfall, wenn die Berechtigungen nicht mehr unter Kontrolle sind.
Das wohl bekannteste Beispiel aus der Praxis dazu ist wohl der Praktikant oder die Auszubildende welche am Ende ihrer Ausbildung, mehr Berechtigungen als jeder andere im Unternehmen hat.
Daher sollte bei jedem Positionswechsel eines Beschäftigten auch die IT in die Prozesse eingebunden werden, um nach dem positionsabhängigen Basisberechtigungskonzept die vergebenen Berechtigungen entsprechend der neuen Position anzupassen.
Berechtigungsentzug beim Off-Boarding
Scheiden Beschäftigte aus dem Unternehmen aus oder wechseln sie die Abteilung, müssen alle nicht mehr benötigten Berechtigungen unverzüglich wieder entzogen werden. Die Rechtevergabe sollte auch deswegen durch den oben beschriebenen vordefinierten Prozess geregelt sein. Auch im Bereich des Off-Boarding empfiehlt sich daher eine enge Zusammenarbeit zwischen Personalabteilung und IT-Abteilung. Dazu ist die durchgehende Dokumentation der Berechtigungen ab On-Boarding die wichtigste Grundlage und somit Pflicht.
Webinar zum Thema
Aber natürlich gibt es im Beschäftigungsdatenschutz mehr zu tun, als nur das Berechtigungskonzept aktuell zu halten, die bestehenden Zugangs-/Zutrittsrechte zu dokumentieren und zu entziehen. Sie fragen sich, was das ist? Oder ob Sie, wie hoffentlich auch ihr Berechtigungskonzept hierzu auf aktuellem Stand sind?
Gerne zeige ich Ihnen in unserem Webinar zum Bewerber- und Beschäftigtendatenschutz, welche wesentlichen Punkte Sie auch beachten müssen. Unter dem Link finden Sie weitere Infos zum Webinar sowie den Link zur Anmeldung. Im Kleingruppenformat bleibt wie bei all unseren Webinaren auch ausreichend Zeit für Fragen. Zudem erhalten sie neben den Vortragsunterlagen und Skripten auch ein Teilnahmezertifikat als Fachkundenachweis gemäß § 40 Abs. 6 BDSG und Art. 37 Abs. 5 DSGVO. Ich freue mich, Sie begrüßen zu dürfen.
