Am 25. Mai tritt die europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Ab diesem Tag müssen Informationssysteme in Unternehmen einige Grundprinzipien bei der Speicherung personenbezogener Daten beherrschen. Es gilt, so wenige Daten wie möglich und auch nur zu bestimmten Zwecken zu speichern, über eine Einwilligung der betroffenen Personen darüber zu verfügen – oder ein berechtigtes Interesse an der Verarbeitung zu haben – sowie transparent über gespeicherte Daten und verarbeitende Systeme Auskunft geben zu können. Ebenfalls ist geregelt, dass auf Anfrage personenbezogene Daten auch gelöscht werden müssen.

Während in einer ersten Phase wohl der Fokus der Datenschutzbehörden auf Unternehmensprozessen bei größeren Unternehmen liegen wird, sind von der Regelung per Gesetz Firmen jeder Größe betroffen. Strafen von bis zu 20 Millionen Euro oder vier Prozent des Konzernumsatzes drohen, sollten Unternehmen ihre Hausaufgaben nicht gemacht haben. „Viele denken hier zunächst an die Verarbeitung von Kundendaten. Leider wird immer wieder übersehen, dass es auch um Mitarbeiterdaten geht“, empfiehlt der Rechtsanwalt Rainer Knyrim dringend auch Personalabteilungen, Maßnahmen zu ergreifen.

Der Datenschutzexperte kennt die Herausforderungen im HR-Bereich genau: „Oft wird alles Mögliche gespeichert, auch doppelt bis dreifach und in Papierform.“ In vielen Unternehmen gäbe es weder ein durchgehendes Konzept, was aufgehoben wird, noch Löschfristen. „Jahrzehntealte Strafregisterauszüge oder medizinische Daten – es ist ein Irrsinn, was oft in jahrzehntealten Akten revisionssicher gespeichert wird“, beobachtet Knyrim.

Fakt ist: Die Möglichkeit der Einsicht auf Personalakten muss rechtlich und technisch eingeschränkt werden. So darf auch die Buchhaltung nur auf die notwendigen Daten zugreifen, wenn sie die Gehälter auszahlt. Ein für die Weiterbildung zuständiger Mitarbeiter der HR-Abteilung wird auf Zertifikate, absolvierte Schulungen und Schulungswünsche Einsicht benötigen – aber nicht mehr. Und auch in Hierarchien in Konzernen herrscht oft noch ein Wildwuchs an Zugriffberechtigungen – wenn etwa das oberste Management automatisch auf die Personalakten aller Mitarbeiter weltweit zugreifen kann. Oder, wie es Knyrim plakativ formuliert: „Der oberste Personalchef in Wyoming darf nicht Einblick in den Meldezettel der Sekretärin in Gramatneusiedl haben“.

Knyrim sieht deshalb den Einsatz von intelligenter Software gefordert, in der im Detail definiert wird, welche Daten und Dokumente für verschiedene Sachbearbeiter verfügbar sind – und wie lange. Überhaupt gelte es, Papier zu vermeiden.

„Systeme wie die digitale Personalakte von Fabasoft steigern die Effizienz und sind die Basis für die Erfüllung der EU-DSGVO", erklärt Hasan Cakmak, Produktverantwortlicher der Fabasoft Personalakte. Die Lösung ist nutzerfreundlich: Regeln für das Klassifizieren, Aufbewahren und Löschen von Daten können von den Fachabteilungen selbst umgesetzt werden. „Wenn man kein entsprechendes Softwareprodukt hat, welches diese Funktionalität bieten kann, bleibt einem nur die regelmäßige händische Löschung der Daten, um datenschutzkonform zu sein“, sind sich Cakmak und Knyrim einig. Standard-Einstellungen erleichtern die Arbeit bei gängigen Dokumententypen und die Anwendung kann skalierbar als Cloud-Lösung bezogen werden oder in Form einer Appliance im eigenen Rechenzentrum vor Ort.

Dokumente aus der Personalakte: Beispiele für gesetzliche Aufbewahrungsdauer

Arbeitsvertrag – muss bis zu 30 Jahre ab dem Ausscheiden aus dem Unternehmen aufbewahrt werden, da ebenso lange ein Recht auf die Ausstellung eines Arbeitszeugnisses besteht. Jedoch beschränkt sich das auf Aufzeichnungen wie Name, die Dauer und die Art der Tätigkeit.

Sicherheitsunterweisungen – müssen drei Jahre ab Beendigung des Dienstverhältnisses gespeichert bleiben. Falls eine neue Unterweisung vorhergehende Unterweisungen ersetzt, gilt dies nur für das jeweils jüngste angelegte Dokument. Achtung: Es gibt hier branchenabhängige, gesetzliche Sonderregelungen.

Lebenslauf: Aufbewahrungspflicht bis drei Jahre nach Austritt eines Mitarbeiters aus dem Unternehmen.

Bewerbungsunterlagen – dürfen sechs Monate gespeichert werden, da ebenso lange Bewerber auf eine mögliche Diskriminierung klagen können. (Sechs Monate wenn Bewerber abgelehnt und nicht längere Evidenzhaltung vereinbart wurde.)

Prinzipiell gilt: Dokumente, die auch die Buchhaltung betreffen, wie etwa Rechnungen, die für das Finanzamt sieben Jahre aufgewahrt werden müssen, sind von individuellen Löschanträgen nicht betroffen. Hier "overruled" die gesetzliche Aufbewahrungspflicht.