DSGVO und Personalakten – Erfahrungen aus Kundenprojekten
Sep 3, 2018 | by Dennis Gräff | 0 Comments

DSGVO und Personalakten

Auch wenn der Begriff „Datenschutzgrundverordnung“, kurz DSGVO, nicht zum Unwort des Jahres 2018 gewählt werden sollte, ist er sicher in den Monaten vor Inkrafttreten der neuen Regelung maßlos überstrapaziert worden. Nun, nachdem erstens die Deadline schon ein paar Monate vorüber ist und zweitens ein echt toller Sommer (fast) hinter uns liegt möchte ich das Thema noch einmal „in Ruhe“ aufgreifen und über diesen Blog einige Erkenntnisse aus unseren Kundenprojekten, speziell mit Personalakten, teilen.

Personalakten gehören zu einem Bereich, in dem jedes Unternehmen den Schutz der Daten seiner Mitarbeiter sicherstellen muss, und sind somit direkt von der Datenschutzgrundverordnung (DSGVO) betroffen. Übrigens unabhängig davon, ob die Akten elektronisch oder papierbasiert geführt werden.

Denn gerade in Personalakten sind oft sensible Informationen enthalten, deren Schutz jeder Personalabteilung wichtig sein sollte: Führungszeugnisse, Abmahnungen, vielleicht auch medizinische Informationen, um nur ein paar Beispiele zu nennen.

In den Monaten vor dem 25. Mai, seit dem die DSGVO nun gilt, haben wir einige unserer Kunden dabei begleitet, die Anforderungen, die die Verordnung mit sich bringt, in ihren elektronischen Personalakten umzusetzen. Viele dieser Anforderungen sind hauptsächlich organisatorischer Natur. Um der Informationspflicht den Mitarbeitern gegenüber gerecht zu werden, also sie darüber zu informieren, dass ihre Daten in den Personalakten gespeichert werden, reicht es im Grunde dies in den Einstellungsprozess zu integrieren. Dies ließe sich natürlich automatisieren; da die HR-Mitarbeiter im Einstellungsprozess sowieso in Kontakt mit den zukünftigen Mitarbeitern stehen, ist die persönliche Information hier wohl vorzuziehen.

Auch die Auskunftspflicht bezüglich gespeicherter Daten erfordert auf der technischen Seite im Allgemeinen nur wenig Anpassungen, da Personalakten per se strukturiert und geordnet geführt werden. Hier gilt ist eher den Prozess zu definieren, über den sich Anfragen schnell und korrekt beantworten lassen. Eine sinnvolle, technische Maßnahme zur Unterstützung an dieser Stelle könnte ein kurzer Bericht sein, der ein „Inhaltsverzeichnis“ zur Personalakte liefert: welche Dokumente sind enthalten, wann und ggf. warum wurden sie gespeichert.

Löschen von Dokumenten in Personalakten – Was ist dabei zu beachten?
Der Bereich, indem in unseren Projekten der meiste Anpassungsbedarf an den Systemen der elektronischen Personalakte bestand, war das Löschen von Personaldokumenten aus den Akten. Hier kommen Regelungen aus vielen unterschiedlichen Quellen zusammen: gesetzliche Vorschriften zur Aufbewahrung und zum Löschen sowie richterliche Urteile, die diese Vorschriften präzisieren und ergänzen. Dazu kommen die nicht ganz so präzisen Vorgaben der DSGVO, die besagen, dass Daten grundsätzlich zweckgebunden und bedarfsorientiert zu speichern sind.

Um hier regelkonform vorzugehen, kommt man eigentlich nicht um eine präzise Kategorisierung der abgelegten Dokumente herum. Dies beginnt damit, sich einen Überblick über die Dokumentarten, die in den Akten abgelegt werden, zu verschaffen und anschließend eine technische Lösung für diese Kategorisierung dieser im System zu hinterlegen. Zu jeder Dokumentart kann nun festgelegt werden, welche individuellen Regeln für die Aufbewahrung gelten:

  • Wie lange müssen die unterschiedlichen Dokumente mindestens gespeichert werden? Beispielsweise müssen Verträge mindestens so lange gespeichert werden wie der Mitarbeiter im Unternehmen beschäftigt ist.
  • Bis wann dürfen sie maximal gespeichert werden? Abmahnungen dürfen zum Beispiel nicht länger als zwei Jahre gespeichert werden.
  • Und – sofern dort ein Spielraum entsteht: wie lange sollten beispielsweise Notizen von Mitarbeitergesprächen sinnvollerweise aufbewahrt werden?

Effiziente Umsetzung der Regeln über ECM-Systeme und Produkte mit Machine-Learning-Mechanismen
Ist das Regelwerk einmal definiert, ist die Automatisierung der Durchsetzung dieser Regeln meist nicht mehr so komplex. Werden die Personalakten in einem professionellen ECM-System verwaltet, gibt es oft schon entsprechend spezialisierte Zusatzprodukte. Eine – oft durchaus auch wirtschaftlich attraktive – alternative Lösung kann auch die Implementierung einer individuellen Löschroutine sein. An dieser Stelle ist zu beachten, dass das Regelwerk über die Konfiguration einfach anpassbar ist. Damit lassen sich die Fristen bei Bedarf einfach anpassen. Gesetzesänderungen und insbesondere Präzisierungen der Regelungen durch Gerichtsurteile werden in den nächsten Jahren sicher von Zeit zu Zeit in Kraft treten.

Bleibt noch die Frage nach den Bestandsdokumenten in den Akten. Sofern schon in der Vergangenheit mit Dokumentarten gearbeitet wurde, lässt sich auf diesen aufsetzen. Allerdings ist hier oft noch eine Präzisierung notwendig, um alle Regeln abzubilden.

Aber selbst wenn es bisher diesbezüglich nichts Vergleichbares gibt, ist es nicht notwendig, alle bestehenden Personaldokumente einzeln zu prüfen und manuell einer der definierten Dokumentarten zuweisen. Hierfür gibt es Produkte auf dem Markt, die über künstliche Intelligenz und „machine-learning“-Mechanismen in der Lage sind, diese Kategorisierung mit einer sehr hohen Genauigkeit durchzuführen. Die Fähigkeiten solcher Softwareprodukte sind immens. Selbst handschriftliche Dokumente stellen hier kein unüberwindliches Hindernis mehr dar (die berühmte ärztliche „Sauklaue“ vielleicht einmal ausgenommen). Dabei bietet die Software weit mehr als die üblichen OCR-Funktionalitäten. Ein Beispiel: Selbst, wenn das Anschreiben einer Bewerbung nicht mit den üblichen Formulierungen, wie „hiermit bewerbe ich mich…“ beginnt – durch die Analyse der Inhalte des gesamten Dokuments (sog. „Content Analytics“) sind solche Software-Produkte trotzdem in der Lage, diese zu klassifizieren und alle Dokumente DSGVO gerecht zu speichern.