Datenschutzaspekte bei der Erhebung, Verarbeitung und Nutzung von Personaldaten in dezentralen Einrichtungen
Noch nicht überarbeitet.
Wir sind dabei, unsere Seiten im Hinblick auf die neuen Rechtsgrundlagen (EU-DSGVO und BayDSG) zu überarbeiten.
Inhaltlich können Sie sich an den meisten Seiten jedoch weiterhin orientieren.
Spricht man von Personalverwaltung an der TUM, so sind damit häufig die zentralen Aufgabenbereiche der Zentralabteilung ZA2 gemeint. Aber auch kleinere Einheiten der TUM wie Lehrstühle oder andere Einrichtungen (im Folgenden dezentrale Einrichtungen genannt) haben den Bedarf, Mitarbeiterinnen und Mitarbeiter [1] personaltechnisch zu verwalten.
Wer für seine Aufgaben nicht SAP-HR nutzen kann bzw. darf, schafft sich zumeist eigene Möglichkeiten. Dabei sind die eingesetzten Systeme von unterschiedlicher Komplexität. Hier finden sich einfach Excel-Listen aber auch umfangreiche komplexe Datenbanksysteme, die beispielsweise Einsatzplanung, Abwesenheitsverwaltung, Statistiken, Stellen-/Mittelverwaltung oder lediglich Geburtstagslisten DV-technisch unterstützen.
Aus der Sicht des Datenschutzes sind für die dezentrale Verwaltung von Personaldaten einige Dinge zu beachten, die im Folgenden erläutert werden.
Prinzipien des Datenschutzes
Drei allgemeine Prinzipien des Datenschutzes seien hier als Basis vorausgestellt:
Verbot mit Erlaubnisvorbehalt
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur erlaubt, wenn dies entweder gesetzlich erlaubt oder angeordnet ist oder der Betroffene einwilligt. Eine Einwilligung muss freiwillig und informiert erfolgen.
Zweckbindung
Daten dürfen üblicherweise nur für den Zweck verarbeitet werden, für den sie auch erhoben werden, d.h. dass z.B. Daten, die in einem Bewerbungsverfahren erhoben werden, später nicht für Öffentlichkeitsarbeit weiter verwendet werden dürfen.
Insbesondere geht damit einher, dass Daten nach Zweckablauf gelöscht werden müssen, es sei denn es gibt eine gesetzlich vorgeschriebene Archivierungspflicht.
Datenvermeidung und Datensparsamkeit
Bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten sollte immer berücksichtigt werden, welche Daten tatsächlich benötigt werden. Wird ein Datum nicht gebraucht, sollte es auch nicht erhoben werden. Überlegen Sie also genau, welche Daten Sie speichern und halten Sie sich dabei an den Zweck, für den Sie die Daten speichern. Können Sie den Zweck nicht nennen, sollten Sie das Datum nicht erheben, auch nicht für derzeit noch nicht bekannte Einsatzszenarien, die eventuell auf Sie zukommen könnten.
Rechtliches
Da bei einer Personalverwaltung personenbezogene Daten verarbeitet werden, ist der Verfahrensverantwortliche üblicherweise verpflichtet, eine Verfahrensbeschreibung beim Datenschutzbeauftragten zur Freigabe einzureichen. Der Verfahrensverantwortliche bei einer dezentralen Personalverwaltung ist üblicherweise die Leitung der Einheit, in der das Verfahren eingesetzt wird.
Diese Verpflichtung besteht, wenn die personenbezogenen Daten automatisiert verarbeitet werden. Spätestens, wenn die Daten in einer Datenbank gespeichert sind, ist von einer automatisierten Verarbeitung auszugehen. Verwalten Sie die Daten in einer Tabellenkalkulations-Datei, so ist zumeist noch nicht von einer automatisierten Verarbeitung auszugehen, es sei denn, es sind dort z.B. anhand von Makros automatische Verarbeitungsschritte implementiert.
Des Weiteren hat der Personalrat nach Art. 75 a BayPVG (Bayerisches Personalvertretungsgesetz) ein Mitbestimmungsrecht, wenn es um die automatisierte Verarbeitung von Beschäftigtendaten geht. Hierfür sollten Sie Kontakt zu Ihrem lokalen Personalrat aufnehmen. Üblicherweise ist eine Dienstvereinbarung abzuschließen.
Abgrenzung zentrale und dezentrale Aufgaben
Da die Erhebung, Verarbeitung und Nutzung von bestimmten Personaldaten rechtlichen Regelungen[2] unterliegen, muss bei jedem Vorhaben sorgfältig geprüft werden, ob die erhebende Stelle im Rahmen der Aufgabenerfüllung die gewünschten Daten erheben und verarbeiten darf. Zentrale und dezentrale Arbeitszuständigkeiten sind hier streng voneinander abzugrenzen.
Von dieser Prüfung ausgenommen sind alle Verfahren, in denen personenbezogene Daten auf Grund einer freiwilligen, informieren Einverständniserklärung (siehe hierzu auch Abschnitt „Rechtsgrundlage“) erhoben und verarbeitet werden. Auch für die im Anhang genannten Beispiele dürfen, wenn der jeweilige Bedarf besteht, die Daten dezentral erhoben und verarbeitet werden.Bei allen weiteren Verfahren, sollte die Arbeitszuständigkeit und damit auch die Erforderlichkeit zur Erhebung und Verarbeitung geklärt werden. Personalservicebüros der Fakultäten/Institute sollten bei grundlegenden Fragen mit der Personalabteilung (ZA2) zur Klärung der Zuständigkeiten in Verbindung treten, Untereinheiten der Fakultäten oder Instituten (z.B. Lehrstühle) mit dem jeweiligen Servicebüro.
Verfahrensbeschreibung
Als Verfahren wird die Unterstützung einer oder mehrerer Geschäftsprozesse durch IT-Systeme bezeichnet. Eine Verfahrensbeschreibung dient damit der Darstellung der inhaltlichen und technisch-organisatorischen Aspekte des geplanten oder eingesetzten Verfahrens. Sie wird dem Datenschutzbeauftragten zur Freigabe des Verfahrens vorgelegt.
In der Verfahrensbeschreibung müssen neben dem Zweck des Verfahrens u.a. auch die rechtliche Grundlage, die verwendeten Daten, die Personengruppen, die auf die Daten zugreifen können, und die Löschfristen angeben werden. Zu einigen der notwendigen Punkte, finden Sie hier weitere Informationen, Beispiele haben wir im Anhang für Sie zusammengestellt.
Zweck des Verfahrens
Hier ist anzugeben, wozu Sie die Daten in Ihrer Personalverwaltung speichern. Daraus ergeben sich im Sinne der Datensparsamkeit u.a. Konsequenzen für die zu speichernden Daten oder auch die Löschfristen.
Für eine Einsatzplanung sind beispielsweise Abwesenheitsdaten aus der Vergangenheit nicht notwendig, d.h. die Löschfristen können und müssen relativ kurz gewählt werden.
Führen Sie eine interne Mitarbeiter-Geburtstagsliste, sollten keine Adressdaten im Datenbestand sein.
Rechtsgrundlage
Je nach Zweck des Verfahrens benötigen Sie eine rechtliche Grundlage oder eine freiwillige, informierte Einwilligung. Letzteres kommt nur in Frage, wenn das Verfahren so gestaltet ist, dass es sich um eine freiwillige Teilnahme (z.B. im Fall einer Geburtstagsliste) handelt. In den meisten Fällen, werden Sie allerdings Ihre Verwaltungsaufgaben erfüllen müssen, so dass Art. 16 Abs. 1, 17 Abs. 1 Ziff. 1 des Bayerischen Datenschutzgesetzes (Erhebung, Verarbeitung und Nutzung der zur Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgabe) als Grundlage dienen wird.
Löschfristen und Archivierungspflicht
Personenbezogene Daten müssen im Normalfall gelöscht werden, sobald der Zweck, für den sie erhoben wurden, nicht mehr vorhanden ist. Die Frist für diese Löschung muss bereits bei der Einführung eines Verfahrens festgelegt werden. Nach Ablauf der Löschfristen müssen die personenbezogenen Daten entweder gelöscht oder anonymisiert werden. Personenbezogene Daten gelten als anonymisiert, wenn die Daten so verändert wurden, dass der Personenbezug nicht mehr oder nur unter extrem erschwerten Bedingungen wieder hergestellt werden kann.
Eine längere Aufbewahrung kann durch eine gesetzliche Archivierungspflicht notwendig werden. So sind z.B. Krankheits- und Urlaubsdaten nach dem BayBG (Bayerisches Beamtengesetz) für 5 Jahre zu archivieren.
Zwingend zu überprüfen ist hierbei, wer der Archivierungspflicht nachkommen muss.
Krankheitsdaten werden beispielsweise ausschließlich von der Personalabteilung in SAP abgelegt und archiviert, so dass dezentral hier keinerlei Archivierungsrecht entsteht [3]. Wohingegen bei Urlaubsdaten entweder eine zentrale Archivierung oder eine Archivierung in der dezentralen Einrichtung erforderlich ist (siehe auch Beispiel Urlaubsverwaltung ).
Ist die Rechtsgrundlage eine Einwilligung der Beschäftigten, so gilt auch hier, dass nach Ablauf des Zwecks die Daten gelöscht werden müssen, es sei denn, Sie haben bei der Einverständniserklärung angegeben, dass die Daten auf unbestimmte Zeit aufgehoben werden.
Praktisches
Verfahrensbeschreibung: Unter http://www.datenschutz.tum.de/verfahrensfreigabe/ finden Sie allgemeine Informationen zur Verfahrensbeschreibung und die benötigten Formulare.
Weitere Fragen zum Thema Datenschutz stellen Sie gerne an
- Prof. Dr. Baumgarten (Datenschutzbeauftragter – beauftragter@datenschutz.tum.de )
- Doris Holly (Datenschutzsekretariat – sekretariat@datenschutz.tum.de)
- Angelika Müller (Referat für Datenschutz - referat@datenschutz.tum.de)
- Werner Bleicher (Referat für Datenschutz - referat@datenschutz.tum.de)
[1] Auch Hilfskräfte gehören zur Gruppe der Mitarbeiter.
[2] z.B. Bayerisches Beamtengesetz (BayBG), Abschnitt 8- Personalakten
[3] Zu Krankheitsdaten: Eine kurzfristige Speicherung von Krankheitsdaten kann nur in Ausnahmefällen dezentral vorgenommen werden (siehe hierzu Beispiel „Personaleinsatzplanung“). Davon unbenommen bleibt die Fürsorgepflicht eines Vorgesetzten. Wenn Mitarbeiter länger krankheitsbedingt abwesend sind, sind hier natürlich Notizen im Einzelfall zulässig.