Eine junge Faru sitzt lachend am Schreibtisch

DSGVO 2021: Datenschutz und Einsicht in die Personalakte

Eine oft ungeahnte Schwierigkeit für KMUs ist der Umgang mit personenbezogenen Daten, zum Beispiel von Mitarbeiterinnen und Mitarbeitern oder Kundinnen und Kunden. Denn: Immer mehr Menschen wollen wissen, welche Daten über sie gespeichert sind.


Stellen Sie sich zum Beispiel ein Unternehmen mit 250 Mitarbeiterinnen und Mitarbeitern vor. Es erhält die Anfrage einer ehemaligen Abteilungsleiterin. Die Kollegin möchte gern ihr Auskunftsrecht wahrnehmen, Einsicht in ihre Personalakte bekommen und einen Überblick über alle von ihrem ehemaligen Arbeitgeber gesammelten Daten erhalten.

Immer mehr Beschäftigte nehmen ihr Auskunftsrecht wahr

Ob intern oder extern, ob Arbeitsverhältnis oder Geschäftsverhältnis: Aktuell nehmen Anfragen nach den gespeicherten personenbezogener Daten, sogenannte Data Subject Access Requests oder kurz DSARs, stark zu. Immer mehr Beschäftigte nehmen ihr Auskunftsrecht wahr. Obwohl Großbritannien seit 31.01.2020 nicht mehr Teil des Geltungsbereiches der europäischen Datenschutz-Grundverordnung ist, hat sich beispielsweise dort die Anzahl der DSARs in den zwei Jahren seit Inkrafttreten der Datenschutz-Grundverordnung verdoppelt.

Die Einsicht in die Personalakte kann für KMUs teuer werden

Der Wunsch nach Auskunft sowie zunehmende Nachfragen in Bezug auf Kundendaten und Datenverarbeitung können für KMUs aus zweierlei Gründen teuer werden. Erstens sind viele Unternehmen auf solche legitimen Anfragen betroffener Personen nicht vorbereitet. Die daraus resultierenden Arbeitsabläufe sind nicht klar und können schnell viele Arbeitsstunden extra kosten.

Existiert beim Arbeitgeber zum Beispiel kein Prozess dafür und mehrere Arbeitnehmerinnen oder Arbeitnehmer stellen gleichzeitig Auskunftsersuchen, so müssen alle bestehenden Daten innerhalb kurzer Zeit manuell durchforstet werden. Ein Vorgehen, das zeitintensiv und fehleranfällig ist.

Zweitens können die Kosten für eine Datenschutzverletzung unter Umständen sehr hoch sein. So sieht die Datenschutz-Grundverordnung bei einem Verstoß gegen den Datenschutz Strafen bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor.

Datenschutz in der Personalabteilung umfasst das Recht auf Auskunft

Grundsätzlich gilt der Datenschutz am Arbeitsplatz für alle Arbeitgeber und Arbeitgeberinnen sowie für Arbeitnehmer und Arbeitnehmerinnen. Die Datenschutz-Grundverordnung schreibt vor, dass bestimmte Grundsätze für die Verarbeitung personenbezogener Daten erfüllt sein müssen. So dürfen sie zum Beispiel auch in Personalakten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.

Im Falle von sich anbahnenden Datenanfragen, aber auch bei Datenschutzverletzungen muss jeder Arbeitgeber oder jede Arbeitgeberin auf das Einsichtsrecht und die damit verbundene Einsichtnahme vorbereitet sein und schnell reagieren.

Auskunftsersuchen können kostspielig werden

In unserem Beispiel beantragt eine ehemalige Abteilungsleiterin Auskunft über alle über sie gespeicherten persönlichen Daten. Doch auch andere Beschäftigte und betroffene Personen, zum Beispiel andere Arbeitnehmerinnen oder Arbeitnehmer, verärgerte Kundinnen oder Kunden, Interessentinnen oder Interessenten sowie Behörden können Anfragen stellen.

Neuerdings müssen Monat für Monat immer mehr solcher Auskünfte von Unternehmen bearbeitet werden. Gründe dafür sind auch zunehmende Cyber-Betrugsfälle oder Veränderungen am Arbeitsplatz und Entlassungen aufgrund der Coronapandemie.

Das Problem: Zur Identifikation der personenbezogenen Daten Betroffener müssen oft viele Datensilos durchsucht werden, also Datenbestände und Inhalte, die an verschiedenen Orten liegen und auf die nur bestimmte Abteilungen oder Nutzergruppen Zugriff haben.

Gibt es für die Datensuche keine abgestimmten Prozesse, so kann die manuelle Suche einen Arbeitgeber oder eine Arbeitgeberin unter Umständen gleich mehrere Arbeitskräfte und viele Arbeitsstunden extra kosten.

Personenbezogene Daten und Anfragen – so läuft das ab

Arbeitnehmer und Arbeitnehmerinnen oder Kunden und Kundinnen, Arbeitsverhältnis oder Geschäftsverhältnis: Der Datenschutz will beachtet sein. Zurück zu unserer Abteilungsleiterin und ihrem Auskunftsanspruch an die Personalabteilung. Was passiert jetzt? Die größte Herausforderung ist, schnell und sicher herauszufinden, welche Daten der Betroffenen wo gespeichert sind.

  • Der Prozess startet mit dem Eingang ihrer Bitte und der formalen Bestätigung ihrer Anfrage auf Auskunftserteilung.
  • Danach ist die Anfrage auf Legitimität zu überprüfen.
  • Der nächste Schritt ist: Alle Informationen und Unterlagen zu ihrer Person werden zusammengestellt und geprüft.
  • Schließlich wird die Auskunftsanfrage beantwortet und der Auskunftsbericht wird bereitgestellt. Dazu gehört auch die Möglichkeit zum sicheren Herunterladen der Daten.

Hauptkostentreiber für KMUs: Zusammenstellung und Bearbeitung des Auskunftsberichtes

Müssen die personenbezogenen Daten (auch persönlich identifizierbare Informationen, kurz PIIs genannt) manuell zusammengestellt werden, so wird die Bearbeitung des Auskunftsberichtes schnell zum Hauptkostentreiber für KMUs.

Denn:

  • Es sind viele Datenquellen (Systeme, Server) und unterschiedliche Dateiformate zu durchsuchen.
  • PIIs können auch in Bilddateien und PDFs versteckt sein.
  • Die Tätigkeit involviert nicht selten eine Vielzahl von Kolleginnen und Kollegen.
  • Und: Die manuelle Tätigkeit ist sehr fehleranfällig.

Die Lösung des Problems liefert kluge Software: dokoni FIND macht Unternehmensdaten an einem Ort durchsuchbar, dokoni FIND Insight identifiziert aus diesen Dokumenten die Daten der betroffenen Personen, extrahiert diese Daten und erstellt zukünftig Ihre Auskunftsberichte mit wenigen Klicks.

dokoni FIND und dokoni FIND Insight: Erhalten Sie die Kontrolle über Ihre Daten

Der erste Schritt zur DSGVO-Konformität ist die Kontrolle der Daten im Unternehmen. Mit dokoni FIND können alle Unternehmensdaten durchsucht werden, die in einer Vielzahl von Systemen gespeichert sind. Auf der Grundlage dieser Informationen findet das Zusatzmodul dokoni FIND Insight heraus, wo personenbezogene Daten im Unternehmen gespeichert sind. Es identifiziert aus diesen Dokumenten die personenbezogenen Daten, extrahiert sie und erstellt zukünftig Ihre Auskunftsberichte mit wenigen Klicks.

Die Lösung ermöglicht Datenschutzbeauftragten, jederzeit den Überblick zu behalten, wenn es um personenbezogene Daten geht. Auf dieser Basis lassen sich automatisierte Berichte erstellen, um potenziellen Datenschutzverletzungen einen Schritt voraus zu sein.

Viele KMUs kennen sich jetzt mit der #DSGVO ganz gut aus, aber das Recht auf Auskunft und Einsicht in die Personalakte bleibt eine Herausforderung. #JobWizards https://km.social/3sZXbkY

Jetzt tweeten
Latest & Greatest