Türen sind zum Betreten eines Hauses ebenso da wie zum Verlassen. Dieser Grundsatz scheint aber für Daten im Personalbereich nicht zu gelten. Die Personalmanagement-Systeme sehen vielfältige Masken zum Erfassen von Daten vor. Sind diese Daten jedoch einmal in den Systemen, so gibt es kaum eine Möglichkeit, diese systematisch auch wieder zu löschen. So sammeln sich im Laufe der Zeit riesige Datenmengen an, die nicht nur überflüssig sind. Im schlimmsten Fall verstößt die Existenz dieser Daten gegen Datenschutzbestimmungen. Denn personenbezogene Daten dürfen grundsätzlich nur dann gespeichert werden, wenn es einen Grund dazu gibt. § 35 des Bundesdatenschutzgesetzes sieht schon jetzt vor, dass personenbezogene Daten zu löschen sind, sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist.
Eine Datenschutz-Gesetzesinitiative der Bundesregierung für mehr Beschäftigtendatenschutz wurde vorerst aufgrund der Bundestagswahlen auf Eis gelegt. Es ist jedoch allgemeine Überzeugung, dass die neue Bundesregierung – gerade angesichts der derzeit breit diskutierten Datenschutzthematik – die geplanten Änderungen wieder aufgreifen und umsetzen wird. 80 Prozent der IT-Systeme deutscher Arbeitgeber sind auf diese neuen Datenschutz-Gesetze jedoch nicht vorbereitet, denn sie sehen keine regelkonforme Löschung der einmal im Rahmen von Bewerbungsverfahren oder während des Arbeitsverhältnisses gesammelten personenbezogenen Daten vor. Das hat eine Marktbeobachtung der Unternehmensberatung ROC Deutschland ergeben.
Die Unternehmen reagieren sehr unterschiedlich auf dieses Datenschutz-Thema. Großkonzerne beschäftigen sich bereits intensiv damit. Auch Behörden wie beispielsweise das Land Hessen arbeiten an der Umsetzung von Lösch-Regelungen. Vor allem im Mittelstand wollen die HR-Manager das neue Gesetz hingegen erst abwarten. Doch dann könnte es zu spät sein mit einer fristgerechten Umsetzung der Anforderungen.
Erster Schritt: Herausfinden, wo die Daten liegen
Zunächst einmal muss sich jedes Unternehmen überlegen, wo es personenbezogene Mitarbeiterdaten speichert. Hier reden wir sowohl von Daten von Bewerbern als auch von aktuellen und ehemaligen Mitarbeitern. Theoretisch sollte dies sehr einfach herauszufinden sein, denn es sollte in Betriebsvereinbarungen geregelt sein. Sofort im Blick haben die meisten Personaler und IT-Fachleute die elektronische Personalakte und Personalmanagement-Systeme. In ihnen werden Namen, Adresse, Alter und Geschlecht ebenso aufbewahrt wie Bankverbindung, Krankenkasse und Steuernummer, Bewerbungsschreiben, Lebenslauf und Werdegang, Zeugnisse und Qualifikationen sowie weitere personenbezogene Informationen.
Es gibt jedoch noch eine Vielzahl anderer Anwendungssysteme, die personenbezogene Mitarbeiterdaten speichern. Geht es an die Auszahlung von Gehalt und Spesen, so haben viele Firmen in ihrer Finanzbuchhaltung für jeden Mitarbeiter einen eigenen Kreditor angelegt. Auch Betriebsdatenerfassungssysteme für Terminals und elektronische Ausweise arbeiten mit personenbezogenen Mitarbeiterdaten. Ebenso ordnen Produktionssteuerungssysteme personenbezogene Daten zu Betriebsabläufen oder betriebliche Steuerungsdaten für Projekte einzelnen Mitarbeitern zu. Auch Identitätsmanagementsysteme wie Zugangskontroll- und Berechtigungsverwaltungssysteme für Intranet und Anwendungssoftware nutzen häufig personenbezogene Angaben wie Name, Geburtsdatum oder biometrische Merkmale zur Identifikation eines Mitarbeiters. Ähnliches gilt für Self Service Systeme wie Customer Relationship Management (CRM), Enterprise Interaction Center (EIC) oder Intranet-Portale, ohne die kaum ein Mitarbeiter heute arbeiten kann. Selbst Kennzahlensysteme (auch Business Intelligence genannt) enthalten personenbezogene Daten.
Nicht zuletzt stellt die Dezentralisierung den Datenschutz und damit auch die Datenlöschung vor Probleme. Denn Dateien ebenso wie Datenbanken in Server- und personalisierten Systemen werden auf PCs und mobile Geräte wie Notebooks, Tablets und Smartphones kopiert. Anschließend reicht es dann nicht, die Quelle zu löschen, sondern es müssen auch alle Kopien vernichtet werden. Eine besondere Herausforderung stellen oftmals Archivierungssysteme dar, die ja gerade die Nicht-Veränderung und damit auch Nicht-Löschung von Daten zum Ziel haben.
Zweiter Schritt: Datenquellen und -arten analysieren
Nachdem das Unternehmen dokumentiert hat, in welchen Systemen personenbezogene Daten gesammelt und gespeichert werden, kommt im nächsten Schritt die Analyse. Für jedes System muss einzeln bestimmt werden, in welcher Form und an welchen Stellen diese Daten gehalten werden. Neben den Stammsätzen geht es hier um Bewegungsdaten, Tabellen, Listen und Cluster. Auch die Erfassung der Daten erfolgt auf verschiedenen Wegen. Hier geht es um Input- und Output-Schnittstellen ebenso wie um die Archivierung und Löschung. Dann sollte der Zweck der Datenhaltung festgehalten werden. Wozu werden die personenbezogenen Daten benötigt? Für viele Daten schreiben unter anderem Datenschutz-, Steuer- und Sozialversicherungsrecht Aufbewahrungsfristen vor, die sich allerdings durchaus auch widersprechen können.
Unlösbare Probleme in der Praxis
All dies kann IT-Abteilungen in der Praxis vor unlösbare Probleme stellen, wenn die Informationen über eine Person nicht mehr auf unbestimmte Zeit vom Unternehmen gespeichert werden sollen. Der Grund: Die aktuellen Standards bei der Datenerfassung und der Datenhaltung lassen es technisch nicht zu, Löschaufträge zuverlässig über alle relevanten Speicher abzuwickeln.
Das Löschen nach vordefinierten Regeln und die Umsetzung der gesetzlich geplanten Löschpflichten gelingt nur dann, wenn jegliche personenbezogenen Daten in einem zentralen Personaldatensystems verwaltet werden und darüber alle anderen Systeme virtuell bei Bedarf versorgt werden und keine personenbezogenen mehr selbst speichern. So wird in einem ersten Schritt dafür gesorgt, dass die Informationen korrekt, vollständig und schlüssig sind. Auf dieser Grundlage machen es IT-Tools anschließend möglich, alle Arbeitnehmerdaten über Fachbereiche hinweg ordnungsgemäß zu verwalten und Löschpflichten einzuhalten.
Immerhin haben die Softwarehersteller inzwischen die Problematik der Löschungen erkannt. SAP gibt dem Unternehmen beispielsweise Tools an die Hand, eine Löschung umzusetzen. Doch es bleibt jedem Unternehmen überlassen, dazu ein individuelles Regelwerk aufzustellen und sich zu überlegen, wie welche Daten gelöscht werden sollen.
Dritter Schritt: Daten neu strukturieren und Menge reduzieren
Hilfreich zur Reduktion der Datenmenge ist es, sich bewusst zu machen, welche personenbezogenen Daten an welcher Stelle wirklich nötig sind. In den allermeisten Fällen wird bei kritischer Betrachtung deutlich, dass sie verzichtbar sind. Häufig wäre zum Beispiel statt vollständigem Namen die Personalnummer ausreichend, die mit Ausscheiden aus dem Unternehmen einfach gelöscht werden kann.
Um das Kopieren von Datensätzen zu unterbinden oder zumindest zu bemerken, sollte eine Protokollierung stattfinden. Es ist heute noch nicht selbstverständlich, dass nachvollziehbar ist, wer welchen personenbezogenen Datensatz angeschaut und eventuell sogar vervielfältigt hat. Vor allem die Manager stecken hier in einem Dilemma. Durch die mobilen Arbeitsplätze können sie ihre Aufgaben und auch die Fürsorgepflichten gegenüber den Mitarbeitern häufig nur dann korrekt und komplett erfüllen, wenn sie diese Daten ständig bei sich haben. Dazu müssen sie die Daten auf ihre verschiedenen Endgeräte kopieren und nicht nur einen Online-Zugang zum zentralen Speicherort nutzen. Bei diesen Management-Funktionen müssen in der Praxis diese gegenläufigen Interessen unter einen Hut gebracht oder priorisiert werden.
Mehr als nur Datenschutz
Personenbezogene Mitarbeiterdaten und zu löschen ist jedoch längst nicht nur für den Datenschutz den Mitarbeitern gegenüber wichtig. Wie viele Mitarbeiter welche Zeit in einem bestimmten Produktionsschritt eingesetzt werden, interessiert auch Konkurrenten. Wenn solche Daten gelöscht sind, kann kein Wirtschaftsspion sie kopieren.
"Sie können Archiv-WORMs nicht einfach zerbrechen"
Die RiskNET-Redaktion sprach mit Michael Walter (Foto), Consulting Manager ROC Deutschland, über das Löschen von HR-Daten aus der Perspektive des Risikomanagements.
RiskNET: Abgesehen von den kommenden gesetzlichen Anforderungen: Warum sollte ein Unternehmen Mitarbeiterdaten überhaupt löschen?
Walter: Im Hinblick auf die Datensicherheit gilt zuallererst der Grundsatz der Datensparsamkeit. Wo es nicht sein muss, sollten keine persönlichen Daten erfasst und gespeichert sein. Beispielsweise ist eine personenbezogene Zuordnung nicht erforderlich, wenn das Unternehmen analysieren will, mit wie vielen Mitarbeitern es in der Region X welchen Umsatz gemacht hat. Ferner sind diese Daten zu löschen, wenn man sie nicht mehr benötigt. Abgesehen davon belasten mitgeschleppte Altdaten ein System unnötig, sie brauchen Speicherplatz - in den produktiven Systemen ebenso wie beim Archivieren. Auch das kostet. Wenn ein Unternehmen nicht mehr benötigte Daten regelmäßig löscht, so spart es Geld.
RiskNET: Was genau bedeutet eigentlich das Löschen von Daten?
Walter: Eine Information gilt als gelöscht, wenn sie unkenntlich ist. Dabei wird der zu löschende Datensatz oftmals nicht überschrieben und dadurch wirklich gelöscht. Bei maschinellen Verfahren reicht als Unkenntlichmachen aus, wenn das Datenfeld als gelöscht markiert wird. In vielen Fällen ist eine Löschung der Informationen aber gar nicht nötig, häufig reicht auch eine Anonymisierung aus. Durch diese wird die persönliche Zuordnung zu einer bestimmten Person unterbunden.
RiskNET: Warum ist es eine besondere Herausforderung, archivierte Daten zu löschen?
Walter: Archive dienen der Sicherung und sind gegen jede Veränderung geschützt - also auch gegen Löschung. In der Regel enthalten Datenträger Datensätze zu mehreren Personen und können daher in der Regel nicht einfach vernichtet werden, weil so auch Daten verloren gehen, die das Unternehmen künftig noch braucht. Sie können ja nicht einfach eine gebrannte Archiv-WORM zerbrechen. Eine Lösung wäre, auf ein völlig neues Archivierungssystem umzustellen, bei dem jederzeit einzelne Datensätze gelöscht werden können. Doch es geht effizienter. Die Firmen-IT sollte sich überlegen, ob in diesen Fälle ein Löschen von Zuordnungen zwischen Person und Archivierungsobjekt hinreichend ist.
RiskNET: Was macht es so schwer, Transparenz in die Mitarbeiterdaten zu bringen – und diese dann bei Bedarf auch zu löschen?
Walter: Es ist immer schwer – egal ob für Mensch oder Unternehmen – zuzugeben, dass man nicht genau weiß, was intern abläuft. Denn im Grunde ist jedes Unternehmen überzeugt, genau zu wissen, welcher Mitarbeiter auf welche Systeme zugreifen kann und welcher Account mit welchen Rechten ausgestattet ist. In der Praxis sieht das aber oft völlig anders aus. Da werden Mitarbeiter versetzt und ihnen die Rechte der früheren Abteilung belassen. Schnell werden zusätzliche Rechte eingeräumt, aber ans Löschen denkt niemand. Häufig werden Personaldaten ohne Kontrolle durch ein Regelwerk und ohne Wissen des Betriebsrats für verschiedenste Zwecke kopiert. Diese intransparenten und quasi geheimen Kopien unterliegen natürlich keiner Kontrolle, ob sie auch wirklich wieder gelöscht werden. Immer mehr Daten wandern über mehrere Geräte, da es für die Mitarbeiter bequem ist. Die Projektzeiterfassung erfolgt per Notebook oder Tablet, immer häufiger werden private Geräte in die Firmen-IT eingebunden. Da verliert ein Unternehmen schnell den Überblick, wo welche personenbezogenen Daten liegen.
RiskNET: Werden generell zu oft persönliche Daten gespeichert?
Walter: Viel zu selten wird die Frage nach der Verhältnismäßigkeit ernsthaft überdacht. Immer mehr Unternehmen gehen auf Selbstverwaltung durch die Mitarbeiter über, um Verwaltungskosten zu sparen. In elektronischen Formularen, beispielsweise Urlaubsanträge, werden oft mehr Informationen als nötig abgefragt. Natürlich sind Zugangskontrollen sinnvoll und wichtig, doch sollte man sich fragen, ob es immer ein mit Namen und Geburtsdatum oder gar mit biometrischen Merkmalen ausgestatteter Zugangsweg sein muss. Je mehr Informationen über einen einzelnen Mitarbeiter vorhanden sind, umso eher kann damit auch Missbrauch wie beispielsweise unzulässige Verhaltenskontrollen getrieben werden.Generell werden personenbezogene Daten in zu vielen Anwendungssystemen gespeichert, die nicht im Fokus der HR-Verantwortlichen stehen.
RiskNET: Welche besonderen Herausforderungen kommen auf international aufgestellte Unternehmen zu?
Walter: Idealerweise arbeitet ein Unternehmen mit nur einer HR-Software, egal ob diese von der deutschen Mutter oder einer Tochter in Indien oder den USA eingesetzt wird. In den einzelnen Ländern herrschen jedoch völlig unterschiedliche und zum Teil komplett entgegengesetzte Anforderungen. Während in Deutschland das Erheben von Daten zur ethnischen Herkunft verboten ist, ist dies in Großbritannien üblich. Dort wird nicht nur vermerkt, ob der Mitarbeiter pakistanische Wurzeln hat, sondern auch welche Hautfarbe er hat. Das führt vor allem dann zu IT-Problemen, wenn dieser Mitarbeiter dann als Expat im deutschen Mutterhaus arbeiten soll. Gute Software kennt solche Regeln und vermeidet diese Fallen der Mobilität.
RiskNET: Wie lange wird die Einführung einer systematischen Löschung von Personaldaten dauern?
Walter: Kaum ein Unternehmen erfasst die Daten systematisch und geordnet. Daher braucht allein schon die Analyse, wo welche Daten liegen und in welche Systeme und Analyse-Tools sie über Schnittstellen weitergegeben werden, einiges an Zeit. Ich schätze, etwa die Hälfte der Projektzeit geht allein für die Feststellung des Ist-Zustands drauf, denn dazu muss im ganzen Haus herumgefragt werden. Das wird vermutlich ein Jahr oder länger dauern. Bis zur erfolgreichen Umsetzung gehen zwei bis drei Jahre ins Land. Zur effizienten Planung und Steuerung eines solchen Projekts sind Know-how, eine strukturierte Vorgehensweise sowie Projektbeschleuniger etwa in Form qualifizierter Checklisten wichtig.
RiskNET: Ein derartiges Projekt ist also eine ziemliche Belastung. Weshalb sollten Unternehmen es auch ohne gesetzliche Pflicht angehen?
Walter: Erfahrungsgemäß bleibt zwischen der Verabschiedung eines Gesetzes und dessen Inkrafttreten zu wenig Zeit für ein derart umfangreiches Projekt. Daher ist es sinnvoll, sich schon bald mit diesem speziellen Datenschutz-Thema der Löschung zu beschäftigen. Denn wenn das Gesetz in Kraft ist, sind sonst Compliance-Verstöße fast unvermeidlich.
[Bildquelle oben: © VRD - Fotolia.com]