Mitarbeiterdatenschutz

Personalakten & Zugriffe
- Rollen- und Berechtigungskonzept umgesetzt
- Zugriff nur nach Need-to-know-Prinzip
- Gesundheitsdaten besonders geschützt
- Regelmäßige Überprüfung von Adminrechten

Beispiel für Need-to-know-Prinzip:
-
- eine Mitarbeiterin in der Buchhaltung.
benötigt Zugriff auf Rechnungen, Zahlungsdaten und Kundennamen.
benötigt aber keinen Zugriff auf Personalakten der Mitarbeiter oder medizinische Informationen von Kunden
da Sie sie für seine Arbeit nicht benötigt. Deshalb werden ihre Zugriffsrechte auf die für die Buchhaltung erforderlichen Daten beschränkt.
- eine Mitarbeiterin in der Buchhaltung.
Homeoffice-Richtlinie
- VPN : Vorteile und Sicherheitsregeln im Homeoffice
-
- Vorteile
- Daten werden verschlüsselt übertragen
- Schutz vor fremdem Zugriff im öffentlichen Internet
- Sicheres Arbeiten wie im Büro
- Zugriff auf interne Ressourcen
- Sicherheitsregeln
- Keine privaten Geräte ohne Freigabe nutzen
- Bildschirm sperren, wenn man den Arbeitsplatz verlässt
- Regelmäßige Software-Updates durchführen
- Keine sensiblen Daten per privater E-Mail versenden
- und immer Vorsicht vor Phishing-Mails
-
Governance
Verantwortlichkeiten für HR-Datenschutz definiert
- Datenschutzbeauftragter eingebunden
- Betriebsrat bei relevanten Systemen/Prozessen beteiligt
- Verzeichnis der HR-Verarbeitungstätigkeiten aktuell
Recruiting & Bewerberdaten
- DSGVO-Hinweise im Bewerbungsprozess vorhanden
- Bewerberdaten nur für notwendige Zwecke genutzt
- Löschfristen für Absagen definiert
- Talent Pool nur mit dokumentierter Einwilligung
Monitoring & Zeiterfassung
- Keine unverhältnismäßige Mitarbeiterüberwachung
- Transparente Information über Tracking/Monitoring
- Löschfristen für Log- und Trackingdaten definiert
Beispiel für verhältnismäßige Überwachung:
- AMAG protokolliert die An- und Abmeldezeiten der Mitarbeiter an einem Zugangssystem, um Arbeitszeiten zu erfassen und die Gebäudesicherheit zu gewährleisten.
- Zweck: Arbeitszeiterfassung und Sicherheit.
Die Daten werden nur für diesen Zweck genutzt. Es erfolgt keine dauerhafte Überwachung des Verhaltens der Mitarbeiter
Schulung & Awareness
- Mitarbeitende regelmäßig geschult
- Führungskräfte sensibilisiert
- Prozesse für Datenschutzvorfälle bekannt
Auskunftsersuchen fristgerecht bearbeitbar




