Die am 25.5.2018 in Kraft tretende Datenschutzgrundverordnung (DSGVO) beinhaltet bei genauem Durchlesen auch eine Menge an Anforderungen an Software, welche personenbezogene Daten verarbeitet. Nicht alle Anforderungen sind neu aber viele waren bis dato “nice to have” und wurden mitunter von Softwareprodukten unvollständig implementiert.
Die wohl wichtigste Neuerung ist, dass nunmehr eine Löschung tatsächlich eine Löschung sein muss. Und damit ist wirklich eine “rückstandslose” Löschung einer bestimmten Person inklusive all ihrer Daten gemeint. Im Falle von Personalsoftware wird man Mitarbeiterdaten ersten X Jahre nach deren Austritt löschen. Wobei das X hier durchaus variabel ist und abhängig von der Interpretation. Wichtig ist, es muss eine dokumentierte Festlegung im Unternehmen geben, wie lange Mitarbeiterdaten nach deren Austritt aufbewahrt werden. Nach Ende dieser Aufbewahrungsfrist müssen ALLE personenbezogenen Daten des ausgetretenen Mitarbeiters restlos gelöscht werden. Am Besten mit einem Löschprotokoll, wo noch vermerkt ist, um wen es sich handelt und ein paar Statistiken darüber, was denn eigentlich gelöscht wurde.
Ob während eines Dienstverhältnisses auch Bewegungsdaten (z.B. Zeitdaten) eines Mitarbeiters auf Geheiß des Mitarbeiters oder auf Grund einer internen Datenschutzrichtlinie gelöscht werden müssen, ist durch die DSGVO im Detail nicht definiert. Nach dem Prinzip des “Privacy By Design” d.h. Beschränkung der Aufbewahrungsfrist von persönlichen Daten auf die notwendige “Nutzungsdauer”, wären aber in dieser Interpretation z.B. Zeitdaten nach 7 (oder 10 Jahren) eigentlich nicht mehr relevant, also ergo auch zu löschen.
Änderungen im Webdesk
Folgende Änderungen werden in unserer HR-Plattform Webdesk EWP bis zum 25.5.2018 (und danach) implementiert und stehen mit sukzessiven Updates zur Verfügung.
Echtes Löschen
Bis dato wurden Stammdaten nur logisch gelöscht um eine einfache Wiederherstellung bei Löschen “aus Versehen” zu ermöglichen. Das Prinzip der “Soft-Deletion” bleibt, allerdings gibt es nun auch einen Papierkorb, aus dem man endgültig die gelöschten Objekte entfernen kann. Bei der endgültigen Löschung wird zusätzlich ein Protokoll-Eintrag erzeugt, welches auch bei einer Datenschutzprüfung belegt, dass die Daten einer bestimmten Person gelöscht wurden. (Als minimale Information wird hierbei zwecks Lokalisierung der Person der Name und dessen Austrittsdatum gespeichert). Darüberhinaus werden noch statistische Informationen über die gelöschten Daten gelogged (z.B. wieviele Zeitbuchungen, Abwesenheitseinträge etc. wurden endgültig gelöscht).
Auditlog und Audittrail
Um eine maximale Nachvollziehbarkeit von Änderungen bei personenbezogene Stammdaten zu gewährleisten, werden wir ein Auditlog und ein Audittrail einführen. Das Auditlog beinhaltet die minimalen Informationen darüber, wer das Objekt wann erstellt hat und wer zuletzt zu welchem Zeitpunkt das Objekt verändert hat. Der Audittrail ermöglicht, dass auf Feldebene nachvollzogen werden kann, welche Information wann geändert wurde.
Auskunftsfunktionen
Lt. DSGVO kann jeder Mitarbeiter auch von seinem Unternehmen Auskunft darüber verlangen, welche personenbezogene Daten über ihn gespeichert werden und darüber auch einen aktuellen Auszug verlangen. Der Ursprung dieser Anforderung kommt eigentlich daher, dass man als Nutzer eines personenverarbeitenden Systems jederzeit, die selbst erstellten Daten auch aus dem System in einer wieder verarbeitbaren Form exportieren kann.
Webdesk EWP unterstützt hierbei durch einen Report wo es möglich wird, ALLE vom Benutzer oder dem HR-Administrator eingegebenen personenbezogenen Daten oder durch das System erzeugte Daten (z.B. Log-Infos) in Excel oder PDF zu exportieren.
Informationen über Datenschutz
Lt. DSGVO hat jeder Mitarbeiter das Recht von seinem Unternehmen Auskunft darüber zu erfahren, welche Maßnahmen zum Schutz seiner personenbezogenen Daten getroffen werden. Webdesk EWP unterstützt hierbei durch die bereits vorhandenen Systemmeldungen, wo man ein Statement zum Datenschutz erstellen (z.B. mit Link auf eine interne Seite mit genauen Infos) und auf der Startseite permanent anzeigen lassen kann.