So managen Sie Personaldaten Compliance-konform

HR hatte immer schon besonders viel mit personenbezogenen Daten zu tun. Was nicht großartig verwundert – schließlich arbeitet HR immer für Mitarbeitende und sammelt daher auch ihre Daten. In den vergangenen Jahren haben sich allerdings drei Aspekte verändert, die zu neuen Herausforderungen beim Umgang mit Personaldaten geführt haben:

• Erstens ist die Menge an Daten zu einem/einer Mitarbeiter/-in deutlich gestiegen: Neben Bewerbungsunterlagen und Arbeitsverträgen, Gehaltsabrechnungen und Krankmeldungen finden sich in den Personalakten nun auch zahlreiche Dokumentationen von Mitarbeitergesprächen, Übersichten von Qualifikationen und Vereinbarungen über die nächsten Karriereschritte.
• Zweitens werden viele Personalakten nicht mehr papierbasiert, sondern elektronisch geführt. Der Zugriff ist damit prinzipiell von überall und zu jeder Zeit möglich. Außerdem lassen sich die Daten ohne großen Aufwand vervielfältigen. Genau das ist der Vorteil der Digitalisierung. Nachteilig ist nur, dass so auch der Missbrauch leichter wird.
• Und drittens haben sich die rechtlichen (und unternehmensintern formulierten) Anforderungen an Integrität und Vertraulichkeit deutlich erhöht – Verstöße werden empfindlicher geahndet. Das prominenteste Beispiel dafür ist die DSGVO, die unter anderem Pflichten zur Aufbewahrung enthält und Löschfristen vorgibt.

Angesichts dieser Entwicklungen hat für die Personalabteilungen die Notwendigkeit zugenommen, Personaldaten systematisch zu managen und regelmäßig zu prüfen. Denn nur so lassen sich für die Fülle an Daten die vielen Compliance-Vorgaben verlässlich einhalten. Das setzt einen exakt definierten – und im besten Fall durch ein Audit zertifizierten – Prozess voraus, der sämtliche Schritte entlang des Personaldaten-Lifecycles berücksichtigt. Es stellen sich Fragen wie:

• Wie werden Daten entgegengenommen?
• Wie werden sie abgelegt?
• Welche Berechtigungsregelungen bestehen für den Zugriff?
• Wie wird die Korrektheit der Daten sichergestellt?
• Wie wird erreicht, dass Daten nur so lange wie nötig aufbewahrt und rechtzeitig gelöscht werden?

Bei der Ausführung des Prozesses dürfte für die meisten HR-Abteilungen insbesondere die regelmäßige Prüfung auf Regelkonformität und Korrektheit eine Schwierigkeit sein – wegen der schieren Menge an Daten und Regeln und weil Kontinuität unverzichtbar ist. Insofern ist eine Automatisierung dieses Vorgangs eine erhebliche Entlastung. Unternehmen setzen dafür häufig auf Bordmittel, also auf rudimentäre Basis-Funktionalitäten, die vorhandene Lösungen bereits mitbringen – etwa auf SAP Queries oder Excel-Makros. Das funktioniert, ist aber noch nicht optimal.

Interessant sind deshalb Tools, die den Aufbau und die Ausführung eines Compliance-konformen Prozesses umfassend unterstützen. Das leistet aus unserer Sicht das HR Audit and Compliance Tool von Accenture hervorragend, das als Add-on für SAP HCM realisiert wurde. Denn zum einen lässt sich mit dem Tool ein Prüfprozess aufbauen, der alle Compliance-Anforderungen berücksichtigt – und der jedem Audit gerecht wird. Zum anderen lassen sich die Prüfläufe komfortabel automatisieren.

Vorteilhaft dabei:
Programmierkenntnisse sind nicht erforderlich, die Personalabteilungen behalten damit die volle Kontrolle und machen sich nicht von der IT abhängig. Dazu gehört ganz wesentlich, dass die HR-Mitarbeitenden in der Lage sind, neben den bereits mehr als 400 vordefinierten Regeln für die Prüfung der Daten auch individuelle Regeln zu definieren und in einer Bibliothek zu speichern. Auf Basis der ausgewählten Regeln starten die Prüfläufe zu festgelegten Ereignissen, lassen sich aber auch ad hoc ausführen. Dabei entdeckte Fehler weist das Tool den richtigen Mitarbeitenden zu – orientiert an den Berechtigungen und Zuständigkeiten. Den Mitarbeitenden werden die Fehler nicht nur übersichtlich angezeigt. Sie werden bei der Korrektur auch von einer Reihe hilfreicher Funktionen unterstützt. Schließlich werden die vorgenommenen Änderungen an den Personaldaten revisionssicher dokumentiert.

In der Summe nutzt der Einsatz eines Tools wie HR Audit and Compliance den HR-Abteilungen, weil sie damit sicherstellen, sämtliche Regeln einzuhalten.

Wie teuer eine Verletzung von Vorgaben zu personenbezogenen Daten sein kann, zeigen zwei Beispiele aus 2019:

Gegen das Immobilienunternehmen Deutsche Wohnen wurde ein Bußgeld in Höhe von knapp 15 Millionen Euro verhängt, gegen den Internetanbieter 1&1 Telecommunications ein Bußgeld von fast 10 Millionen Euro. In beiden Fällen ging es zwar nicht um die Daten von Mitarbeitenden. Die Art der sanktionierten Verstöße lässt sich aber ohne Weiteres auf Personaldaten übertragen.

Die Absicherung nach innen und die damit einhergehende Prävention ist aber nur ein Aspekt. Fast ebenso wichtig ist das Signal nach außen: Wenn Unternehmen gewissenhaft mit den Daten ihrer Mitarbeitenden umgehen, kann das auch ein überzeugendes Argument bei der Gewinnung von neuen Mitarbeitenden sein.