Probleme durch weitergeleitete Mails

Arbeitgeber müssen grundsätzlich sicherstellen, dass Unbefugte personenbezogene Daten nicht einsehen können und diese vor äußeren Einflüssen wie Feuer geschützt sind. »Wer personenbezogene Daten in Papierform, z.B. Personalakten, in einem Stahlschrank aufbewahrt, und den Schlüssel ausschließlich an die zuständige Personalabteilung vergibt, der hat bereits einen guten Anfang gemacht«, sagt der Experte. Besonders schwierig: der korrekte Umgang mit elektronischen Daten. Diese müssen die Firmen laut Gesetz genauso vor unberechtigtem Zugriff schützen wie die Papierversionen. Ein internes Berechtigungskonzept muss den Zugriff auf die Daten regeln (z.B. durch Identifizierung mittels Username und Passwort). Werden die Daten nicht mehr für den ursprünglichen Erhebungszweck benötigt, müssen sie gelöscht werden. »Besonders E-Mail-Bewerbungen werden häufig innerhalb des Unternehmens weitergeleitet, bis sie die richtige Person erreichen«, so Gasper. »Wird der Kandidat nicht eingestellt, ist es fast unmöglich, alle elektronischen Kopien zu löschen«. Der Experte rät, die Daten nur an einer Stelle, zum Beispiel bei der Personalabteilung abzulegen, die diese Daten dann auch zentral wieder löscht.

Auch die Auslagerung personenbezogener Daten an Dritte, etwa zur Abwicklung von Gehaltsabrechnungen, birgt ein großes Sicherheitsproblem. Denn das Unternehmen selbst bleibt auch dann noch für die Daten verantwortlich. »Deshalb sollten Externe nur die Daten erhalten, die sie für ihre Arbeit auch wirklich benötigen«, rät Gasper. Das Unternehmen muss seinen Dienstleister sorgfältig auswählen und ihn nach der neuesten Gesetzesänderung durch seinen Datenschutzbeauftragten regelmäßig auditieren lassen.