Neugier gehört zur Natur des Menschen – unabhängig von der Position und Funktion. Und so gibt es immer wieder die gleichen Diskussionen: Wer hat Zugriff auf welche Daten. Im HR-Umfeld ist diese Frage besonders brisant, da ein zu grosser Kreis von Zugriffsberechtigten für betroffene Mitarbeitende negative Folgen haben kann.
Bezüglich Datenschutz und Vertraulichkeit sind Mitarbeitende des HR grundsätzlich gut sensibilisiert. Wenn es um die Weitergabe von Mitarbeiterdaten geht, sind HR-Leitende kritisch und hinterfragen zu Recht, wer tatsächlich den Zugriff zu welchen Daten braucht. Denn oft sind es HR-Leitende, die bestimmen, welche Systeme genutzt werden. Sie übernehmen damit oft auch die Verantwortung bezüglich der Zugangsrechte. Demgegenüber steht die Geschäftsleitung, die aufgrund der Funktion mit den unterschiedlichsten Argumenten Einsicht in möglichst viele Daten beansprucht; auch Personen in der direkten Linie erheben oft den Anspruch, möglichst umfassend alle Daten der ihnen unterstellten Personen zu erhalten. Rechtlich gesehen ist es klar, zumindest, was die Grundsätze betrifft. Aber: Die einzelnen Grundsätze des Bundesgesetzes über den Datenschutz (DSG) sind sehr allgemein formuliert. Gemäss Art. 6 Abs. 2 DSG hat beispielsweise eine Datenbearbeitung verhältnismässig zu erfolgen. Was das im konkreten Einzelfall heisst, muss definiert und kritisch hinterfragt werden. Die Verhältnismässigkeit gilt sowohl in Bezug auf zugriffsberechtigte Personen als auch auf die Menge der Daten beziehungsweise die einzelnen Datenkategorien. Darum nochmals: Wer soll auf welche Mitarbeiterdaten zugreifen können?
Es gibt im Allgemeinen diverse MA-Datenkategorien:
- Personalien, etwa Name, Adresse, Zivilstand, Geburtsdatum
- Finanzdaten wie der Lohn, Ausbildungszuschüsse, Spesenentschädigung
- Gesundheitsdaten, etwa Krankmeldungen, Unfallmeldungen
- Zugriffs- und Bewegungsdaten
Datenschutzrechtlich sind Personalien und Lohndaten nicht besonders schützenswert; Informationen über Lohnpfändungen sind ein Grenzfall, gehören jedoch eher zu den besonders schützenswerten Personendaten, da sie allenfalls ein Diskriminierungspotenzial haben wie die übrigen, die in Art. 5 Bst. c DSG abschliessend definiert sind:
«c. besonders schützenswerte Personendaten:
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
- Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
- genetische Daten,
- biometrische Daten, die eine natürliche Person eindeutig identifizieren,
- Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
- Daten über Massnahmen der sozialen Hilfe;»
Gesundheitsdaten sind unbestritten besonders schützenswert. Zu beachten ist dabei, dass Gesundheitsdaten auch indirekt entstehen, wie einzelne Kranktage im Zeiterfassungssystem. Gerade darum ist es wichtig, dass die Berechtigungen auch auf die einzelnen Systeme kritisch geprüft werden.
Gibt es nun solche Zugriffswünsche, muss das HR argumentieren: In der Lehre wird die Meinung vertreten, dass weder die gesamte Geschäftsleitung noch der Geschäftsführer/CEO auf alles Zugriff haben soll. Doch im Alltag wird der Bereich HR, je nach Konstellation in der Geschäftsleitung, kaum verhindern können, dass zu viele Leute Zugriff haben. Da hilft auch ein betrieblicher Datenschutzberater wenig. Wie es der Begriff bereits sagt, berät diese Funktion lediglich und entscheidet nicht. Betroffene wissen in den seltensten Fällen, wer welche Zugriffe hat und diese auch nutzt; eine Klage durch Betroffene wird es deshalb kaum je geben. Übrig bleibt in der Hierarchie das strategische Organ (Verwaltungsrat, Stiftungsrat), welches die oberste Verantwortung hat.
Wichtig ist, dass der Bereich HR seine Verantwortung wahrnimmt und gegebenenfalls das strategische Organ ins Boot holt: Die Geschäftsleitung sollte nur Zugriff auf Daten erhalten, die sie tatsächlich braucht. Oft genügen anonyme Daten – beispielsweise, wenn es um die Berechnung des Budgets etc. geht. Absenzen sollten von den direkten Vorgesetzten mit dem HR, Lohnpfändungen von der Lohnbuchhaltung bearbeitet werden. Weitere Personenkreise zu involvieren ist mit dem Grundsatz der Verhältnismässigkeit nicht vereinbar.
Lässt sich die Geschäftsleitung nicht von ihren Begehrlichkeiten abbringen, sollte das strategische Organ beigezogen werden. Denn für die Einhaltung von Compliance-Vorgaben ist dieses verantwortlich (vgl. Art. 716a, Abs. 1 Ziff. 5: [Der Verwaltungsrat hat folgende unübertragbare und unentziehbare Aufgaben:] … «die Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen;»). Ein regelmässiger, direkter, ungefilterter Austausch kann dabei helfen, nicht eines Tages mit einer negativen Berichterstattung in der Presse zu erscheinen.
Zusammenfassend gilt auch hier das Least-Privilege-Prinzip, vielleicht besser bekannt als das Need-to-Know-Prinzip. Es stellt sicher, dass der Zugang für Datennutzende streng auf die für sie relevanten Daten und Systemen beschränkt wird. Dies minimiert das Risiko und die Auswirkungen von Datenlecks.