Verantwortung

Schutz von Mitarbeiterdaten: IT-System gestoppt

  • Teilen
    2 Klicks für mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie können Ihre Empfehlung senden. Schon beim Aktivieren werden Daten an Dritte übertragen.
  • Drucken
  • Text vorlesen

Bei der Vorbereitung der Migration eines IT-Systems stellte sich heraus: Statt ausschließlich anonymisierter Daten enthält es auch personenbezogene Informationen von Mitarbeitern. Das System wurde gestoppt, der Betriebsrat informiert.

Mitarbeiterzahlen, Altersstruktur, mögliche Engpässe in der Personalplanung – das System SAP Business Warehouse EIS (Entscheider Information System) generiert solche statistischen Kennzahlen für Geschäftsberichte und Einsatzplanungen. Dafür werden nur anonymisierte Daten benötigt, die nicht auf bestimmte Mitarbeiter zurückzuführen sind. Durch eine von Datenschutz und Personalbereich gemeinsam veranlasste Prüfung hat sich jetzt jedoch herausgestellt: Das System enthält seit 2002 personenbezogene Daten der Mitarbeiter in Deutschland. Anlass der Prüfung war die Vorbereitung der Migration des Systems auf eine neue Lösung.

Der Schutz der Mitarbeiterdaten steht an oberster Stelle "Auch wenn es bisher keinerlei Hinweise auf eine ungesetzliche Weiterverwendung gibt, müssen wir aufklären, wie es zu der Verarbeitung personalisierter Daten kommen konnte. Damit werden wir eine unabhängige, externe Wirtschaftsprüfungsgesellschaft beauftragen“, betont Thomas Kremer, Vorstand Datenschutz, Recht und Compliance. "Unsere Ansprüche an den Datenschutz sind besonders hoch, deshalb dulden wir keine Verstöße.“ Und Personalvorstand Marion Schick stellt klar: "Es ist definitiv nicht im Sinne des Unternehmens, dass personalisierte Mitarbeiterdaten in diesem System verarbeitet wurden. Der Schutz der Mitarbeiterdaten steht für uns an oberster Stelle, deshalb bitten wir als Vorstand die Beschäftigten um Entschuldigung. Die Aufarbeitung werden wir in engem Austausch mit dem Sozialpartner durchführen.“

System gestoppt Das System erfasst keine zusätzlichen Daten, sondern wird aus dem Basissystem SAP HR gespeist. Die Informationen umfassen vorhandene Personaldaten wie beispielsweise Adresse, Geschlecht und Gehalt. "Es ist in Ordnung, dass solche Daten verarbeitet werden, wenn die datenschutzrechtlichen Vorgaben berücksichtigt werden. Im Business Warehouse System hätten sie aber anonymisiert werden müssen“, so Kremer. Zugriff auf die personalisierten Daten hatte ein begrenzter Kreis von Mitarbeitern.

Der Konzernbetriebsrat wurde umgehend informiert, das System nach der Prüfung gestoppt. "Warum in dem System personenbezogene Daten verarbeitet wurden und warum der Fehler nicht vorher aufgefallen ist, werden wir von unabhängigen Dritten aufklären lassen“, so Schick.

Datenschutzkonforme Lösung Gemeinsam arbeiten bereits Datenschutz, Personal- und Finanzbereich sowie IT im engen Austausch mit dem Konzernbetriebsrat an einer datenschutzkonformen Lösung. Der Datenschutzbeirat wird über den Sachverhalt umfassend informiert. Ferner wurden die Aufsichtsbehörden bereits vorsorglich über den Vorgang unterrichtet. "In einem Sonderprojekt werden wir zudem sämtliche Systeme, die Mitarbeiterdaten verarbeiten, genau prüfen“, betont Schick. Und Kremer ergänzt: "Es bleibt dabei, dass die Telekom in puncto Datenschutz vorbildlich sein will. Solche Fehler müssen wir deshalb konsequent abstellen.“

FAQ