Eine digitale Personalakte enthält die sensibelsten Daten deiner Mitarbeiter. Sie enthält Entgeltabrechnungen, Arbeitsunfähigkeitsbescheinigungen, Daten über Kinder und Familie und vieles mehr. Eine digitale Personalakte muss also sicher sein. Dazu gehört die Revisionssicherheit, GoBD-Konformität und eine Begrenzung der Zugriffsrechte.
Was das genau bedeutet, erfährst du hier!
GoBD-konforme digitale Personalakte
GoBD oder die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form ist ein wichtiges Qualitätsmerkmal einer digitalen Personalakte.
GoBD-Konformität bei der digitalen Personalakte bedeutet im Wesentlichen:
- Revisionssicherheit durch Unveränderbarkeit: Technische Mechanismen stellen sicher, dass Dokumente im Nachhinein nicht manipuliert oder spurlos gelöscht werden können.
- Lückenlose Protokollierung: Jeder Zugriff sowie jede Bearbeitung wird revisionssicher dokumentiert, um volle Transparenz über den Lebenszyklus einer Akte zu gewährleisten.
- Feingranulares Berechtigungskonzept: Ein dediziertes Rollenmodell stellt sicher, dass sensible Personaldaten ausschließlich für autorisierte Personen zugänglich sind.
- Automatisiertes Lifecycle-Management: Die strikte Einhaltung von gesetzlichen Aufbewahrungsfristen und datenschutzkonformen Löschkonzepten (gemäß DSGVO) ist systemseitig verankert.
- Vollständige Verfahrensdokumentation: Eine transparente Beschreibung der Prozesse und IT-Systeme dient als notwendiger Nachweis bei Betriebsprüfungen.
So erfüllt Keybuki diese Punkte
Dokumentenintegrität
Jedes Dokument erhält beim Upload einen einzigartigen SHA-256-Hash, sozusagen einen digitalen Fingerabdruck, der jede nachträgliche Veränderung sofort sichtbar macht. Wird ein Dokument manipuliert oder unerlaubt ausgetauscht, erkennt Keybuki dies automatisch. Eine tägliche Integritätsprüfung überwacht zusätzlich alle gespeicherten Dokumente. Bei Unstimmigkeiten wirst du umgehend per E-Mail benachrichtigt.
Lückenlose Protokollierung
Unser integrierter Audit-Log protokolliert jede Aktion innerhalb der Personalakte, vom Hochladen über das Einsehen bis hin zum Löschen. Bei Änderungen an Mitarbeiterdaten wird darüber hinaus der vorherige und der neue Zustand dokumentiert, sodass eine lückenlose Nachverfolgung jederzeit möglich ist.
Aufbewahrungsfristen
Keybuki kennt die gesetzlichen Aufbewahrungsfristen und wertet sie automatisch aus. Dokumente werden dabei nie automatisch gelöscht. Du wirst stattdessen frühzeitig darauf hingewiesen, wenn Fristen ablaufen. Sobald die Aufbewahrungspflicht endet, erhältst du eine Benachrichtigung per E-Mail sowie eine übersichtliche Liste aller Dokumente, die nun gelöscht werden müssen.
Die digitale Personalakte jetzt kostenlos für 14 Tage testen
Soft Delete
Gelöschte Dokumente werden nicht sofort entfernt, sondern zunächst für 30 Tage in den Papierkorb verschoben. Innerhalb dieser Frist können versehentlich gelöschte Dokumente jederzeit wiederhergestellt werden. Nach Ablauf der 30 Tage erfolgt die unwiderrufliche Löschung.
Zugriffskontrolle
Unsere Zugriffskontrolle folgt einem klaren Prinzip: Maximal drei HR-Verantwortliche erhalten Zugriff auf die gesamte digitale Personalakte. Alle anderen Mitarbeiter können jederzeit Einblick in die eigene Akte erhalten. Dazu können die HR-Verantwortlichen ganze Akten oder einzelne Dokumente gezielt und temporär freigeben. Der Zugang erfolgt sicher über den Browser oder die App.
Worauf sollte man bei einer digitalen Personalakte achten?
Es klingt unspektakulär, es sollte selbstverständlich sein und trotzdem wird es häufig übersehen: Der Serverstandort ist einer der wichtigsten Faktoren bei der Wahl einer digitalen Personalakte. Dabei ist „Serverstandort Deutschland“ vor allem ein Vertrauenssignal. Denn rechtlich gesehen unterliegen Server in Österreich, Frankreich oder anderen EU-Ländern derselben EU-Verordnung, sprich der DSGVO. Der einzige praktische Vorteil deutscher Server betrifft Betriebsprüfungen. Deutsche Behörden erhalten schneller Zugriff auf deutsche Server als auf europäische, auch wenn das innerhalb der EU in der Regel kein großes Hindernis darstellt.
Da HR-Abteilungen aber bevorzugt auf Server in Deutschland setzen, bleibt der Standort ein wichtiges Entscheidungskriterium. Neben dem Serverstandort sollte man darauf achten, dass der Anbieter einen Auftragsverarbeitungsvertrag (AVV) anbietet und seine technischen und organisatorischen Maßnahmen (TOM) transparent dokumentiert. Beides sollte als Dokument zur Verfügung stehen, damit sich Unternehmen vor der Buchung ein umfassendes Bild über den Umgang mit ihren Daten machen können.
Und natürlich spielen auch die Kosten eine Rolle. Preise und Leistungsumfang variieren stark. Hier lohnt sich ein genauer Vergleich, der immer individuell auf die eigenen Anforderungen abgestimmt sein sollte.
