030 120 643 64
Für kostenfreie Anrufe.
Das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) hat seinerzeit im HR-Bereich für Aufruhr gesorgt. Denn der Gesetzgeber nimmt beim Datenschutz vor allem die Unternehmensbereiche in die Pflicht, die mit vertraulichen personenbezogenen Daten arbeiten. Das betrifft in erster Linie Personalverantwortliche. Unternehmen sind aber bemüht, ihre Prozesse datenschutzverträglich zu gestalten und greifen dazu auf eine entsprechend konfigurierte HR Software zurück. Was zu beachten ist.
Die Datenschutzgrundverordnung (DSGVO oder EU-DSGVO) geht unter anderem mit folgenden Auflagen für HR einher:
Bei Missachtung der Datenschutzgesetzgebung fallen die Sanktionen schmerzhaft aus.
Es drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes. Fällig ist der jeweils höhere Betrag. Große Vorsicht ist vor allem im HR-Bereich geboten, wo sich das Tagesgeschäft zum größten Teil um die Verwaltung besonders schützenswerter personenbezogenen Daten dreht.
Die Einhaltung der Datenschutzgrundverordnung ist mit einer guten HR-Software meist gut umsetzbar. Zum Beispiel im Bewerbermanagement. Hier sorgen passgenaue Einstellungen in Bewerbermanagementsystemen dafür, dass kritische Daten etwa automatisch nach Ablauf einer festgelegten Frist gelöscht werden, oder dass Bewerber nach Erhalt ihrer Bewerbungsunterlagen über Datenvorhaltung, -ablage und Aufbewahrungsdauer informiert werden. Ebenfalls automatisch. Auch garantiert ein solches System einen sicheren, verschlüsselten Datenaustausch und vieles mehr.
Auch eine Digitale Personalakte trägt beispielsweise mit den richtigen Einstellungen zum Einhalten des Datenschutzes im Personalwesen bei. Innerhalb einer Digitalen Personalakte können berechtigte Arbeitnehmer oder Manager jederzeit Dokumente wie Verdienstabrechnungen, Zielvereinbarungen, Zertifikate und dergleichen mehr einsehen, ohne HR bemühen zu müssen. In dem System kann für jeden Anwender sehr feingranular und datenschutzkonform pro Dokumententyp eingestellt werden, wer welche Information sehen darf. Dank des zentralen Zugriffs auf Dokumente ist auch eine datenschutzkonforme Umsetzung von Löschkonzepten nicht nur einfacher, sondern erfolgt auch in vielen Fällen automatisch.
Viele Anwenderunternehmen greifen auf eine Software aus der Cloud zurück. Das ist auch kein Problem. Denn Cloud-Dienste sind inzwischen in der Tendenz sicherer als On-Premise-Anwendungen, also lokal gehostete Lösungen. Lange galt der Datenschutz zwar als Stigma der Cloud. Dem ist aber nicht mehr so. Cloud-Lösungen haben zu einer regelrechten Aufholjagd in punkto Sicherheit angesetzt und liegen inzwischen mit On-Premise-Lösungen mindestens auf Augenhöhe, wenn gar nicht darüber.
Dass Cloud-Anbieter dermaßen nachgelegt haben, liegt in der Natur der Sache. Immerhin würden Sicherheitslecks nicht nur ihre Kunden, sondern das gesamte Geschäftsmodell des Anbieters schädigen. Kein Wunder also, dass Cloud-Betreiber größten Wert auf streng geregelte und zertifizierte Sicherheits- und Datenschutzstandards legen.
Und das häufig auf einem Level, das manches lokale Datenzentrum in einem Betriebs nicht vorweisen kann. Denn die in Firmen verwendeten On-Premise-Systeme sind oft ein Mix aus älteren und neueren Technologien. Derart durchwachsene Infrastrukturen sind zum Beispiel von Natur aus fehleranfälliger als einheitliche IT-Landschaften.
Aber auch unter Cloud-Anbietern gibt es schwarze Schafe. Anwender sollten daher unbedingt auf „Nummer Sicher“ gehen und das Angebot genau durchleuchten, bevor sie mit einem Hersteller Nägel mit Köpfen machen.
Denn Unwissenheit schützt vor Strafe nicht. Die EU-DSGVO spricht Cloud-Anwender im Falle einer Datenschutzverletzung nämlich nicht zwingend von der Haftung frei. Sie verlangt in Artikel 28, dass Kunden nur mit Cloud-Anbietern zusammenarbeiten dürfen, die „Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“. Das zu überprüfen obliegt dem Anwender.
Worauf ist zu achten? Im besten Fall sind die Cloud-Lösungen von offizieller Stelle zertifiziert. Am bekanntesten ist die Zertifizierung von Informationsmanagementsystemen auf Grundlage der Norm DIN ISO/IEC 27001. Mit einer entsprechenden Zertifizierung durch den TÜV Rheinland wird etwa ein über die Gesetzesanforderungen hinausgehendes Datenschutz-Management bestätigt, mit dem ein Unternehmen als vorbildlich in allen Belangen des Datenschutzes angesehen wird.
Auf dem Prüfstand stehen die folgenden Aspekte:
Auch der Standort des Servers, auf dem ein Cloud-Anbieter seine Daten hostet, ist relevant. In Amerika darf der Staat zum Beispiel unter Berufung auf den seit 2001 gültigen „Patriot Act“ ohne jede richterliche Verfügung auf die Server in den USA zugreifen. Das wiederspricht allerdings der DSGVO. Unternehmen, die auf einen amerikanischen Cloud-Anbieter setzen, riskieren somit Datenschutzverstöße.
Aufgrund dieser Rechtsproblematik sollten Anwenderunternehmen ausschließlich die Cloud-Angebote von nichtamerikanischen IT-Dienstleistern einholen, deren Server sich auf europäischen Boden befinden. Alles andere ist kritisch.
Aber Vorsicht: Der richtige Serverstandort und eine Zertifizierung des Lösungsanbieters befreit Anwender einer Software nicht von der Verpflichtung, auch im eigenen Unternehmen möglichen Datenschutzverletzungen vorzubeugen. Denn auch die sicherste Cloud-Anwendung kann nicht verhindern, dass Daten von Unbefugten im Anwenderunternehmen selbst ausgespäht werden.
Wie schnell lassen sich zum Beispiel Daten von Unbefugten von einem Computermonitor ablesen, der in einem öffentlich zugänglichen Raum steht? Insofern empfiehlt sich die Nutzung einer HR-Software nur in Räumen ohne Öffentlichkeitsverkehr. Diese sollten mit elektronischen Sicherungen zum Zutrittsschutz ausgestattet sein.
Es gibt allerdings eine entscheidende Sicherheitslücke, die von Personalverantwortlichen beim Datenschutz oft übersehen wird: Diese betrifft die interne Kommunikation innerhalb der HR-Teams. Häufig greifen HR-Manager oder Führungskräfte bei der internen Kommunikation auf den privaten Messenger-Dienst WhatsApp zurück, um sich mit Kollegen auszutauschen. Zum Beispiel, wenn sie unterwegs sind oder gerade nicht am Platz weilen und dennoch wichtige Informationen teilen wollen, die sonst in Vergessenheit geraten könnten.
In solchen Fällen ist es verdammt praktisch, sich zum Beispiel fix in einer Chat-Gruppe über einen Bewerber auszutauschen. Doch mit der Nutzung von WhatsApp sind Verstöße gegen die Datenschutzgrundverordnung Programm.
Denn der Messengerdienst liest beispielsweise die Adressbücher inklusive E-Mail-Kontakten und Telefonnummern aus und gibt diese Daten an die amerikanische Konzernmutter Facebook weiter. So kommen Informationen automatisch in die Hände des Facebook-Konzerns, in die sie aus europäischer Sicht aber nicht gehören. Somit ist der Datenschutzverstoß bereits Programm, sobald WhatsApp auf ein dienstliches Handy geladen wird.
Es gibt aber noch weit mehr Datenschutz-Probleme, die mit der beruflichen Nutzung von WhatsApp verbunden sind. Zum Beispiel kontrollieren Mitarbeiter nicht immer, ob ein Kollege, der die Organisation verlassen hat, auch den bestehenden Gruppenchat verlassen hat. Bleibt dieser in einer Chatgruppe, erhält er weiterhin interne Daten, die ihn nichts mehr angehen. Wiederum ein Verstoß gegen den Datenschutz.
Die gute Nachricht: Es gibt Tools aus dem HR Softwarebereich, die das WhatsApp-Dilemma lösen. Moderne Kommunikations-Apps zum Beispiel, die im Gegensatz zu WhatsApp für den professionellen Gebrauch gedacht sind.
Das Beispiel bezüglich der DSGVO-Stolperfallen in der internen Kommunikation zeigt: Gerade im Personalmanagement ist es wenig ratsam, auf Tools zurückzugreifen, die nicht für den HR-Bereich gedacht sind. Beim Datenschutz lauern nicht unerhebliche Fallstricke.
Vor diesen sind gerade kleinere Unternehmen nicht gefeit. Denn nicht immer gibt es einen Datenschutzbeauftragten, der nach dem rechten schaut.
Die gute Nachricht: Datenschutzkonforme Software Anwendungen gibt es inzwischen für alle Bereiche des HR-Managements. Von A wie Active Sourcing bis hin zu Z wie Zeiterfassung. Sie wollen mehr über die entsprechenden Tools erfahren? Unsere Mitarbeiter beraten Sie gerne! Nehmen Sie noch heute Kontakt auf.
Für kostenfreie Anrufe.
Für alle, die lieber schreiben.
Wir rufen Sie gerne zurück.
Wir sind täglich von 8:00 bis 18:00 Uhr für Sie da.