Das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) hat seinerzeit im HR-Bereich für Aufruhr gesorgt. Denn der Gesetzgeber nimmt beim Datenschutz vor allem die Unternehmensbereiche in die Pflicht, die mit vertraulichen personenbezogenen Daten arbeiten. Das betrifft in erster Linie Personalverantwortliche. Unternehmen sind aber bemüht, ihre Prozesse datenschutzverträglich zu gestalten und greifen dazu auf eine entsprechend konfigurierte HR Software zurück. Was zu beachten ist.

Die Datenschutzgrundverordnung (DSGVO oder EU-DSGVO) geht unter anderem mit folgenden Auflagen für HR einher:

  • Personenbezogene Daten, die nicht mehr benötigt werden, müssen unverzüglich gelöscht werden.
  • Mitarbeitern, die ihrem Arbeitgeber vertrauliche Daten oder Informationen auf elektronischem Weg zur Verfügung stellen, muss gewährleistet werden, dass diese verschlüsselt übertragen werden.
  • Ein Unternehmen muss nach dem Erhalt persönlicher Daten unverzüglich über die Art und Weise informieren, wie es die Daten vorhält, wofür es sie benutzt und wie lange es sie speichert.
  • Mitarbeiter dürfen jederzeit bei einem Arbeitgeber eine Auskunft über die Daten verlangen, die zu der eigenen Person gespeichert sind.

Bei Missachtung der Datenschutzgesetzgebung fallen die Sanktionen schmerzhaft aus.

Es drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes. Fällig ist der jeweils höhere Betrag. Große Vorsicht ist vor allem im HR-Bereich geboten, wo sich das Tagesgeschäft zum größten Teil um die Verwaltung besonders schützenswerter personenbezogenen Daten dreht.

DSGVO - Schützenswerte personenbezogene Daten

  • Name
  • Anschrift
  • Lebenslauf
  • Zeugnisse
  • Pfändungsurteile
  • Führungszeugnisse
  • Medizinische Daten

Einhalten der Datenschutzgrundverordnung mit HR Software

Die Einhaltung der Datenschutzgrundverordnung ist mit einer guten HR-Software meist gut umsetzbar. Zum Beispiel im Bewerbermanagement. Hier sorgen passgenaue Einstellungen in Bewerbermanagementsystemen dafür, dass kritische Daten etwa automatisch nach Ablauf einer festgelegten Frist gelöscht werden, oder dass Bewerber nach Erhalt ihrer Bewerbungsunterlagen über Datenvorhaltung, -ablage und Aufbewahrungsdauer informiert werden. Ebenfalls automatisch. Auch garantiert ein solches System einen sicheren, verschlüsselten Datenaustausch und vieles mehr.

Auch eine Digitale Personalakte trägt beispielsweise mit den richtigen Einstellungen zum Einhalten des Datenschutzes im Personalwesen bei. Innerhalb einer Digitalen Personalakte können berechtigte Arbeitnehmer oder Manager jederzeit Dokumente wie Verdienstabrechnungen, Zielvereinbarungen, Zertifikate und dergleichen mehr einsehen, ohne HR bemühen zu müssen. In dem System kann für jeden Anwender sehr feingranular und datenschutzkonform pro Dokumententyp eingestellt werden, wer welche Information sehen darf. Dank des zentralen Zugriffs auf Dokumente ist auch eine datenschutzkonforme Umsetzung von Löschkonzepten nicht nur einfacher, sondern erfolgt auch in vielen Fällen automatisch.

 

DSGVO - Cloud versus On-Premise-Lösungen

Viele Anwenderunternehmen greifen auf eine Software aus der Cloud zurück. Das ist auch kein Problem. Denn Cloud-Dienste sind inzwischen in der Tendenz sicherer als On-Premise-Anwendungen, also lokal gehostete Lösungen. Lange galt der Datenschutz zwar als Stigma der Cloud. Dem ist aber nicht mehr so. Cloud-Lösungen haben zu einer regelrechten Aufholjagd in punkto Sicherheit angesetzt und liegen inzwischen mit On-Premise-Lösungen mindestens auf Augenhöhe, wenn gar nicht darüber.

Dass Cloud-Anbieter dermaßen nachgelegt haben, liegt in der Natur der Sache. Immerhin würden Sicherheitslecks nicht nur ihre Kunden, sondern das gesamte Geschäftsmodell des Anbieters schädigen. Kein Wunder also, dass Cloud-Betreiber größten Wert auf streng geregelte und zertifizierte Sicherheits- und Datenschutzstandards legen.

Und das häufig auf einem Level, das manches lokale Datenzentrum in einem Betriebs nicht vorweisen kann. Denn die in Firmen verwendeten On-Premise-Systeme sind oft ein Mix aus älteren und neueren Technologien. Derart durchwachsene Infrastrukturen sind zum Beispiel von Natur aus fehleranfälliger als einheitliche IT-Landschaften.

 
Wie kann man bei einem Cloud-Anbieter wirklich auf Nummer sicher gehen?

Aber auch unter Cloud-Anbietern gibt es schwarze Schafe. Anwender sollten daher unbedingt auf „Nummer Sicher“ gehen und das Angebot genau durchleuchten, bevor sie mit einem Hersteller Nägel mit Köpfen machen.

Denn Unwissenheit schützt vor Strafe nicht. Die EU-DSGVO spricht Cloud-Anwender im Falle einer Datenschutzverletzung nämlich nicht zwingend von der Haftung frei. Sie verlangt in Artikel 28, dass Kunden nur mit Cloud-Anbietern zusammenarbeiten dürfen, die „Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“. Das zu überprüfen obliegt dem Anwender.

 
Zertifikate geben Sicherheit

Worauf ist zu achten? Im besten Fall sind die Cloud-Lösungen von offizieller Stelle zertifiziert. Am bekanntesten ist die Zertifizierung von Informationsmanagementsystemen auf Grundlage der Norm DIN ISO/IEC 27001. Mit einer entsprechenden Zertifizierung durch den TÜV Rheinland wird etwa ein über die Gesetzesanforderungen hinausgehendes Datenschutz-Management bestätigt, mit dem ein Unternehmen als vorbildlich in allen Belangen des Datenschutzes angesehen wird.

Auf dem Prüfstand stehen die folgenden Aspekte:

  • Alle gesetzlichen Datenschutzvorgaben werden zuverlässig eingehalten.
  • Alle betriebsinternen Abläufe bei dem externen Anbieter sind datenschutzkonform.
  • In allen Rechner- und Serverräumen besteht größtmögliche physische Datensicherheit.
  • Die Auftragsdatenverarbeitung geht ohne Sicherheitslücken vonstatten.
  • Die verwendete Software entspricht den gesetzlichen Datenschutzvorschriften.
  • Es gibt übrigens noch weitere Zertifizierungen, über die sich Anwender jederzeit bei der Stiftung Datenschutz informieren können.
 
Standort des Servers

Auch der Standort des Servers, auf dem ein Cloud-Anbieter seine Daten hostet, ist relevant. In Amerika darf der Staat zum Beispiel unter Berufung auf den seit 2001 gültigen „Patriot Act“ ohne jede richterliche Verfügung auf die Server in den USA zugreifen. Das wiederspricht allerdings der DSGVO. Unternehmen, die auf einen amerikanischen Cloud-Anbieter setzen, riskieren somit Datenschutzverstöße.

Aufgrund dieser Rechtsproblematik sollten Anwenderunternehmen ausschließlich die Cloud-Angebote von nichtamerikanischen IT-Dienstleistern einholen, deren Server sich auf europäischen Boden befinden. Alles andere ist kritisch.

 

Was müssen Unternehmen beim Datenschutz in den eigenen vier Wänden beachten?

Aber Vorsicht: Der richtige Serverstandort und eine Zertifizierung des Lösungsanbieters befreit Anwender einer Software nicht von der Verpflichtung, auch im eigenen Unternehmen möglichen Datenschutzverletzungen vorzubeugen. Denn auch die sicherste Cloud-Anwendung kann nicht verhindern, dass Daten von Unbefugten im Anwenderunternehmen selbst ausgespäht werden.

Wie schnell lassen sich zum Beispiel Daten von Unbefugten von einem Computermonitor ablesen, der in einem öffentlich zugänglichen Raum steht? Insofern empfiehlt sich die Nutzung einer HR-Software nur in Räumen ohne Öffentlichkeitsverkehr. Diese sollten mit elektronischen Sicherungen zum Zutrittsschutz ausgestattet sein.

 

Exkurs: Drohende Datenschutzverstöße bei Verwendung einer Software für den privaten Gebrauch

Es gibt allerdings eine entscheidende Sicherheitslücke, die von Personalverantwortlichen beim Datenschutz oft übersehen wird: Diese betrifft die interne Kommunikation innerhalb der HR-Teams. Häufig greifen HR-Manager oder Führungskräfte bei der internen Kommunikation auf den privaten Messenger-Dienst WhatsApp zurück, um sich mit Kollegen auszutauschen. Zum Beispiel, wenn sie unterwegs sind oder gerade nicht am Platz weilen und dennoch wichtige Informationen teilen wollen, die sonst in Vergessenheit geraten könnten.

In solchen Fällen ist es verdammt praktisch, sich zum Beispiel fix in einer Chat-Gruppe über einen Bewerber auszutauschen. Doch mit der Nutzung von WhatsApp sind Verstöße gegen die Datenschutzgrundverordnung Programm.

 

Interne Kommunikation über WhatsApp: Verdammt praktisch, aber verdammt unsicher

Denn der Messengerdienst liest beispielsweise die Adressbücher inklusive E-Mail-Kontakten und Telefonnummern aus und gibt diese Daten an die amerikanische Konzernmutter Facebook weiter. So kommen Informationen automatisch in die Hände des Facebook-Konzerns, in die sie aus europäischer Sicht aber nicht gehören. Somit ist der Datenschutzverstoß bereits Programm, sobald WhatsApp auf ein dienstliches Handy geladen wird.

Es gibt aber noch weit mehr Datenschutz-Probleme, die mit der beruflichen Nutzung von WhatsApp verbunden sind. Zum Beispiel kontrollieren Mitarbeiter nicht immer, ob ein Kollege, der die Organisation verlassen hat, auch den bestehenden Gruppenchat verlassen hat. Bleibt dieser in einer Chatgruppe, erhält er weiterhin interne Daten, die ihn nichts mehr angehen. Wiederum ein Verstoß gegen den Datenschutz.

DSGVO: Die Vorteile einer Mitarbeiter-App:
  • Die Daten werden sicher und datenschutzkonform an zentraler Stelle innerhalb der EU gehostet und unterliegen somit der DSGVO.
  • Alle Informationen werden verschlüsselt nach weltweit erprobten Sicherheitsstandards übertragen.
  • Übertragene Daten können nicht heruntergeladen, sondern nur innerhalb der App angesehen werden. Der Absender bleibt immer der Eigentümer der versandten Daten.
  • Das Unternehmen, das die Mitarbeiter-App einsetzt, entscheidet, wer welche Daten sehen darf. Es kann Mitarbeiter zum Beispiel zu Gruppenchats hinzufügen, sie aber auch wieder daraus entfernen.
  • Accounts scheidender Mitarbeiter können mit wenigen Klicks gelöscht werden.

Das Beispiel bezüglich der DSGVO-Stolperfallen in der internen Kommunikation zeigt: Gerade im Personalmanagement ist es wenig ratsam, auf Tools zurückzugreifen, die nicht für den HR-Bereich gedacht sind. Beim Datenschutz lauern nicht unerhebliche Fallstricke.

Wer braucht einen Datenschutzbeauftragten?

Vor diesen sind gerade kleinere Unternehmen nicht gefeit. Denn nicht immer gibt es einen Datenschutzbeauftragten, der nach dem rechten schaut.

Die gute Nachricht: Datenschutzkonforme Software Anwendungen gibt es inzwischen für alle Bereiche  des HR-Managements. Von A wie Active Sourcing bis hin zu Z wie Zeiterfassung. Sie wollen mehr über die entsprechenden Tools erfahren? Unsere Mitarbeiter beraten Sie gerne! Nehmen Sie noch heute Kontakt auf.