Datenschutz – wie sie im HR auf Nummer sicher gehen

Im Mai 2018 ist es soweit: Die neue Datenschutzgrundverordnung der EU tritt in Kraft. Die bevorstehenden Neuerungen sorgen landauf, landab für Unsicherheit in den HR-Abteilungen – immerhin haben diese in besonderem Masse mit dem Gut zu tun, das durch das neue Gesetz noch besser geschützt werden soll: Personenbezogene Daten. Was müssen Firmen beachten?

Neue Datenschutzgrundverordnung nicht auf die leichte Schulter nehmen.

Die gute Nachricht vorab: Allzu viel wird sich im Vergleich zum aktuell geltenden Recht nicht ändern, sobald die EU-Datenschutz-Grundverordnung (EU-DSGVO) gilt. Weitgehend orientiert sie sich an dem, was bislang ohnehin schon galt. Die tatsächlichen Veränderungen, die bald greifen werden, sind eher marginal. Doch für Unternehmen, die schon immer Lücken in ihren Datenschutzvorkehrungen hatten, drängt die Zeit, folgendes zu prüfen:

• Haben wirklich alle Vorgänge ihre Richtigkeit?
• Sind zum Beispiel die Daten, die im Recruiting gesammelt oder im Rahmen der Zeiterfassung erhoben wurden, ausreichend abgesichert?
• Wie ist es um die Informationen aus der Digitalen Personalakte bestellt?

Das sollten Arbeitgeber nicht auf die leichte Schulter nehmen. Denn die Konsequenzen, die bei Verletzungen der Datenschutz-Gesetzgebung drohen, können nun deutlich schmerzhafter sein als bisher. Sie wurden in der neuen EU-Verordnung noch einmal erheblich verschärft. So fallen Bussgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes bei Verstössen an. Eingezogen wird übrigens der jeweils höhere Betrag, was im Zweifel die Existenz kosten kann.

Datenschutzgrundverordnung: Was ist im Recruiting zu beachten?

Das neue Gesetz greift bereits bei den Abläufen im Recruiting. Die Erhebung von Bewerberdaten über Online-Formulare oder eine One-Click-Bewerbung, bei der die Profildaten von Talenten aus Businessnetzwerken wie LinkedIn oder Xing in die Datenbank eines Arbeitgebers übertragen werden, sind inzwischen Gang und Gäbe.

Bislang war für die Übertragung dieser Informationen jedoch keine verschlüsselte Verbindung notwendig. Das wiederum öffnet Cyberkriminiellen Tür und Tor. Für sie ist es ein Leichtes, personenbezogene Daten beim Transfer abzugreifen. Im Zweifel gelangen so Name, Adresse, E-Mail und Telefonnummer in ihren Besitz. Hiermit können sie allerlei Unheil anrichten. Etwa, indem sie Geschäfte im Namen anderer abwickeln oder namenschädigende Handlungen ausführen. So können ganze Karrieren zunichtegemacht werden.

Die EU-DSGVO nimmt Arbeitgeber hier in die Pflicht und macht die Notwendigkeit zur verschlüsselten Datenübertragung zur Verbindlichkeit. Das gilt natürlich nicht nur für Bewerberdaten, sondern für alle Daten von Mitarbeitern, die im WWW kursieren. Zum Beispiel, wenn Gehaltsdaten im Rahmen der Lohnverarbeitung an Behörden übertragen werden.

Damit trifft das neue Gesetz offensichtlich genau ins Schwarze. Denn hier herrscht laut einer Studie „Digitalisierung und IT-Sicherheit 2017“ der Bundesdruckerei bei vielen Unternehmen noch Nachholbedarf. Den grössten Verbesserungsbedarf sehen die Sicherheitsverantwortlichen in ihren Unternehmen bei technischen IT-Sicherheitsmassnahmen (43 Prozent).

Was ist beim externen Datenhosting zu beachten?

Nun lassen viele HR-Abteilungen ihre Daten aber inzwischen von externen Software-Anbietern hosten, die ihnen ihre Lösung per Cloud zur Verfügung stellen. Wie gross ist die Gefahr aus der Datenwolke?

Hier können Anwender in der Regel beruhigt aufatmen. Oftmals sind Cloud-Anwendungen sicherer als Inhouse-Lösungen, da in grossen Rechenzentren viel komplexere Sicherheitskonzepte Standard sind, die regelmässig upgedatet werden. Bei den meisten Cloud-Anbietern gehören sichere Verbindungen schon lange zum guten Ton. Durchgesetzt haben sich hier zum Beispiel SSL- oder TSL-Verschlüsselungen oder VPN.

Des Weiteren geben einschlägige Zertifizierungen eines Cloud-Dienstleisters Auskunft, wie er es in seinem Rechenzentrum mit seiner IT-Security hält. Grösstmögliche Sicherheit bietet zum Beispiel eine Zertifizierung nach ISO/IEC 27001, über die auch der Schweizer Lösungsanbieter jacando verfügt.

ISO/IEC 27001 bietet Unternehmen ein Gerüst für den Aufbau eines wirksamen Informationssicherheitsmanagementsystems (ISMS) und spezifiziert Anforderungen zur Identifizierung, Analyse und Implementierung von Kontrollen, mit denen Risiken hinsichtlich Informationssicherheit gemanagt und die Integrität geschäftskritischer Daten sichergestellt werden.

„Gerade im Human Resources Management haben persönliche Daten Priorität“, sagt CEO Dennis Teichmann. „Für uns ist es deshalb umso wichtiger, auf höchste Datenschutz- und Sicherheitsstandards zu achten.“ Generell haben jacando-Kunden die Wahl, wo ihre Daten gesichert werden – in der Cloud oder auf eigenen Servern. „So oder so ist Datenschutz für uns ein sehr wichtiges Thema und wir stellen sicher, dass unsere Produkte und Dienstleistungen immer die höchsten Sicherheits- und Qualitätsstandard vorweisen.“

Dass derweil die europäischen Sicherheitsregularien auch von europäischen Ländern wie der Schweiz, die nicht Teil der EU sind, eingehalten werden, ist übrigens sichergestellt. Auch die Schweiz ist aktuell daran, ihr Datenschutzgesetz zu stärken und insbesondere auf die neue Europäische Verordnung auszurichten. Die Schweizer Revision wird aller Wahrscheinlichkeit sehr durchdacht sein, da es auch die zahlreichen länderspezifischen Ausnahmen, die es innerhalb der EU gibt, berücksichtigen wird.

Datenverarbeitung offenlegen

Soweit, so gut. Allerdings kann auch das bestgesicherte Rechenzentrum nicht vor Ungenauigkeiten in der Anwendung einer HR Software schützen. Das ist eine Gefahr, die von Unternehmen allzu oft unterschätzt wird. Denn personenbezogene Daten können schliesslich auch inhouse ausgespäht werden. Auch hier nimmt die EU-Grundverordnung Unternehmen in die Pflicht. Grundsätzlich dürfen von Angestellten nur personenbezogene Daten von anderen Mitarbeitern eingesehen und verarbeitet werden, die für einen Vorgang zwingend erforderlich sind.

Und: Personen, die Einblick in die Datensätze haben, müssen diese ausnahmslos nach einer streng vorgegebenen Anweisung des Unternehmens verarbeiten, jede individuelle Abweichung ist strafbar. Hier bedarf es Prozessen, die klar dokumentiert werden sollten.

Innerhalb einer Anwendungssoftware sollten Unternehmen in besonders kritischen Bereichen wie der Lohnbuchhaltung, aber auch in allen Bereichen, penibel darauf achten, dass alle Berechtigungen richtig vergeben sind. Sie stellen sicher, dass jeder Anwender nur auf die Vorgänge Zugriff hat, die er auch bearbeiten darf.

Gleiches gilt für die Daten, die zum Beispiel in einer Digitalen Personalakte gespeichert werden. Auch hier sorgen klare Berechtigungs- und Rollenkonzepte dafür, dass Daten nur befugten Personen zu Gesicht kommen. Ob zum Beispiel Vorgesetzte tatsächlich immer einen Vollzugriff haben müssen, ist nicht immer mit Ja zu beantworten. Häufig wird das in Unternehmen aber so gehandhabt und bedarf der Kontrolle.

Dauer der Datenvorhaltung

Für die Teildokumente von Personalakten gelten auch weiterhin die bisherigen zehn- bzw. sechsjährige Aufbewahrungsfristen, wobei Bewerberdaten gelöscht werden müssen, sobald der Bewerbungsprozess beendet ist.

Umso besser, wenn der Softwarehersteller mit automatischen Routinen dafür sorgt, dass diese Zeiten ohne weiteres Zutun von HR eingehalten werden. Nach Ablauf der jeweiligen Frist löscht das System die Daten von sich aus.

Sind Mitarbeiter nicht mehr im Unternehmen tätig, müssen die betreffende elektronische Personalakte und sämtliche Daten aus der Lohnbuchhaltung für den unternehmensweiten Online-Zugriff umgehend gesperrt werden. Im System sollte sie für Zugriffsberechtigte innerhalb der jeweiligen Aufbewahrungsfristen aber noch abrufbar sein. Im Idealfall erledigt auch das die Software automatisch.

Für alle Formen der digitalen Datenvorhaltung gilt: Grundsätzlich muss die Art der Datenverarbeitung allen betroffenen Personen offengelegt werden können – das gilt für Bewerber, Mitarbeiter und Ausgeschiedene. Auch das ist nicht neu. Schon immer hatten Eigentümer von Daten das Recht, eine Auskunft darüber zu erhalten, welche Informationen über sie erhoben und verarbeitet werden und zu welchem Zweck. Neu ist allerdings, dass die Bearbeitung innerhalb eines Monats zu erfolgen hat. Hier sind Unternehmen besonders gut aufgestellt, die ihre Informationen bei Bedarf elektronisch abrufen können. Ein Klick und das Informationsbedürfnis ist gestillt. Ergo: Mit den richtigen digitalen Helfern ist das Kapitel Datenschutz ein Klacks.