Oliver Trabert Cto Feedback Software Questback
Claudine.Petit@questback.com

AUTOR

Claudine Petit

Sicherheitsrisiko Privacy Shield

Ein Gespräch mit dem Questback CTO Oliver Trabert über Sicherheitsrisiken für HR-Daten und wie HR-Manager und Unternehmen diese umgehen.

Sehen Sie die Digitalisierung als Chance oder Risiko für die Datensicherheit im Personalwesen?

Datenschutz im Personalmanagement ist ein brisantes Thema, denn anders als etwa beim Online-Shopping sind beim Arbeitgeber nicht nur Postadressen oder Kontoverbindungen, sondern auch Gehaltsabrechnungen, Datenauswertungen und digitale Personalakten gespeichert. Werden hier Datenschutzverstöße bekannt, ist es fast unvermeidlich, dass der Ruf der Arbeitgebermarke leidet. Dementsprechend ist die Sorge, Datensicherheit nicht ausreichend zu gewährleisten bei HR-Managern groß: In einer aktuellen Bitkom-Studie*, die das Thema Datenschutz im Personalmanagement untersucht, ist sich nur jeder vierte Personalmanager sicher, den Datenschutzanforderungen immer nachzukommen. 

Gleichzeitig wird die Digitalisierung ausdrücklich begrüßt und als Chance für das Personalwesen wahrgekommen, eine höhere Bedeutung im Unternehmen einzunehmen. Sicherlich werden HR-Daten im Zuge der Digitalisierung transparenter und damit entscheidungsrelevanter. Die Anforderungen an den Datenschutz sind allerdings andere als bei einem überwiegend papiergestützten Personalmanagement. Hier müssen sich die Verantwortlichen neue Kompetenzen aneignen oder mit kompetenten Partnern zusammenarbeiten.

An welche Kompetenzen denken Sie hier konkret?

Bei softwaregestützten HR-Prozessen hängt viel an einem ausgereiften Rollen- und Rechte-Konzept für die Nutzer. Software-Lösungen können dies auf technischer Ebene abbilden. Die sinnvolle Verteilung und Vergabe von Zugangsrechten muss jedoch von der Personalabteilung verwaltet werden können.

Außerdem liegt es teilweise im Verantwortungsbereich der HR-Abteilung, die Mitarbeiter für Datenschutzfragen zu sensibilisieren. Das fängt bei einfachen Dingen wie dem Passwortmanagement an – ein scheinbar banales Thema, bei dem es aber in jedem Unternehmen noch Verbesserungspotential gibt.

In größeren Unternehmen sollte sich der HR-Manager auch mit Fragen der IT-Compliance auseinandersetzen, um die Entscheidung für oder gegen eine neue HR-Software kompetent mittragen zu können.

Durch welche Sicherheitsfeatures zeichnet sich gute HR-Software aus?

Ein gutes Zeichen ist, wenn Datenschutzprinzipien bereits bei der Entwicklung und Gestaltung des Produkts berücksichtigt wurden. Dieser „Privacy by Design“-Ansatz ist ein Qualitätsmerkmal, auf das Software-Hersteller in der Regel dezidiert hinweisen. „Privacy by Design“ bedeutet, die Software so zu programmieren, dass die erfassten Daten nicht länger als unbedingt notwendig gespeichert werden. Das Ziel des Ansatzes ist es, dass Datenschutz präventiv und nicht durch nachgelagerte Problembekämpfung erfolgt.

Auf den Verschlüsselungsschutz bei der Datenübertragung sollte auch ein besonders hohes Augenmerk gelegt werden, da es hier verschiedene Standards gibt. Für die Übermittlung und die Dauer der Speicherung sollte der höchstmögliche Verschlüsselungsschutz, wie er etwa auch für Bankdaten verwendet wird, zum Einsatz kommen.

Natürlich spielt Sicherheit auch beim Dienstleister vor Ort eine große Rolle. Einige Anbieter ermöglichen es ihren Kunden, sich persönlich am Firmensitz von den Sicherheitsstandards vor Ort zu überzeugen. Dazu gehört etwa, dass Besucher Ausweise erhalten, um von allen Mitarbeitern als Externe erkannt zu werden. Die Bildschirme der Entwickler dürfen ferner nicht von Unbefugten einsehbar sein und der Zutritt zu den Büroräumen sollte rund um die Uhr kontrolliert werden, etwa durch elektronischen Login per Mitarbeiter-Ausweis. 

Das Thema Daten-Hosting gewinnt vor dem Hintergrund des aktuellen Datenschutzabkommens zwischen Europa und den USA, dem sogenannten „EU-US Privacy Shield“, eine besondere Bedeutung, denn Unternehmen für die eventuelle Nichteinhaltung datenschutzrechtlicher Bestimmungen durch den Dienstleister verantwortlich und gegebenenfalls schadensersatzpflichtig. Umso wichtiger ist die sorgfältige Auswahl von Software-Dienstleistern. Schließlich soll die Zusammenarbeit auch über die Unwägbarkeiten des Privacy Shields hinaus Bestand haben.

Welche Unwägbarkeiten sehen Sie im Privacy Shield konkret?

Seit Inkrafttreten des Privacy Shield Mitte Juli basiert der Datenschutz für EU-Bürger auf Basis einer freiwilligen Selbsterklärung. Das halte ich für sehr abenteuerlich. Gegenüber Safe Harbour hat sich meines Erachtens kaum etwas geändert. Eine der wenigen deutlichen Verbesserungen sind Möglichkeiten zum Rechtsbehelf für den einzelnen EU-Bürger: Betroffene können sich an ihre nationale Datenschutzbehörde wenden, die dann zusammen mit der Federal Trade Commission dafür sorgt, dass Beschwerden innerhalb von 45 Tagen bearbeitet werden.

Wichtig in diesem Zusammenhang: US-Unternehmen können sich erst ab dem 1. August für die Teilnahme an Privacy Shield anmelden. Die Übertragungen von Daten von EU-Bürgern in die USA fallen also erst ab dann unter das neue Abkommen.

Das Privacy Shield könnte dazu führen, dass es in Zukunft Länder erster, zweiter und dritter Klasse für das Datenhosting gibt. Deutschland wird sicherlich privilegiert sein, denn hier herrschen die weltweit strengsten Datenschutzbestimmungen. Langfristig könnte ich mir aber vorstellen, dass global agierende Unternehmen merken werden, dass es nicht praktikabel ist, die Daten nur in bestimmten Ländern zu hosten. Dann bräuchte es allerdings auch ein weltweit geltendes Datenschutzabkommen, auf das sich alle Länder verbindlich einigen. Sowohl die äußere Form als auch der Inhalt des Privacy Shields zeigt, dass wir davon noch sehr weit entfernt sind.

Wie können Unternehmen die Daten ihrer Mitarbeiter vor dem Hintergrund des Privacy Shield zuverlässig schützen?

Entscheidet sich ihr Unternehmen für einen Cloud-Anbieter, spielen der Hauptfirmensitz und Standort des Rechenzentrums, in dem die Daten gehostet werden, eine wichtige Rolle. Tatsächlich wissen viele Unternehmen nicht, dass es eben nicht ausreicht, wenn ihr Software-Dienstleister ihre Daten in Deutschland hostet: Man muss sich darüber klar sein, dass ein Rechenzentrum in der EU noch nicht vor dem Zugriff von US-Behörden schützt. Sobald der Betreiber der SaaS-Plattform ein US-Unternehmen ist, können die dortigen Behörden die Herausgabe von Daten verlangen – trotz Hosting in der EU. Microsoft hat aus diesem Grund T-Systems als Treuhänder für ihre deutsche Cloud-Plattform eingesetzt – ganz klar ein Signal dafür, dass US-Unternehmen dem Sicherheitsbedürfnis deutscher Unternehmen eine hohe Priorität einräumen.

Auch Zertifizierungen vermitteln auf den ersten Blick Sicherheit. Viele Anbieter hosten ihre Daten in ISO 27001 zertifizierten Rechenzentren. Dies bezieht sich allerdings nur auf die Sicherheit des Rechenzentrums und nicht auf den Schutz der SaaS-Plattform. Es ist daher sehr wichtig, dass die Zertifizierung durchgängig besteht, also auch der Betrieb der SaaS-Lösung ISO 27001 zertifiziert ist.

Neben dem ISO 27001 Standard für Rechenzentren gibt es das ISO 2000 Zertifikat für IT-Dienstleister sowie das Trusted Cloud Siegel, das vom Bundesministerium für Wirtschaft und Energie vergeben wird. Sind diese Zertifizierungen, wie oben beschrieben, durchgehend, sind ihre Daten auch beim Hosting zuverlässig geschützt.

Sie wollen mehr über Datenschutz wissen?

Schauen Sie sich auf Youtube das Statement von Oliver Trabert zum Ende des Safe-Harbor-Abkommens an oder sprechen Sie direkt mit uns über Datenschutz und vereinbaren Sie einen Termin.

*„Datenschutz im Personalmanagement 2016“, durchgeführt von Kienbaum und der Bitkom Servicegesellschaft. Befragt wurden Personalmanager und  Datenschutzbeauftragte von 211 deutschen Unternehmen.

Software-Demo anfordern

Vielen Dank für Ihr Interesse! Nach Registrierung wird sich ein Vertriebsmitarbeiter bei Ihnen melden, um einen Termin für eine Software-Demo zu vereinbaren.

You most enable JavaScript to submit the form.


Für Newsletter registrieren

You most enable JavaScript to submit the form.


Preise abrufen

Feedback-Lösungen für Unternehmen zum Bestpreis

Finden Sie heraus, wie Ihr Unternehmen mithilfe von QuestBack Feedback in Gewinn umwandeln kann.

You most enable JavaScript to submit the form.


Sprachauswahl

Anmelden

Wählen Sie Ihre Plattform

Wählen Sie bitte Ihr Questback-Produkt um sich einzuloggen