Datenschutz: Welche Anforderungen muss die Cloud erfüllen?
Ein Gastbeitrag von Ann-Michelle Hammer, Jacando.
Die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) oder auch General Data Protection Regulation (GDPR) tritt ab dem 25. Mai 2018 in Kraft. Besonders betroffen ist der Human Resources Bereich, wo es in großen Teilen um die Verarbeitung der von der Neuregelung geschützten personenbezogenen Daten geht. Darüber haben wir bereits in unserem letzen Beitrag zum Thema Datenschutz geschrieben. Was muss hier bei der Einführung einer neuen Software beachtet werden? Welche Anforderungen muss das System erfüllen?
Ab wann gilt die DSVGO?
Ziel der neuen europäischen Datenschutzgrundverordnung (EU-DSGVO) ist es, das europäische Datenschutzrecht zu vereinheitlichen. Das Gesetz bringt vor allem für HR weitreichende Änderungen mit sich. Ab 25. Mai 2018 sind die Vorgaben bindend. Mehr zur Umsetzung der DSGVO hier.
Unternehmen, die ihnen nicht Folge leisten, müssen mit schmerzhaften Busgeldern von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes rechnen. Fällig ist der jeweils höhere Betrag, was Unternehmen im schlimmsten Fall in den wirtschaftlichen Ruin treiben kann. Das zeigt: Die EU meint es sehr ernst mit dem Thema Datenschutz.
Welche Daten schützt die DSVGO?
Gerade bei der Einführung einer neuen Software kommt es daher darauf an, das Angebot auf Herz und Nieren zu prüfen, um sicherzustellen, dass es der EU-DSGVO in allen Details Rechnung trägt. Geschützt von der EU-DSGVO werden personenbezogene Daten. Das sind alle Informationen, über die eine Person identifiziert werden kann. Zum Beispiel:
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Geburtstag
- Kontodaten
- Standortdaten
- IP-Adressen
- Cookies
Weitere Informationen zu personenbezogenen Daten hier und was KMUs vor dem Inkrafttreten noch erledigen müssen.
Wer haftet bei Datenschutzverletzungen
Das Hantieren mit diesen Informationen ist in der täglichen HR-Arbeit Gang und Gäbe. Daher ist es in diesem Bereich besonders wichtig, dass Unternehmen, die die Programme externer Dienstleister wie Job-Portale oder etwa eine HR-Software aus der Cloud in Anspruch nehmen wollen, sicherstellen, dass diese rechtzeitig vor dem 25. Mai 2018 EU-DSGVO-konforme Datenverarbeitungsprozesse garantieren können.
Zwar kann auch beispielsweise ein Cloud-Anbieter als Auftrags-Datenverarbeiter für Datenschutzverletzungen haftbar gemacht werden, wenn sich ihm Fehler nachweisen lassen. Grundsätzlich steht aber der Anwender in der Pflicht, dass innerhalb und außerhalb seiner vier Wände alles rechtens läuft.
So verlangt die EU-DSGVO in Artikel 28, dass Kunden nur mit Cloud-Anbietern zusammenarbeiten dürfen, die „Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.
Wichtige Kriterien, die ein Cloud-Anbieter erfüllen sollte
Daher sollte der Cloud-Anwender vor Vertragsunterzeichnung mit einem Anbieter zum Beispiel darauf achten, dass dieser eine Datenschutz-Zertifizierung nach DSGVO einhält.
Auch der Standort des Servers, auf dem ein Cloud-Anbieter seine Daten hostet, ist relevant. In Amerika darf der Staat zum Beispiel unter Berufung auf den seit 2001 gültigen „Patriot Act“ ohne jede richterliche Verfügung auf die Server von US-Unternehmen zugreifen.
Dieses Recht erstreckt sich auch auf die europäischen Tochtergesellschaften von US-Firmen, verträgt sich aber nicht mit den Vorgaben der DSVGO. Daher sollten Anwender einer Cloud-Software darauf achten, dass sämtliche Daten in Europa gehostet werden.
Revisionssichere Ablage personenbezogener Daten
Inhaltlich sollten die Programme aus der Cloud Funktionen beinhalten, die den neuen Vorgaben der DSVGO Rechnung tragen. Die EU-DSGVO kehrt zum Beispiel die Beweislast um: Unternehmen muss nicht mehr ein Verstoß nachgewiesen werden, sondern ab Mai stehen Betriebe in der Rechenschaftspflicht. Das hat zur Folge, dass sämtliche Prozesse so aufgebaut und dokumentiert sein müssen, dass ein Arbeitgeber jederzeit seine Unschuld beweisen kann.
Ein Cloud-Anbieter sollte daher eine revisionssichere Ablage personenbezogener Daten gewährleiten können, über die jede Änderung genau nachvollzogen werden kann:
- Was wurde geändert?
- Wann wurden Daten geändert?
- Wer hat sie geändert?
Nachweis- und Informationspflicht
Das weiteren steht jeder Betrieb, der personenbezogene Daten verarbeitet, in der Nachweis- und Informationspflicht. Das heißt, dass ein Arbeitgeber ein Talent oder einen Mitarbeiter jederzeit darüber informieren können muss, in welcher Art deren Daten erfasst wurden. Gleichzeitig muss das Einverständnis der Person zur Datenerfassung eingeholt werden. Und zwar so, dass Arbeitgeber dieses Einverständnis zur Datenverarbeitung auch wirklich nachweisen können.
Mit einer DSVGO-konformen digitalen Personalakte sind Unternehmen hier aber auf der sicheren Seite und haben immer alle relevanten Informationen ihrer Mitarbeiter in einer übersichtlichen Ansicht dargestellt. Alles andere bedeutet für Personalverantwortliche viel, sehr viel Arbeit.
Ein Beispiel: Will ein Mitarbeiter genaue Informationen zu seinen gespeicherten Daten, müssten Unternehmen diese ohne digitale Unterstützung mühsam aus unterschiedlichen Einzelquellen zusammensuchen:
- Papierakten
- Excellisten
- Worddokumente
- Und, und, und
In einer HR Software sind die Daten dagegen einheitlich gespeichert und auf Knopfdruck auffindbar.
Löschung von Daten
Die DSVGO sieht außerdem vor, dass erfasste Daten nur gespeichert werden dürfen, wenn dafür ein Grund besteht. Wird dieser obsolet, etwa, weil ein Talent eine Stelle ablehnt oder ein Mitarbeiter ausscheidet, müssen alle Personalinformationen spätestens nach der rechtlichen Aufbewahrungsfrist gelöscht werden. Experten bezeichnen das als das „Recht auf Vergessen“. Mehr zur Löschung von personenbezogenen Daten. Aber keine Sorge: DSVGO-konforme Bewerbermanagementsysteme erledigen das automatisch.
Fazit: Wer sich für eine neue Software entscheidet, sollte prüfen, ob all diese Punkte von dem Anbieter berücksichtigt werden. Mit der Auswahl von datenschutzkonformen Softwarelösungen können Unternehmen bereits jetzt eine sehr effektive Maßnahme treffen, um künftig in punkto Datenschutz auf der sicheren Seite zu sein. Und dann gibt es auch keine bösen Überraschungen….
.