Datenschutz, Geheimhaltung und IT-Sicherheit: Wie baut man eine rechtssichere Personalabteilung auf?
Heute haben die meisten Unternehmen ihre HR-Prozesse, Personaldaten und Personalakten komplett digitalisiert. Das hat viele praktische Vorteile für die Personalabteilung und ermöglicht für die Mitarbeitenden schnellen Zugriff auf die eigenen Daten und erhöht die Transparenz. Gleichzeitig entstehen durch die zunehmende Digitalisierung auch Risiken, die bewusst vermieden und verringert werden sollten. Datenklau und -leaks können erheblichen Schaden anrichten. Ebenso spielt die Unternehmensgröße eine Rolle: Was für ein zehnköpfiges Team funktionieren mag, lässt sich selten für 100 Mitarbeitende skalieren. Wir stellen fünf Säulen der HR-Compliance vor, damit eine gesunde Struktur aufgebaut werden kann und vor allem Risiken präventiv eingedämmt werden.
5 Säulen der HR Compliance
1. Sensibilisierung für Datenschutz im HR Team
Wie häufig sollten sich Personalabteilungen mit dem Thema Datenschutz beschäftigen? Johanna Große Daldrup von torq.partners unterstreicht die große Bedeutung von Datenschutz im Personalbereich:
,,Wir als HR-Team sind in der Verantwortung, achtsam mit den Daten unserer Mitarbeitenden umzugehen. Aus dem Grund ist das Thema Datenschutz ein wichtiger Hygienefaktor, der viel mehr thematisiert werden sollte.”
Durch Sensibilisierung für Datenschutz, sei es durch Training und Weiterbildung, kann das Thema immer natürlicher und bewusster in Prozesse eingebunden werden. Eine interne Prüfung, wer mit welchen Daten arbeitet und Zugriff hat, ist der erste Schritt. Verhaltensweisen und interne Prozesse müssen im zweiten Schritt angepasst werden. Beispielsweise sollten E-Mails mit Dokumenten zu sensiblen Mitarbeiter*innen-Daten nur verschlüsselt versendet werden. Nicht nur virtuell, aber auch räumlich sollte das HR-Team auf Geheimhaltung und Datenschutz achten. Gerade bei shared desk policy oder im Großraumbüros sollte das HR-Team Sichtschutz und Privacy Filter für die Bildschirme einführen. Es empfiehlt sich, für das HR-Team ein separates Büro im Gebäude einzurichten, damit offene Gespräche zu Gehaltsdaten sowie Telefonate mit dem Lohnbüro gewährleistet sind. Home Office und Remote Work spielen immer mehr eine Rolle. Das HR-Team sollte dafür separat geschult und sensibilisiert werden. Eventuell werden nun nicht mehr Kündigungsschreiben im Kopierraum des Büros vergessen, sondern der eigene Bildschirm im Co-Working-Space ungesperrt gelassen oder kein VPN genutzt.
2. Zugangsrechte
In jedem guten HRIS können die Ansichtsrechte für individuelle Daten der Mitarbeitenden angepasst werden. Wer darf eigentlich was sehen, bearbeiten und warum? Eine Frage, die täglich in der HR-Abteilung gestellt werden sollte. Schwierig wird es vor allem in den Grauzonen: Darf man dem Manager die Adresse eines Mitarbeiters schicken, weil sie einen Blumenstrauß zur Genesung schicken wollen? Darf man einen angefragten Report zu Diversity mit dem Kommunikationsteam teilen, wenn dieser eine detaillierte Liste über Mitarbeiter enthält und nicht nur eine Auswertung der Daten in Summe? Hier müssen klare Richtlinien und Leitsätze entwickelt werden, damit nicht aus jeder Anfrage eine Grundsatzdiskussion wird. Diese können intern gemeinsam mit Verantwortlichen aus Datenschutz, Rechtsabteilung und HR entwickelt werden.
3. IT-Sicherheit
Das Personalteam steht heute vor neuen Herausforderungen in Zeiten von Home Office und Remote Work: Was passiert, wenn sich eine Mitarbeiter*in aus dem Workation in Costa Rica nicht über den VPN ins Firmennetzwerk einloggt?
Ohne einen starken IT-Partner an der Hand wird der Aufbau einer rechts- und IT-sicheren Personalabteilung schwer. Themen wie die VPN-Nutzung, das Setup im Home Office oder die Einführung des Single-Sign-On bei neuen HR Systemen müssen berücksichtigt werden, bergen aber auch Herausforderungen. Ein enger Austausch mit einem externen oder internen IT-Team kann bei Problemen helfen und die IT-Sicherheit gewährleisten.
4. Internationalisierung
Die Komplexität der Rechtssicherheit erhöht sich wesentlich, wenn Mitarbeitende in verschiedenen lokalen Entitäten anderer Länder eingestellt werden. Das Personalteam muss sich im Zuge der Einführung und Einstellung damit auseinandersetzen, was im jeweiligen Länderkontext rechtlich vorgegeben ist und wie dies auch im globalen Unternehmenskontext berücksichtigt werden kann. Leitfragen sind hierbei: Welche personenbezogenen Daten darf ich bei der Mitarbeiter*In abfragen und in einem HRIS speichern. Welche Angaben sind freiwillig? Auf welche Dokumente der Mitarbeiter*in darf der Manager auch Zugriff haben?
5. Datenschutzverletzung
Der Ernstfall ist eingetreten und es gibt eine Datenschutzverletzung. Jede Verletzung muss zunächst einmal intern bewertet werden, ob eine Meldung an die jeweilige Datenschutzbehörde (nach Bundesland) notwendig ist. Die Meldung hängt von der Schwere der Panne ab. Beispielsweise ist bei dem Verlieren eines verschlüsselten Datenträgers in der Regel keine Meldung erforderlich. Der wichtigste Schritt ist, die Datenschutzverletzung gründlich zu dokumentieren und sofortige Gegenmaßnahmen einzuführen
Das Ziel ist dabei, die stetige Verbesserung im Blick zu haben und ein größeres Bewusstsein zu schaffen. Bei dem Reporting geht es nicht um Schuldzuweisung, sondern darum, eine sogenannte "Post Mortem" Aufklärung zu ermöglichen sowie Bewusstsein und Sensiblisierung für das Thema zu schaffen. Wenn Datenschutzlücken aufgedeckt werden, müssen diese sofort verbessert werden können, ohne dass erst über Verantwortliche gesprochen wird.
Eins ist klar, eine rechtssicheres Personalabteilung entsteht nicht durch Zufall, sondern muss kontinuierlich aufgebaut, evaluiert und verbessert werden. Dazu gehören regelmäßige Schulungen zum Thema für die Personalabteilung und eine offene Zusammenarbeit mit den relevanten Stakeholdern der anderen Abteilungen.
Weitere Artikel
Wie man WhatsApp für Unternehmen nutzt und dabei DSGVO-konform bleibt
Mit über 2 Milliarden Nutzern ist WhatsApp ein mächtiges Werkzeug für Unternehmen, um Kunden anzusprechen. Die Einhaltung der DSGVO ist jedoch ein großes Problem, insbesondere für die klassischen WhatsApp- und WhatsApp Business-Apps, die Metadaten verarbeiten und auf Kontaktdaten zugreifen. Die WhatsApp Business API, die für größere Unternehmen entwickelt wurde, bietet eine sicherere Lösung, die mit externen Business Solution Providern (BSPs) zusammenarbeitet, um den Datenschutz zu gewährleisten. Die Wahl eines BSP in der EU/im EWR mit angemessenen Datenmanagement-Fähigkeiten ist entscheidend, um die DSGVO einzuhalten und die Reichweite von WhatsApp effektiv zu nutzen.
Mehr erfahrenMitarbeiter-Spotlight: Foteini Privacy Success Managerin
Lernt Foteini kennen, unsere Privacy Success Managerin! Erfahrt in einem Interview mit ihr über ihren Karriereweg, ihre täglichen Einblicke und was die Arbeit bei heyData so einzigartig macht. Taucht ein in einen Tag in ihrem Leben!
Mehr erfahren8 Schritte zur DSGVO- Konformität für SaaS Unternehmen
Die Einhaltung der DSGVO ist für in der EU tätige SaaS-Unternehmen unerlässlich, um personenbezogene Daten zu schützen und Vertrauen aufzubauen. Zu den Risiken bei Nichteinhaltung gehören Geldbußen von bis zu 20 Millionen Euro, Rufschädigung, eine langsamere Produktentwicklung und rechtliche Probleme. Um die Einhaltung der Vorschriften zu gewährleisten, sollten Unternehmen Datenprüfungen durchführen, einen Datenschutzbeauftragten ernennen, Datenschutz-by-Design-Grundsätze einführen, Einwilligungsmanagementsysteme implementieren, Anfragen betroffener Personen effektiv verwalten, die Sicherheit stärken, Lieferantenvereinbarungen überprüfen und einen Plan zur Reaktion auf Verstöße erstellen. Diese Schritte stärken das Vertrauen, gewährleisten die Einhaltung der Vorschriften und verschaffen einen Wettbewerbsvorteil.
Mehr erfahren