Datenschutz, Geheimhaltung und IT-Sicherheit: Wie baut man eine rechtssichere Personalabteilung auf?
Heute haben die meisten Unternehmen ihre HR-Prozesse, Personaldaten und Personalakten komplett digitalisiert. Das hat viele praktische Vorteile für die Personalabteilung und ermöglicht für die Mitarbeitenden schnellen Zugriff auf die eigenen Daten und erhöht die Transparenz. Gleichzeitig entstehen durch die zunehmende Digitalisierung auch Risiken, die bewusst vermieden und verringert werden sollten. Datenklau und -leaks können erheblichen Schaden anrichten. Ebenso spielt die Unternehmensgröße eine Rolle: Was für ein zehnköpfiges Team funktionieren mag, lässt sich selten für 100 Mitarbeitende skalieren. Wir stellen fünf Säulen der HR-Compliance vor, damit eine gesunde Struktur aufgebaut werden kann und vor allem Risiken präventiv eingedämmt werden.
5 Säulen der HR Compliance
1. Sensibilisierung für Datenschutz im HR Team
Wie häufig sollten sich Personalabteilungen mit dem Thema Datenschutz beschäftigen? Johanna Große Daldrup von torq.partners unterstreicht die große Bedeutung von Datenschutz im Personalbereich:
,,Wir als HR-Team sind in der Verantwortung, achtsam mit den Daten unserer Mitarbeitenden umzugehen. Aus dem Grund ist das Thema Datenschutz ein wichtiger Hygienefaktor, der viel mehr thematisiert werden sollte.”
Durch Sensibilisierung für Datenschutz, sei es durch Training und Weiterbildung, kann das Thema immer natürlicher und bewusster in Prozesse eingebunden werden. Eine interne Prüfung, wer mit welchen Daten arbeitet und Zugriff hat, ist der erste Schritt. Verhaltensweisen und interne Prozesse müssen im zweiten Schritt angepasst werden. Beispielsweise sollten E-Mails mit Dokumenten zu sensiblen Mitarbeiter*innen-Daten nur verschlüsselt versendet werden. Nicht nur virtuell, aber auch räumlich sollte das HR-Team auf Geheimhaltung und Datenschutz achten. Gerade bei shared desk policy oder im Großraumbüros sollte das HR-Team Sichtschutz und Privacy Filter für die Bildschirme einführen. Es empfiehlt sich, für das HR-Team ein separates Büro im Gebäude einzurichten, damit offene Gespräche zu Gehaltsdaten sowie Telefonate mit dem Lohnbüro gewährleistet sind. Home Office und Remote Work spielen immer mehr eine Rolle. Das HR-Team sollte dafür separat geschult und sensibilisiert werden. Eventuell werden nun nicht mehr Kündigungsschreiben im Kopierraum des Büros vergessen, sondern der eigene Bildschirm im Co-Working-Space ungesperrt gelassen oder kein VPN genutzt.
2. Zugangsrechte
In jedem guten HRIS können die Ansichtsrechte für individuelle Daten der Mitarbeitenden angepasst werden. Wer darf eigentlich was sehen, bearbeiten und warum? Eine Frage, die täglich in der HR-Abteilung gestellt werden sollte. Schwierig wird es vor allem in den Grauzonen: Darf man dem Manager die Adresse eines Mitarbeiters schicken, weil sie einen Blumenstrauß zur Genesung schicken wollen? Darf man einen angefragten Report zu Diversity mit dem Kommunikationsteam teilen, wenn dieser eine detaillierte Liste über Mitarbeiter enthält und nicht nur eine Auswertung der Daten in Summe? Hier müssen klare Richtlinien und Leitsätze entwickelt werden, damit nicht aus jeder Anfrage eine Grundsatzdiskussion wird. Diese können intern gemeinsam mit Verantwortlichen aus Datenschutz, Rechtsabteilung und HR entwickelt werden.
3. IT-Sicherheit
Das Personalteam steht heute vor neuen Herausforderungen in Zeiten von Home Office und Remote Work: Was passiert, wenn sich eine Mitarbeiter*in aus dem Workation in Costa Rica nicht über den VPN ins Firmennetzwerk einloggt?
Ohne einen starken IT-Partner an der Hand wird der Aufbau einer rechts- und IT-sicheren Personalabteilung schwer. Themen wie die VPN-Nutzung, das Setup im Home Office oder die Einführung des Single-Sign-On bei neuen HR Systemen müssen berücksichtigt werden, bergen aber auch Herausforderungen. Ein enger Austausch mit einem externen oder internen IT-Team kann bei Problemen helfen und die IT-Sicherheit gewährleisten.
4. Internationalisierung
Die Komplexität der Rechtssicherheit erhöht sich wesentlich, wenn Mitarbeitende in verschiedenen lokalen Entitäten anderer Länder eingestellt werden. Das Personalteam muss sich im Zuge der Einführung und Einstellung damit auseinandersetzen, was im jeweiligen Länderkontext rechtlich vorgegeben ist und wie dies auch im globalen Unternehmenskontext berücksichtigt werden kann. Leitfragen sind hierbei: Welche personenbezogenen Daten darf ich bei der Mitarbeiter*In abfragen und in einem HRIS speichern. Welche Angaben sind freiwillig? Auf welche Dokumente der Mitarbeiter*in darf der Manager auch Zugriff haben?
5. Datenschutzverletzung
Der Ernstfall ist eingetreten und es gibt eine Datenschutzverletzung. Jede Verletzung muss zunächst einmal intern bewertet werden, ob eine Meldung an die jeweilige Datenschutzbehörde (nach Bundesland) notwendig ist. Die Meldung hängt von der Schwere der Panne ab. Beispielsweise ist bei dem Verlieren eines verschlüsselten Datenträgers in der Regel keine Meldung erforderlich. Der wichtigste Schritt ist, die Datenschutzverletzung gründlich zu dokumentieren und sofortige Gegenmaßnahmen einzuführen
Das Ziel ist dabei, die stetige Verbesserung im Blick zu haben und ein größeres Bewusstsein zu schaffen. Bei dem Reporting geht es nicht um Schuldzuweisung, sondern darum, eine sogenannte "Post Mortem" Aufklärung zu ermöglichen sowie Bewusstsein und Sensiblisierung für das Thema zu schaffen. Wenn Datenschutzlücken aufgedeckt werden, müssen diese sofort verbessert werden können, ohne dass erst über Verantwortliche gesprochen wird.
Eins ist klar, eine rechtssicheres Personalabteilung entsteht nicht durch Zufall, sondern muss kontinuierlich aufgebaut, evaluiert und verbessert werden. Dazu gehören regelmäßige Schulungen zum Thema für die Personalabteilung und eine offene Zusammenarbeit mit den relevanten Stakeholdern der anderen Abteilungen.
Weitere Artikel
Wichtige Schritte und Risiken bei Nichteinhaltung der NIS2-Richtlinie
Die NIS2-Richtlinie, die ab dem 17. Oktober 2024 in Kraft tritt, schreibt strengere Cybersicherheitsanforderungen in der gesamten EU vor und zielt auf ein breiteres Spektrum von Sektoren ab. Zu den Risiken bei Nichteinhaltung gehören hohe Geldstrafen, Durchsetzungsmaßnahmen, Rufschädigung, Betriebsstörungen und sogar strafrechtliche Sanktionen für die oberste Führungsebene. Um die Anforderungen zu erfüllen, müssen Organisationen zunächst prüfen, ob sie in den Geltungsbereich der Richtlinie fallen, und dann ihre Cybersicherheitsmaßnahmen bewerten und verstärken. Dazu gehören die Verbesserung des Risikomanagements, der Zugangskontrollen, der Reaktion auf Vorfälle und der Sicherheit durch Dritte. Bei der Einhaltung geht es nicht nur um die Einhaltung von Gesetzen, sondern auch um die Verbesserung der allgemeinen Sicherheit und des Vertrauens.
Mehr erfahrenKMU in der KI-Ära: Die Auswirkungen des EU-KI-Gesetzes
Nutze die Möglichkeiten des bahnbrechenden EU-KI-Gesetzes - der weltweit ersten umfassenden Gesetzgebung zu KI. Auch wenn KMU im KI-Sektor mit rechtlichen Unsicherheiten zu kämpfen haben, können sie durch die Einhaltung der Vorschriften erhebliche Vorteile erzielen. Das Gesetz zielt darauf ab, Grundrechte zu schützen, Innovationen zu fördern und einen globalen Standard zu setzen, indem KI-Systeme in Risikostufen eingeteilt werden. Auch wenn es Herausforderungen gibt, bietet das Gesetz den KMU eine einzigartige Gelegenheit, innerhalb eines ethischen Rahmens zu gedeihen und langfristige Stabilität in der sich entwickelnden globalen KI-Landschaft zu gewährleisten. Erforsche das Potenzial des Gesetzes für KMU im KI-Sektor und gehe selbstbewusst durch rechtliche Unwägbarkeiten.
Mehr erfahrenMach Dein Unternehmen bereit für Datenschutz 2024: Tipps für die Osterzeit
Bereite dein Unternehmen auf die strengeren Datenschutzbestimmungen in Deutschland 2024 vor! Von der Ernennung eines Datenschutzbeauftragten bis zur Überprüfung von Verträgen und Schulungen für Mitarbeiter bietet der Artikel konkrete Tipps. Erfahre, wie heyData dir helfen kann, die Compliance zu gewährleisten und das Vertrauen deiner Kunden zu stärken.
Mehr erfahren