• 0228 / 95 50 160

Datensicherheit in HR: So gewährleisten Sie den Datenschutz

© Weissblick – Fotolia
Datenschutz HR, Datensicherheit Human Ressources

Das Thema Datensicherheit ist für Unternehmen spätestens seit dem 25. Mai 2018 ein noch wichtigeres Thema geworden. An diesem Datum ist in Deutschland die Datenschutz-Grundverordnung (kurz: DSGVO) in Kraft getreten. Doch im Bereich Human Resources nehmen Datenschutz und Datensicherheit schon immer eine wichtige Rolle ein. Kaum ein anderer Geschäftsbereich kommt mit so vielen persönlichen Daten in Berührung, die vor unbefugten Zugriffen geschützt werden müssen. In diesem Artikel lesen Sie, wie man Datensicherheit in HR gewährleisten kann und was bei der fortschreitenden Digitalisierung im Personalwesen zu beachten ist.

Was bedeutet Datensicherheit im Unternehmen?

Datensicherheit bedeutet schlicht und ergreifend, dass man unternehmensrelevante oder personenbezogene Informationen vor dem Zugriff Dritter schützt – meist durch die Nutzung technischer oder prozeduraler Maßnahmen, wie Verschlüsselungen oder Zugriffskontrollen.

So ist die Datensicherheit grundsätzlich in allen Bereichen eines Unternehmens relevant. Eine Vielzahl personenbezogener Daten wird im Kontext der Human Resources verarbeitet. Solche persönlichen Informationen müssen besonders umsichtig und vertraulich behandelt werden.

Datensicherheit beinhaltet zum Beispiel den Schutz von:

  • vertraulichen, unternehmensbezogenen Informationen
  • personenbezogenen Daten von Mitarbeitern
  • persönlichen Informationen von Bewerbern

Damit lässt sich Datensicherheit von Datenschutz in dem Maße abgrenzen, als dass Datensicherheit über den reinen Datenschutz hinausgeht. Im Gegensatz zum Datenschutz beinhaltet Datensicherheit nämlich nicht nur den Schutz von personenbezogenen Informationen, sondern aller vertraulichen, im Zusammenhang mit dem Unternehmen stehenden Daten vor dem Zugriff Dritter. Das bedeutet: Datenschutz und Datensicherheit gehen immer Hand in Hand.

Wieso ist Datensicherheit im Personalwesen so wichtig?

Die Frage, welche Mitarbeiter- oder Bewerberinformationen man weitergeben, verarbeiten oder speichern darf, ist vor allem für HR-Mitarbeiter elementar. Denn: Hält ein Unternehmen die rechtlichen Datenschutzbestimmungen der DSGVO oder BDSG zum Schutz von Personaldaten nicht ein, muss es mit hohen Bußgeldern und Sanktionen rechnen. Eine Konsequenz, die man durch die richtigen Maßnahmen leicht vermeiden kann. Diese stellt der Artikel im weiteren Verlauf vor.

Doch auch, wenn eine Firma unternehmensrelevante Informationen durch eine Cyberattacke verliert, kann dies einen erheblichen wirtschaftlichen Verlust für den Betrieb darstellen. Das bedeutet im Umkehrschluss: Datensicherheit ist nicht nur für Personaler ein wichtiger Aspekt bei der täglichen Arbeit. Die Sicherheit der Daten leistet auch einen wesentlichen Beitrag zur Performance eines Unternehmens.

Arbeitsrecht: Das sind die gesetzlichen Grundlagen

Die aktuellen Zahlen lassen aufhorchen: Während laut einer Studie fast 44 Prozent der HR-Manager nicht wissen, worum es sich bei der Datenschutz-Grundverordnung handelt, haben 21 Prozent der Beschäftigten Angst, Fehler in puncto Datensicherheit zu machen. Indem sie beispielsweise ihren Computer aus Versehen mit einem Trojaner oder einem Virus infizieren. Doch dieser Unwissenheit können Unternehmen leicht entgegenwirken. Zum Beispiel, indem man sich beim Datenschutzbeauftragten der Firma oder einem Mitarbeiter der IT informiert.

Während Angst wenig weiterhilft, ist es doch essenziell, sich um die Datensicherheit zu kümmern – spätestens seit der von der Europäischen Union erlassenden DSGVO. Doch auch schon vor Inkrafttreten des europäischen Gesetzes im Mai 2018 gab es mit dem Bundesdatenschutzgesetz (kurz: BDSG) ein deutsches Gesetz zum Schutz von Personaldaten. Dieses wurde nun vom deutschen Gesetzgeber mit den Neuerungen der DSGVO auch im Personalmanagement aktualisiert. Mit dem Ergebnis, dass die Rechte der Arbeitnehmer ausgeweitet und die Pflichten der Arbeitgeber deutlich verschärft wurden.

Was hat sich mit der Datenschutz-Grundverordnung verändert?

Insbesondere im Bereich der Human Resources wurde dem Inkrafttreten der DSGVO mit einer gewissen Sorge entgegengeblickt. Das ist vor allem auf das komplexe Gesetzeskonstrukt zurückzuführen, dessen Umsetzung bis kurz vor dem Stichtag nicht genau definiert war. Die wichtigsten Änderungen und Regelungen seit Mitte 2018 sind:

  • Personalabteilungen und -verantwortliche müssen nun nachweisen können, dass sie die Vorschriften der DSGVO einhalten, indem sie beispielsweise Bewerberdaten schützen. Das bedeutet, dass Personalabteilungen ihren Arbeitsprozess nun ausführlicher dokumentieren müssen.
  • Bewerber oder Mitarbeiter haben nun das Recht, eine Auskunft über die Verwendung ihrer Personaldaten zu erhalten. Außerdem haben sie das „Recht auf Vergessenwerden“. Das heißt: Man muss ihre personenbezogenen Daten löschen oder vernichten, wenn man diese nicht mehr benötigt.
  • Mitarbeiter und Bewerber müssen der Verwendung ihrer Daten aktiv und schriftlich zustimmen. In dem Datenschutzformular sollte man sie zudem darüber informieren, wie man ihre Daten verwendet und wann man sie löscht.
  • Die betroffenen Behörden sind nun dazu angehalten, höhere Bußgelder bei Verstößen der DSGVO zu verhängen.

Es lohnt sich also, einen Blick auf die Gesetzestexte zu werfen. Vor allem im Hinblick auf den Datenschutz findet sowohl bei Bewerbern als auch bei den Behörden eine Sensibilisierung statt.

HR Datensicherheit: Wann und wo gibt es Risiken?

Die Datensicherheit ist an zwei Faktoren gebunden: Erstens an die Technik und zweitens an den Menschen. Nach Verschulden von Mensch oder Technik können Daten für dritte Parteien frei zugänglich sein. Die Datensicherheit ist somit in Gefahr. Das kann passieren, wenn das Unternehmen keine

  • Zugriffs-
  • Weitergabe-
  • Eingabe- oder
  • Auftragskontrolle

für die relevanten Daten eingerichtet hat.

In puncto Software und Technik muss ein Unternehmen bestimmte Vorkehrungen gegen beispielsweise Cyberattacken von Hackern vornehmen. So ist es ein großes Risiko für eine Firma, wenn sie sich nicht genügend um geeignete Cyberabwehrmaßnahmen kümmert. Das wird vor allem zu Zeiten von Cloud-Services immer wichtiger. Lagern Unternehmen die Datenspeicherung an Drittanbieter aus, bedeutet das oftmals ein zusätzliches Risiko für die Datensicherheit.

Aber die Datensicherheit ist nicht nur durch beispielsweise Hacker gefährdet: Auch der Faktor Mensch spielt eine große Rolle. Geben Mitarbeiter unerlaubterweise Informationen an Dritte weiter, ist der Datenschutz nicht mehr gewährleistet.

Das gilt auch für die vermeintlich harmlose Weitergabe von Informationen an firmeninterne Personen. Personalverantwortliche sollten daher darauf achten, dass sie unter keinen Umständen personenbezogene Daten von Bewerbern oder Angestellten an nicht-autorisierte Personen weitergeben. Auch nicht, wenn diese Personen selbst im Unternehmen angestellt sind.

Denn: die Verschwiegenheitspflicht oder auch Schweigepflicht gilt auch und insbesondere für HR-Manager. Vorgesetzte sind hier ganz besonders in der Pflicht, ihr Team auf diesen Umstand aufmerksam zu machen. Gegebenenfalls müssen Verantwortliche auch eingreifen, wenn sie merken, dass ihre Mitarbeiter zu lax mit persönlichen Informationen umgehen.

Datensicherheit gewährleisten: Welche Maßnahmen können Unternehmen ergreifen?

Die vorgestellten Risiken bei der Verarbeitung von Daten haben für Betriebe weitreichende Konsequenzen. So ist es für ein Unternehmen unumgänglich, weitreichende Maßnahmen zur Sicherstellung der Datensicherheit und des Datenschutzes zu ergreifen.

1. Sensibilisierung der Mitarbeiter

Das erste Gebot für alle Mitarbeiter – und damit auch und insbesondere für Personaler – lautet: Die Vertraulichkeit wahren! Das ist eigentlich allen Mitarbeitern bewusst. Dennoch ist es ratsam, sich durch Datenschutzerklärung sowie entsprechende Formblätter der Schweigepflicht zu vergewissern. Außerdem können entsprechende Seminare und Schulungen dabei helfen, das Thema Datensicherheit auf die Agenda zu bringen.

Dort lernen HR-Mitarbeiter, wie sie mit vertraulichen Informationen umgehen müssen und welche arbeitsrechtlichen Regelungen sie beachten sollten. Damit wird auch vermieden, dass Unachtsamkeit, Fahrlässigkeit oder Unwissenheit zu Datenlecks führen. Wichtig ist zudem: Führungskräfte sollten als Vorbildfunktion in puncto Verschwiegenheit dienen.

2. Zugriffs- und Weitergabekontrollen

Klare Autorisierungsverfahren sind sehr wichtig. Die Frage, wer Informationen einsehen darf und wer nicht, sollte in jeder Personalabteilung klar geregelt sein. Dazu gehört auch ein effektives Passwortmanagement, sodass die verantwortlichen Personen immer wissen, wer Zugriff auf die Daten hat und wer nicht.

Wichtig ist in diesem Zusammenhang auch die Ernennung eines Datenschutzbeauftragten, der über dieses Wissen verfügt. Das ist sogar Pflicht: Nach europäischem und deutschem Recht müssen Personalabteilungen, in denen mehr als zehn Mitarbeiter personenbezogene Informationen automatisiert verarbeiten, einen Datenschutzbeauftragten ernennen.

3. Cyber-Security im Unternehmen

Cyber-Sicherheit beginnt zwar in der IT-Abteilung, aber endet dort nicht. An den Prozessen zur Sicherheit im Netz muss sich die ganze Firma beteiligen. Wenn ein Mitarbeiter nämlich auf eine mit einem Virus infizierte Anlage klickt, kann die Datensicherheit des gesamten Unternehmens in Gefahr geraten.

Auch hier können Schulungen helfen, die Mitarbeiter über die Gefahren im Internet aufzuklären. Computer-Schulungen können dabei ein erster Schritt sein. Hierbei sollte man festgelegen, dass eine solche interne Schulungsmaßnahme für jeden neuen Mitarbeiter verpflichtend ist. Bei der Wissensvermittlung kann es hilfreich sein, auf eine Gamification-Strategie zu setzen. Dabei lernen die Angestellten in einer spielerischen Auseinandersetzung die wichtigsten Aspekte in puncto Datensicherheit und können gezielte Fragen stellen.

Datensicherheit: Tipps für mehr Sicherheit im Netz

Datenschutz im Bereich HR wird vor allem zu Zeiten des Internets immer wichtiger. Dabei gibt es einfache Tipps und Tricks, mit denen Personalabteilungen die Datensicherheit erhöhen können.

  • Nutzen Sie keine Auto-Fill-In-Passwort Eingaben im Browser – vor allem, wenn es sich um Seiten handeln, die vertrauliche Informationen enthalten. Dadurch erschweren Sie es Malware und Hackern, an die Benutzernamen und Passwörter zu gelangen.
  • Klicken Sie nicht auf verdächtige Links oder Anhänge. Prüfen Sie zuvor mit einer dafür zuständigen Person, inwiefern Sie auf diese zugreifen dürfen oder nicht.
  • Verwenden Sie ausreichend starke Passwörter. Außerdem sollte man die Passwörter regelmäßig erneuern und überprüfen, wer sensible Zugangsdaten hat. Hier kann auch ein Passwortmanager hilfreich sein.
  • Nutzen Sie Cloud-Services nur mit Vorsicht und halten Sie, bevor Sie ein Dokument auf einen externen Cloud-Server wie Dropbox laden, Rücksprache mit der IT-Abteilung. Wer nämlich sensible Daten auf einen unternehmensexternen Server lädt, kann unter Umständen den Datenschutz des Unternehmens untergraben. Das kann hohe Bußgelder zur Folge haben.
  • Nutzen Sie keine Konvertierungsprogramme, ohne dies zuvor mit den verantwortlichen Datensicherheitsbeauftragten abzuklären. Das Problem ist dabei, dass Sie die Rechte an dem Dokument verlieren könnten. Das kann vor allem bei unternehmensrelevanten Dokumenten weitreichende Konsequenzen haben.

Beachten Sie diese Tipps bei Ihrer alltäglichen Arbeit im Netz, garantieren Sie, dass Sie die Datensicherheit Ihres Unternehmens nicht in Gefahr bringen. Informieren Sie sich bei Zweifeln zudem bei der IT-Abteilung oder dem Datenschutzbeauftragten.

Human Resources Datensicherheit: Ein wichtiges Thema

Nie war Datensicherheit wichtiger. Nicht zuletzt seit dem Inkrafttreten der Datenschutz-Grundverordnung gibt es vor allem für die Mitarbeiter der Personalabteilung wesentliche Neuerungen zu beachten. Das gilt sowohl im Umgang mit dem Bestandspersonal als auch mit den Bewerbern.

Viele Beschäftigte fühlen sich aber dennoch unzureichend aufgeklärt, wann und in welchen Situationen Datenschutz und -sicherheit besonders essenziell sind. Hier haben Unternehmen definitiv Nachholbedarf, insbesondere was die Schulung anhand von praktischen Beispielen anbelangt.

Die Datensicherheit des gesamten Unternehmens hängt an jedem einzelnen Mitarbeiter – nicht nur an der IT-Abteilung. Missachtet ein Mitarbeiter die Datensicherheitsbestimmungen des Unternehmens, riskiert er ein Datenleck. Das kann unter Umständen großen Schaden anrichten. Unternehmensspezifische Schulungen, der Hinweis auf die Schweigepflicht und nicht zuletzt Vorgesetzte, die mit gutem Beispiel vorangehen, leisten einen wesentlichen Beitrag zum umsichtigen Umgang mit Interna.

Autor: Redaktion Personalwissen

Sie haben Fragen? Rufen Sie uns an.
0228 / 95 50 160

* Selbstverständlich können Sie den Gratis-Ratgeber auch unabhängig von einer Newsletter-Anmeldung anfordern. Schreiben Sie uns dazu bitte eine kurze E-Mail mit Link zu dieser Seite.