1. Grundlagen beachten
Achten Sie beim Einsatz der HR-Software auf ein differenziertes
Berechtigungskonzept der Software. Nur so ist garantiert, dass
jeder Einzelne nur auf die Daten zugreifen darf, die er für die
Ausübung seiner Tätigkeit tatsächlich benötigt. Das System
muss sekundengenau protokollieren, welche Aktionen stattfin-
den. Empfehlenswert ist, mehrere ineinandergreifende Sicher-
heitsmechanismen – darunter Benutzerauthentifizierung und
verschlüsselte Kommunikation zwischen Server und Client – zu
verwenden. Zudem benötigt die HR-Abteilung eine rechts- und
revisionssichere Archivierung, eine Trennung von Datenbank
und Archiv sowie eine vollständige Verfahrensdokumentation,
die nicht nur IT-Prozesse, sondern auch den organisatorischen
Prozess beschreibt.
2. Neuerungen umsetzen
In diesem Zuge sollten sich HR-Abteilungen vergewissern, ob sie
bereits in der Lage sind, die neuen Regelungen wie das Recht auf
Vergessenwerden, die Informationspflicht und die Meldepflicht
zu erfüllen. Eine gute HR-Software hilft, diese Anforderungen
umzusetzen, beispielsweise indem Dokumente nach Ablauf der
festgelegten Aufbewahrungsfrist automatisiert gelöscht werden.
3. Dienstleister überprüfen
Laut Artikel 28 der DSGVO kommt als Auftragnehmer nur infra-
ge, wer hinreichend belegen kann, dass er die Datenschutzvor-
schriften erfüllt und geeignete technische wie organisatorische
Maßnahmen ergriffen hat. Aufschluss darüber geben zum Bei-
spiel ISO-Zertifizierungen oder Security-Audits. Entscheidend
ist, dass das Rechenzentrum des Auftragsverarbeiters in Europa
liegt und keine Daten in kritische Länder wie China, Russland
oder in die USA übertragen werden können. Außerdem empfiehlt
es sich zu prüfen, ob der Dienstleister bereits das alte Bundesda-
tenschutzgesetz gewissenhaft umgesetzt hat. Wichtige Kriterien
dafür listet die Anlage zu § 9 des BDSG auf, darunter fallen die
Zutritts-, Zugriffs-, Weitergabe- oder Verfügbarkeitskontrolle.
4. Bestehende Verträge mit
Dienstleistern anpassen
Unternehmen, die bereits einen zuverlässigen und datenschutz-
konformen Dienstleister haben, müssen die bestehenden Verträ-
ge an die DSGVO anpassen. Auch für einen Software-Anbieter,
dessen System ein Unternehmen On Premise einsetzt, kann
künftig ein Auftragsverarbeitungsvertrag erforderlich sein, wenn
dieser technischen Support leistet.
5. Datenschutz auf
Management-Ebene ansiedeln
Das Thema Datenschutz muss auf C-Level-Ebene im Unterneh-
men angesiedelt sein. Hat ein Unternehmen bislang noch keinen
Datenschutzverantwortlichen eingesetzt, sollte es dies jetzt tun.
In größeren Unternehmen lohnt es sich, die Rolle eines Chief
Information Security Officers zu schaffen.
Seit 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (EU-
DSGVO). Personalabteilungen, die die Grundlagen des Datenschutzes
nach dem alten Bundesdatenschutzgesetz noch nicht umgesetzt haben,
müssen spätestens jetzt einiges nachholen. Wir zeigen die wichtigsten
fünf Schritte, die jetzt getan werden müssen, um die EU-DSGVO im
betrieblichen Alltag einzuhalten.
In fünf Schritten
zum Datenschutz
DR. MARTIN GRENTZER ist CFO der Aconso AG und einer
der Unternehmensgründer. Die Aconso AG ist Patentinhaber
der Digitalen Personalakte im Web.
Illustration: Lea Dohle
HR-Management
74
personalmagazin 07.18
