11. Oktober 2017

Datenschutz Grundverordnung: Auswirkungen auf Personio und seine Kunden

Datenschutz
Datenschutz

“Datenschutz made in Germany” lautet das Versprechen von Personio. Als Software-as-a-Service Unternehmen ist der vertrauensvolle Umgang mit personenbezogenen Daten unserer Kunden integraler Bestandteil der Produktstrategie. Deshalb bereiten wir seit Bekanntmachung der gesetzlichen Neuauflage die eigene Organisation sowie unsere HR Management und Recruiting Software auf die Herausforderungen der EU Datenschutzgrundverordnung (EU DSGVO) vor, die im Mai 2018 in Kraft treten wird. Im Folgenden erfahren Sie, welche konkreten Maßnahmen wir treffen und welche Implikationen das für Ihr Unternehmen hat.

In einem ersten Audit gemeinsam mit unserem Datenschutzbeauftragten haben wir Anfang dieses Jahres einen Fahrplan festgelegt, um den steigenden Anforderungen an die Organisations- und Produktgestaltung, wie beispielsweise “Privacy by Design”- d.h. Sicherstellung des Datenschutzes durch geeignete technische Maßnahmen – und “Privacy by Default” – d.h. Sicherstellung von datenschutzkonformen Standardeinstellungen bei der Nutzung von Produkten und Dienstleistungen -, sowie im Hinblick auf Dokumentations- und Nachweispflichten gerecht zu werden.

Ein weiteres, noch umfassenderes Audit werden wir im Oktober 2017 durchführen, um die gesamte Organisation und das Produkt im Hinblick auf den Fahrplan für die EU DSGVO auf den Prüfstand zu stellen. Geplant ist dabei nicht nur die Prüfung und Weiterentwicklung aller vorhandenen Dokumentationen rund um unsere technischen und organisatorischen Maßnahmen, sondern eine dedizierte Prüfung der Applikation im Hinblick auf gesetzliche Anforderungen aus der EU DSGVO sowie dem darauf aufbauenden neuen Bundesdatenschutzgesetz (BDSG-neu).

Dabei orientieren wir uns an gängigen Normen wie dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Neues Datenschutz Gesetz: Technische Maßnahmen

Neben der Dokumentation und Umsetzung eines umfangreichen Datenschutz- und IT-Sicherheitskonzepts auf Basis der oben genannten technischen und organisatorischen Maßnahmen und unter Anlehnung an gängige IT-Standards plant Personio die Zusammenarbeit mit dem Dienstleister Myra. Gemeinsam werden wir eine sogenannte Web Application Firewall aufsetzen, um “Angriffe von außen” abzuwehren. Unsere Server und Applikation werden so noch besser vor unzulässigen und gefährlichen Anfragen durch Hacker oder automatisierte Bot-Attacken geschützt. Myra sitzt ebenfalls in München, verfügt über Referenzen wie den Schutz der weltgrößten Sicherheitskonferenz in München oder des G7-Gipfels in Elmau 2015, und wird damit auch Teil der Auftragsdatenverarbeitung zwischen Personio und unseren Kunden.

Darüber hinaus planen wir in dem Rahmen einen weiteren umfangreichen Penetrationstest der Applikation und Infrastruktur mit einem externen Dienstleister durchzuführen, um etwaige weitere Verbesserungsmaßnahmen für unser Produkt zu identifizieren.

Neues Datenschutz Gesetz: Organisatorische Maßnahmen

Vorbereitung ist das eine, Nachhaltigkeit das andere. Um Datenschutz dauerhaft oberste Priorität einzuräumen, bauen wir unser internes Datenschutz-Management-System weiter aus und verankern dieses in unserer Organisation. So soll sichergestellt werden, dass Datenschutz dauerhaft Teil unseres kontinuierlichen Verbesserungsprozesses bleibt und wir auch zukünftig schnell auf Änderungen der Gesetzeslage oder Kundenanforderungen reagieren können.

Den veränderten Anforderungen im Auftragsdatenverarbeitungsverhältnis mit unseren Kunden tragen wir Rechnung, indem wir rechtzeitig neue Verträge zur Auftragsverarbeitung schließen und dazu dann auch rechtzeitig vor Eintritt der EU DSGVO angepasste Dokumentationen der technischen und organisatorischen Maßnahmen mit an die Hand geben. Da nach der EU DSGVO das Schriftformerfordernis entfällt, werden entsprechende Änderungsprozesse für beide Parteien in Zukunft deutlich erleichtert.

Falls Sie Fragen zu Datenschutz bei Personio oder den gesetzlichen Neuerungen der EU DSGVO haben, wenden Sie sich gerne an unsere Datenschutzexperten unter datenschutz@personio.de.

Checkliste: Das Wichtigste zum Datenschutz

Datenschutzanforderungen an HR Vorschau