EU-DSGVO bei Personio von CEO Hanno Renner
**for English-version please click here**
Liebe Kunden,
ab dem 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) europaweit in Kraft und wird somit für alle Mitgliedstaaten der Europäischen Union verbindlich. Als Anbieter einer Software, die höchst sensible Mitarbeiterdaten verarbeitet, ist die DSGVO natürlich von besonderer Relevanz für uns. Da wir Datenschutz von Anfang an als integralen Bestandteil unserer Produktstrategie definiert haben, sehen wir die neue Verordnung als Chance, unsere Kernkompetenz noch weiter auszubauen. Wir arbeiten seit über einem Jahr daran, die Anforderungen der neuen DSGVO auf technischer, prozessualer und organisatorischer Seite umzusetzen und es freut mich Ihnen heute mitteilen zu können, dass wir diesen Prozess erfolgreich abschließen konnten: Personio ist DSGVO konform. Dies wurde uns auch von der Bitkom Servicegesellschaft mbH (unter der Marke Bitkom Consult) in einem Prüfbericht bestätigt, der hier eingesehen werden kann.
Im letzten halben Jahr haben wir über 60% unserer Entwickler-Ressourcen in die Vorbereitung auf die DSGVO investiert. Während das den Fortschritt von anderen Weiterentwicklungen in der Software deutlich verlangsamt hat, bin ich dennoch davon überzeugt, dass sich dieses Investment in den Datenschutz gelohnt hat und wir unseren Kunden damit ein noch professionelleres Setup bieten können.
Nachdem wir Ihnen am 21. März 2018 bereits einen Zwischenstand mitgeteilt haben, möchten wir heute weitere Details zu unseren Anstrengungen rund um das Thema Datenschutz mit Ihnen teilen. In dieser E-Mail finden Sie einen Auszug über die wichtigsten Produktveränderungen. Einen vollständigen Überblick zur Umsetzung der Anforderungen der DSGVO finden Sie in dem Whitepaper “EU-DSGVO bei Personio”.
Die wichtigsten Änderungen im Überblick
Neue Funktionen in Personio unterstützen Sie, Ihrer Informationspflicht gegenüber Arbeitnehmern und Bewerbern gerecht zu werden. Beispielsweise steht Ihnen unsere aktualisierte Datenschutzerklärung nun auch innerhalb der Applikation zur Verfügung, sodass Sie und Ihre Mitarbeiter jederzeit transparent und präzise nachvollziehen können, welche Daten wir in Personio zur Bereitstellung unserer Dienste verarbeiten und wie wir diese verwenden.
Wir haben eine Reihe neuer Funktionalitäten entwickelt, damit unsere Kunden den Rechten der Betroffenen (Arbeitnehmer oder Bewerber), wie bspw. Auskunft, Änderung oder Löschung personenbezogener Daten, nachkommen können.
Personio gewährleistet aufgrund des Employee-Self-Service-Ansatzes das Recht Ihrer Mitarbeiter, alle sie selbst betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format abzurufen. Weisungsberechtigte Nutzer werden zudem die Möglichkeit haben jederzeit einen vollständigen Export mit allen in Personio gespeicherten Unternehmensdaten durchführen.
Personio-Mitarbeiter werden zum 25. Mai 2018 standardmäßig keinen Zugriff auf Ihren Kundenaccount haben. Um einen Missbrauch hinsichtlich der Accountverwaltung auszuschließen, dürfen ab Inkrafttreten der DSGVO ausschließlich dedizierte Support- und weisungsberechtigte Mitarbeiter Supportanfragen an Personio stellen, einen (temporären) Account-Zugriff für Personio-Mitarbeiter gewähren und Weisungen geben. Die dazu berechtigten Personen können Sie in der Applikation selbst bestimmen.
Neuer Auftragsverarbeitungsvertrag
Aus ADV wird AVV: Der neue Auftragsverarbeitungsvertrag (AVV) ist ab sofort in der Personio Applikation unter Paket und Rechnung einsehbar. Mit dem neuen AVV tragen wir den Anforderungen der DSGVO im Hinblick auf die Wahrung der Betroffenenrechte sowie Kontroll-, Melde- und Nachweispflichten, Rechnung. Hinterlegen Sie direkt in Ihrem Account Ihre Unternehmensinformationen und generieren Sie Ihren individuellen Vertrag. Sie können diesen herunterladen und Ihrer Rechtsabteilung oder Ihrem Datenschutzbeauftragten zur Prüfung übergeben. Anschließend kann Ihr Geschäftsführer oder eine vertretungsberechtigte Person den Vertrag in elektronischer Form online abschließen. Da ab dem 25. Mai 2018 beide Parteien für den Vertragsabschluss verantwortlich sind, bitten wir Sie, den Vertragsschluss bis Ende der kommenden Woche durchzuführen.
Amazon Web Services & Datenverschlüsselung
Um in Zukunft auch mit weiterem Wachstum eine stabile Bereitstellung unseres Services sicherstellen und gleichzeitig die hohen Anforderungen bezüglich Datenschutz und IT-Sicherheit erfüllen zu können, haben wir uns dazu entschieden, unsere IT-Infrastruktur auf Amazon Web Services (AWS) umzuziehen. Da uns das Versprechen “Datenschutz made in Germany” weiterhin sehr wichtig ist, liegen alle Kundendaten und die Personio Applikation selbst auch zukünftig ausschließlich auf Servern in Frankfurt. Es wurde vertraglich festgelegt, dass die Daten die EU nicht verlassen.
Wir haben uns für AWS auf Basis eines sorgfältigen Auswahlprozesses entschieden. Neben den Vorteilen in Bezug auf Funktionalität und Performance hat AWS uns insbesondere aufgrund der Erfüllung strengster Compliance- und IT-Sicherheits-Anforderungen überzeugt. So verfügen AWS, die AWS-Region Frankfurt sowie die von uns genutzten Dienste über alle wesentlichen Zertifizierungen wie DIN ISO/IEC 27001 (IT-Sicherheit), DIN ISO/IEC 27018 (Datenschutz in der Cloud) sowie den Payment Card Industry Data Security Standard (PCI DSS) (eines der strengsten Regelwerke für Finanzinstitute und Kreditkartenanbieter). Im Rahmen des Auswahlprozesses haben wir zudem intensiv mit unserem Datenschutzbeauftragten und der Landesdatenschutzbehörde zusammengearbeitet. Beide haben uns die datenschutzkonforme Nutzung von AWS in Deutschland bestätigt.
Um zusätzlich sicherzustellen, dass weder Amazon (bei der Nutzung der AWS-Dienste) noch sonstige Drittparteien Zugriff auf Kundendaten erhalten, werden alle Kundendaten ausschließlich verschlüsselt gespeichert. Der für die Verschlüsselung verwendete Master Key wird nicht auf den Servern von Amazon generiert, sondern direkt auf entsprechend gesicherten Rechnern des Infrastructure Security Team von Personio erstellt und gespeichert. Somit kann weder AWS noch eine andere dritte Partei die in der Cloud gespeicherten Daten entschlüsseln oder einsehen. Eine detaillierte Beschreibung der verwendeten Verschlüsselungstechnologien sowie weiterer Sicherheitsmaßnahmen finden Sie im Dokument “IT-Infrastruktur und Einsatz von AWS bei Personio”.
Weitere Informationen
Unter www.personio.de/datenschutz/ erhalten Sie zusätzliche Informationen zum Thema Datenschutz bei Personio, darunter unsere aktualisierten technischen und organisatorischen Maßnahmen sowie den Prüfbericht eines kürzlich durchgeführten Audits unserer Software sowie unserer Organisation.Sollten Sie weitere Fragen zu diesen Änderungen haben, wenden Sie sich jederzeit gerne an datenschutz@personio.de oder an unser Support-Team.
Beste Grüße
Hanno Renner Co-Founder & CEO Personio GmbH & Co. KG