21. Mai 2021

Wie Personaler die 5 größten Datenschutz-Sorgen lösen

Tobias Täuber, Leiter Kunden-IT und Datensicherheitsexperte bei Agenda, beantwortet, wie eine HR-Software mit Cloud-Anwendungen Ihre Arbeit erleichtert. Und worauf Sie bei der Wahl des Cloud-Anbieters achten sollten.

Wie stelle ich als Personaler sicher, dass nur Berechtigte Zugriff auf sensible Daten haben?

Im hektischen Arbeitsalltag kann es passieren, dass ein Papierdokument auf dem Schreibtisch liegen bleibt, beispielsweise eine Abmahnung. Und zack, hat ein Dritter einen Blick darauf geworfen. Verwalten Sie Ihre Dokumente mit der Digitalen Personalakte, ist das so gut wie unmöglich. Dort legen sie die Zugriffs- und Bearbeitungsrechte fest. In der Software können so nur berechtigte Personen die Akte öffnen. Da können Sie sicher sein, dass die Daten vollumfänglich geschützt sind.

Wie behalte ich Aufbewahrungs- und Löschfristen im Auge?

Hier geht es aus Datenschutzsicht um die Frage: Wie lange darf ich Mitarbeiterdokumente aufbewahren? Für verschiedene Dokumente gelten verschiedene Aufbewahrungsfristen. Ist die Frist abgelaufen, müssen Sie das Dokument löschen. Ganz praktisch ist, dass die HR-Software Sie einfach daran erinnert. Vorher müssen Sie nur die entsprechende Löschfrist hinterlegen. Das war’s.

Wie leite ich sicher Mitarbeiterdokumente an Führungskräfte weiter?

Ich würde niemandem raten, sensible Dokumente per E-Mail zu verschicken. Mit einer simplen Software zur Netzwerküberwachung kann sie jeder öffnen und den Inhalt lesen. Aber auch ausgedruckte Kopien sind nicht wirklich sicher. Oft verschwinden sie irgendwo in den Schubladen und Sie wissen nie, wer diese Akte sonst noch zu Gesicht bekommt. Dafür gibt es eine bewährte Alternative: Das Self-Service-Portal in der Cloud. Damit stellen Sie Dokumente ganz gezielt nur dem Vorgesetzten bereit, für den sie gedacht sind. Bei Agenda erlischt der Zugriff nach 30 Tagen. Das ist super einfach. Und vor allen Dingen datenschutzkonform – wenn die Cloud (wie bei uns) in einem hochsicheren Rechenzentrum liegt.

Wie kann ich einen Hackerangriff verhindern?

Hacker greifen immer häufiger mittelständische Unternehmen an. Deshalb müssen sich auch „die Kleinen“ vor externen Angriffen schützen. Haben Sie Ihre Personaldaten im Firmennetzwerk, brauchen Sie ein Fundament aus verschiedenen Sicherheitsbausteinen: Beispielsweise eine sogenannte Unified-Threat-Management-Lösung, die nur berechtigte Anfragen ins zentrale Netz lässt. Zusätzlich sollte jeder lokale Arbeitsrechner geschützt sein durch eine Endpoint-Protection, die Schutz vor Viren, Malware aber auch Phishing vereint. Es sind noch zahlreiche andere Dinge wichtig, die viel Recherchearbeit und Arbeitszeit kosten. Und wenn das Sicherheitskonzept erst einmal umgesetzt ist, muss es immer wieder gewartet und aktuell gehalten werden. Nur die wenigsten Firmen können das leisten. Die gute Nachricht ist, dass Unternehmen sich diesen Aufwand gar nicht mehr machen müssen, wenn sie mit Agenda ASP arbeiten. Von unseren Kunden höre ich immer wieder das Feedback, wie praktisch das für sie ist: Sie fühlen sich endlich sicher, weil sie wissen, dass das Agenda-Rechenzentrum ihre Daten auf höchst möglichem Niveau schützt.

Sind unsere sensibelsten Daten in der Cloud auch wirklich sicher?

Fast 40 Prozent der KMU haben bei Cloudlösungen Vorbehalte bezüglich der Datensicherheit. Rund 50 Prozent sagen, dass sie keine Cloud einführen wollen, weil sie sich zu schlecht mit dem Thema auskennen. Ich finde, das macht total Sinn: Ohne die Kriterien für eine sichere Cloud zu kennen, sollten Sie sich natürlich keine zulegen. Sie können diese Wissenslücke aber auch ganz leicht schließen. Dafür möchte ich die 7 wichtigsten Kriterien mit Ihnen teilen, auf die Sie bei der Cloudwahl unbedingt achten sollten:

  1. Die Cloud-Server sollten in Deutschland stehen. Denn die Daten unterliegen hier den höchsten Sicherheitsstandards weltweit.
  2. Achten Sie darauf, dass das Rechenzentrum, neben den gängigen und wichtigen Zertifikaten ISO/IEC 20000-1, 27001 und BSI, auch die Konformitätserklärung isae3402 Typ II hat. Damit entspricht die Cloud allen Anforderungen, die eine Wirtschaftsprüfungsgesellschaft an Unternehmen stellt.
  3. Der Clouddienstleister sollte ein modernes und anerkanntes Verschlüsselungsverfahren anwenden. Dabei ist wichtig, dass das System nicht nur Informationen verschlüsselt, die im Rechenzentrum gespeichert sind. Sondern die Verschlüsselung muss auch während der Datenübertragung stattfinden.
  4. Alle Bauteile, die notwendig sind, um den Betrieb der Server aufrechtzuerhalten, müssen redundant sein: Das betrifft neben den Daten- und Stromleitungen, die Kühlung, die Speicher und Server sowie das Netzwerk.
  5. Die Serverräume sollten maximalen Brandschutz bieten: Neben Löschanlagen und Frühwarnsystemen müssen sie die räumliche Trennung von Back-up-Servern gewährleisten.
  6. Das Rechenzentrum muss ein gutes Back-up-Konzept haben: Back-up-Server sollten im isolierten Brandabschnitt stehen und beim Ausfall einzelner Sicherheitsmaßnahmen separat geschützt bleiben.
  7. Der physikalische Schutz der Daten im Gebäude sollte gesichert sein: Dazu zählen Videoüberwachung, 24/7-Sicherheitsdienst vor Ort, Zutrittskontrolle, Vereinzelungsanlagen, Raum-in-Raum-Konzept zum Schutz der IT-Flächen von Außenwänden, Perimeterschutz und Rack-Überwachung.

Das sind die zentralen Kriterien, auf die es bei der Auswahl des Cloudanbieters ankommt. Die IT-Lösungen von Agenda erfüllen sie alle. Wie das Agenda-Rechenzentrum darüber hinaus Ihre Daten schützt, lesen Sie in dieser Broschüre.

Bevor Sie gehen:
Wir haben da einen Tipp!

Wie Sie 2 Monate Arbeitszeit in der Personalarbeit pro Jahr sparen: