HRweb | Die erfrischende Plattform für Human Resources

2 Jahre nach inkrafttreten der DSGVO: Sensible Daten in HR-Abteilungen

Sensible Daten veranlassen Personalabteilungen, die Sicherheit auf das Niveau des Finanzsektors zu erhöhen

 

 

Arbeitgeber in Europa hatten nun mehr als zwei Jahre Zeit, um die EU-Datenschutzgrundverordnung (DSGVO), die am 25mai2018 in Kraft getreten ist, umzusetzen. Hundertausende Fälle sind bei Gerichten anhängig und es wurden bereits Strafen über mehrere Hundert Millionen Euro verhängt.

Gastautor: Master HR Consulting

Innerhalb der HR-Branche sind die bisherigen Fälle auf unabsichtlich publik gewordene Lebensläufe und personenbezogene Daten der Mitarbeitenden zurückzuführen.

Im April war der Subunternehmer von General Electric (GE) – Canon Business Process Services – für einen Verstoß in Bezug auf persönliche Daten verantwortlich, der aktuelle und ehemalige Mitarbeitenden von GE betraf – es handelte sich hierbei um die Veröffentlichung von z. B. Sozialversicherungsnummern, Kopien von Geburtsurkunden und Führerscheinen, usw.

„Ein Fehlen der HR-Daten, wie zum Beispiel personenbezogene Informationen über Mitarbeitende und Bewerbende, kann leicht zur schlimmsten Katastrophe werden, die ein Unternehmen je erleben wird, sowohl in Bezug auf Geldbußen als auch Reputation.“, sagt Bo Thygesen, Partner und Berater bei ACI, einem IT-Beratungsunternehmen, das im Bereich Risikomanagement und Compliance arbeitet, vor allem für den Finanzsektor, aber seit kurzem auch für HR.

MHI Vestas: Konformität ist ein Muss und laufende Audits helfen uns, Partner auszuwählen

„Die HR-Branche arbeitet mit sensiblen Daten, die, wenn sie durchsickern, enorme Folgen mit sich ziehen können.“, sagt ein Compliance-Berater von ACI. Mehrere Verstöße gegen Mitarbeiterdaten in den letzten Jahren zeigen, dass HR sehr anfällig dafür ist. Laut MHI Vestas, einem Offshore-Windenergieunternehmen, ist Konformität ein Muss. Als einer der führenden Anbieter von HR-Assessment-Tools in Europa weist Master International auf den Trend hin, dass HR-Abteilungen Subunternehmen auswählen, die laufend geprüft werden.

MHI Vestas kooperiert mit Master International in Dänemark für die Rekrutierung, die unter anderem Persönlichkeitstests von Bewerbenden umfasst.

„Es bietet einen schnellen und guten Überblick darüber, mit wem Sie sprechen, und schafft eine gute Basis für den Dialog.“, sagt Michael Storm, Head of Recruitment bei MHI Vestas Offshore Wind, die mehr als 3.500 Mitarbeitende beschäftigt und ein Global Player in der Offshore-Windenergie ist.

Bei MHI Vestas stand die DSGVO im gesamten Unternehmen für einen Zeitraum von rund 1,5 Jahren hoch im Kurs, sowohl bis zum Inkrafttreten der Richtlinie im Jahr 2018 als auch danach.

„Alle Abteilungen sind betroffen, aber HR beschäftigt sich mit vielen sensiblen personenbezogenen Daten, was bedeutet, dass die DSGVO-Priorität bei uns überdurchschnittlich hoch ist.“, bestätigt Michael Storm.

„Daher, ist es ein Muss, der DSGVO gerecht zu werden, wenn Sie bei uns Subunternehmer sein wollen. DSGVO-Erklärungen, wie z. B. ISAE 3000, erleichtern uns die Beurteilung und wirken sich eindeutig positiv aus. Wenn irgendwelche Sollte es nur den geringsten Zweifel geben, wird die Rechtsabteilung dieses Thema aufgreifen.“, erklärt er.

Konkretes Beispiel Master HR

Große Unternehmen und der öffentliche Sektor fordern DSGVO-Konformität

Master International hat die strengste Form der DSGVO-Konformität erreicht: ISAE 3000 Typ 2, bei welcher es sich um eine jährliche Erklärung über den Schutz der personenbezogenen Daten handelt, mit extern geprüfter Dokumentation, um die Einhaltung mittels Mehrfachmessrichtlinien während des ganzen Jahres zu gewährleisten – das bedeutet den Nachweis der Einhaltung der DSGVO Richtlinien.

Damit Master International diese strenge Konformitäts-Erklärung erhalten kann, hat das Unternehmen mehrere Jahre an der Vorbereitung gearbeitet, u. a. waren drei Mitarbeitende im vergangenen Jahr mehrere Stunden pro Woche damit beschäftigt. Das sei eine Notwendigkeit, so Jesper-Broberg, CEO von Master International.

„Große Unternehmen verlangen von ihren Lieferanten eine Garantie für sichere Datenprozesse. Und unsere Kunden im öffentlichen Sektor haben in den letzten 1,5 bis 2 Jahren eine Erklärung gefordert, die nicht nur behauptet, sondern auch beweist, dass wir die DSGVO einhalten. Als wir die etwas mildere Typ-1-Deklaration hatten, mussten wir jedes Mal viele Fragen beantworten.“, berichtet Jesper-Broberg.

„Um unseren Kunden die Gewissheit zu geben, dass sie selbst, über ihre Subunternehmer, die DSGVO in ihren HR-Prozessen einhalten, haben wir uns für diese Überprüfung entschieden.“, fügt Jesper Broberg hinzu.

Inforevision: mehr entscheiden sich für laufende überprüfungen

Inforevision verzeichnet seit Mai 2018 eine steigende Nachfrage und gleich mehrere Faktoren bestimmen die Motivation zu dieser Konformität.

„Wenn Sie Daten im Auftrag von Kunden erheben, verarbeiten und speichern, stellen wir fest, dass mehr Unternehmen eine ISAE 3000 Typ-2-Erklärung wünschen. Sogar kleine Unternehmen. Sie sehen darin einen Wettbewerbsvorteil, und ihre Kunden fordern ihn. Und jedes Mal, wenn sie Nachrichten über Datenlecks und Strafen lesen, werden sie an das Risiko erinnert. Das ist, wie die Dinge in Zukunft sein werden.“, sagt John Richardt Søbjærg, Partner und Wirtschaftsprüfer.

 


Gast-Autor

Text bereitgestellt von Master HR Consulting, übersetzt von Mag. Bernhard Dworak.

Mag. Bernhard Dworak verfügt aufgrund seiner jahrelangen Erfahrung im HR Bereich und als Geschäftsführer von Master HR Consulting über eine umfangreiche praktische und theoretische Expertise im Bereich der Personaldiagnostik. Der kontinuierliche Austausch mit HR Abteilungen ermöglicht ihm einen tiefen Einblick in die Bedürfnisse und Herausforderungen. Das wiederum kommt seinem Gegenüber zugute.

bernhard.dworak@master-hr.at
https://www.master-hr.at


teilen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.