IT-Sicherheit, Datenschutz und Datenhosting

IT-Sicherheit, Datenschutz und Datenhosting – mit diesen Stichworten müssen sich Anwender einer HR-Software grundsätzlich und immer auseinandersetzen. Noch einmal stärker ins Bewusstsein gerückt sind die Themenbereiche jedoch durch die Verabschiedung der neuen europäischen Datenschutzgrundverordnung. Ihr baldiges Inkrafttreten erhöht den Druck auf Unternehmen. Was zu beachten ist.

IT-Sicherheit, Datenschutz und Datenhosting – was ist das?

Zunächst einmal sind die Themenbereiche IT-Sicherheit, Datenschutz und Datenhosting grundsätzlich verwandt, sollten für ein besseres Verständnis aber getrennt voneinander betrachtet werden.

IT-Sicherheit, darunter fallen zunächst einmal alle Maßnahmen, die dem Schutz einer IT-Infrastruktur vor internen und externen schädlichen Handlungen dienen.

IT-Sicherheit verfolgt drei Ziele:

  • Vertraulichkeit der gehosteten Informationen
  • Integrität der Informationen und Systeme
  • Die kontinuierliche und unterbrechungsfreie Verfügbarkeit der Informationen und Systeme

IT-Security: Wie sicher ist die Cloud?

Wer eine HR-Software aus der Cloud nutzt, kann bei dem Thema IT-Security in der Regel unbesorgt sein. Das Thema IT-Sicherheit galt lange als das Stigma der Datenwolke. Doch dem ist nicht mehr so.

Ganz im Gegenteil haben Cloud-Lösungen zu einer regelrechten Aufholjagd in punkto IT-Security angesetzt und liegen inzwischen mit Software-Lösungen, die inhouse gewartet werden mindestens auf Augenhöhe, wenn nicht gar darüber. Moderne Cloud-Anbieter wie easySoft legen größten Wert auf streng geregelte und zertifizierte Sicherheits- und Datenschutzstandards.

Siegel für IT-Sicherheit: Zertifikat nach der ISO-Norm 9001

Auskünfte darüber, wie ernst es ein Cloud-Anbieter mit der Sicherheit seiner IT-Infrastruktur nimmt, gibt beispielsweise ein Zertifikat nach der ISO-Norm 9001, über das auch easySoft verfügt.

Die Qualitätsmanagement-Norm ISO 9001, die zum Beispiel vom TÜV SÜD vergeben wird, ist national und international die meist verbreitete und bedeutendste Norm im Qualitätsmanagement.

Eine Zertifizierung nach ISO 9001 legt die Standardanforderungen in punkto IT-Sicherheit fest, die ein Unternehmen in den folgenden Punkten erfüllen muss:

  • Netzwerksicherheit: Endgeräte sind heute über Netzwerke miteinander verknüpft. Die Vernetzung kann über das firmeninterne Netzwerk hinausgehen und Datentransfer via Internet einschließen. ISO 9001 steht für eine maximale Sicherheit vor Hackerangriffen auf IT-Systeme.
  • Interne Prozesse: Informationen und IT-Systeme lassen sich nur schützen, wenn bei einem Cloud-Dienstleister sichergestellt ist, dass nur legitimierte Nutzer die Informationen und Systeme verwenden. Dazu werden jedem Nutzer genau definierte Berechtigungen zugeteilt.

Eine Zertifizierung nach ISO 9001 beinhaltet die regelmäßige Überprüfung des ausgestellten Zertifikats und stellt eine kontinuierliche Verbesserung der IT-Security sicher.

Datenschutz: Was ist zu beachten?

Im Gegensatz zur Datensicherheit geht es beim Thema IT-Sicherheit also nicht nur um personenbezogene Daten, für die der gesetzlich verankerte Datenschutz besondere Sicherheitsmaßnahmen verlangt. Es geht vielmehr um alle Arten von Informationen, die es zu schützen gilt.

Wobei das Thema Datenschutz aktuell von besonderer Brisanz ist. Denn im Mai 2018 tritt die europäische Datenschutzverordnung (EU-DSGVO) in Kraft. Sie rückt die besonders schützenswerten personenbezogenen Daten in den Vordergrund. Bei Verstößen drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes. Fällig ist der jeweils höhere Betrag.

Datenschutz: Besondere Sorgfalt ist im HR-Bereich geboten

Besondere Sorgfalt ist im HR-Bereich geboten, wo die Verarbeitung personenbezogener Daten naturgemäß zum Tagesgeschäft gehört. Daher fragen sich Anwender einer HR-Software: Was muss bei der digitalen Verwaltung von Personaldaten beim Datenschutz beachtet werden? Und: Wie kann sichergestellt werden, dass die aktuelle HR-Softwarelösung alle notwendigen Bedingungen erfüllt?
Zu den entscheidenden Neuerungen der DSGVO gehört etwa, dass personenbezogene Daten, die nicht mehr benötigt werden, gelöscht werden müssen. Das sollte mit einer modernen HR-Software kein Problem sein. Hier gibt es Funktionen, die nicht mehr benötigte Informationen automatisch in den Papierkorb schieben.
Wichtig ist außerdem, wie und vor allem wo ein Anbieter seine Daten vorhält: Das Datenhosting. Hierbei gilt: Finger weg von amerikanischen oder außereuropäischen Servern. Diese unterliegen nicht dem europäischen Datenschutz und können daher – vereinfacht gesagt – legal ausgespäht werden. Das kann Unternehmen teuer zu stehen kommen. Wer sich unsicher ist, sollte bei seinem Cloud-Dienstleister in Erfahrung bringen, welchen Serverstandort er nutzt. Sicher ist sicher!

Datenschutz: unternehmensinterne Anforderungen

Dabei sind sich aber nur wenige Unternehmen bewusst, dass für die Einhaltung der Datenschutzregularien nicht nur die technischen Funktionen einer HR-Software und deren Hosting unter die Lupe genommen werden müssen, sondern auch interne Abläufe im Unternehmen.

Die Sicherheitsvorkehrungen eines Cloud-Anbieters befreien den Anwender einer Software nicht von der Verpflichtung, auch im eigenen Unternehmen möglichen Datenschutzverletzungen vorzubeugen. Denn auch die sicherste Cloud-Anwendung kann nicht verhindern, dass Daten von Unbefugten im Anwenderunternehmen selbst ausgespäht werden.

Wenn Mitarbeiter Daten ausspähen

Wie schnell lassen sich zum Beispiel Daten von einem Computermonitor ablesen und missbrauchen, der in einem öffentlich zugänglichen Raum steht? Insofern empfiehlt sich die Nutzung einer HR-Software, bei der es um die Verwaltung kritischer Daten geht, in Räumen ohne Öffentlichkeitsverkehr.

Wichtig ist auch, dass alle lokalen Zugriffsberechtigungen auf das Programm korrekt eingestellt sind und User jeweils nur auf die Anwendungen zugreifen können, die für ihre Arbeit relevant sind. Das lässt sich durch eine differenzierte Vergabe von Rollen und Rechten gewährleisten. Empfehlenswert ist auch eine Schulung aller Anwender, worauf es bei einem datenschutzkonformen Umgang mit personenbezogenen Informationen ankommt. Dann stehen Arbeitgeber wirklich auf der sicheren Seite.

1 Comment

  1. Guter Beitrag! Ist natürlich auch immer eine Frage des Preises. Da sollte man sich einfach mal beraten lassen, welche Sicherheit notwendig ist und welche IT dafür gebraucht wird. Gibt ja heutzutage alles hin bis zur IT Strategie Beratung.

Schreibe einen Kommentar

Your email address will not be published.

*