Die Verstärkung Der Datenschutz- Und Cyber-sicherheitsvorschriften: Was Bedeutet Das Für Die Personalabteilung ?

Das Regulierungssystem für Datenschutz und Cybersicherheit entwickelt sich schnell weiter. Die Messlatte wird immer höher gelegt und es ist schwierig, mit den neuen Vorschriften Schritt zu halten, sowohl auf lokaler als auch auf internationaler Ebene.

In diesem Artikel untersuchen wir, welche Auswirkungen dies auf die Art und Weise hat, wie Unternehmen ihre Mitarbeiterdaten verwalten, wo die häufigsten Risiken liegen und geben einige PRAKTISCHE Vorschläge, wie Unternehmen ihre allgemeine Datenschutzlage verbessern können.

WIE SCHNELL ENTWICKELT SICH DAS RECHTLICHE UMFELD?

Sehr schnell und die Veränderungen gehen nur in eine Richtung, nämlich strengere Anforderungen, verbesserte Durchsetzungsmechanismen und härtere finanzielle und strafrechtliche Sanktionen.

Hier nur einige Beispiele:

• Die NIS2-Richtlinie (Network Information Security 2) der Europäischen Union, deren nationale Annahmefrist für alle EU-Mitgliedstaaten am 17. Oktober 2023 endet, wirkt sich auf kritische Sektoren wie Energie, Transport und Gesundheitswesen aus. Es schreibt strengere Cybersicherheitsmaßnahmen für diese Branchen, eine verbesserte Meldung von Vorfällen und eine stärkere grenzüberschreitende Zusammenarbeit vor, um die Widerstandsfähigkeit der digitalen Infrastruktur Europas gegen Cyberbedrohungen zu stärken.

• Das neue Bundesgesetz über den Datenschutz (NFDSG), das am 1. September 2023 in Kraft trat, verschärft die Pflichten des Arbeitgebers und fordert eine strengere Datenverarbeitung, Einwilligung und Transparenz, um die Privatsphäre der Arbeitnehmer zu schützen.

• Südkoreas Änderung des Personal Information Protection Act (PIPA) erweitert die Datenschutzpflichten für Arbeitgeber und erfordert strengere Einwilligungs- und Sicherheitsmaßnahmen. Es stärkt die Datenschutzrechte des Einzelnen und verhängt härtere Strafen bei Nichteinhaltung, was Arbeitgeber dazu veranlasst, ihre Datenverarbeitungspraktiken zu verbessern, um die Informationen ihrer Mitarbeiter zu schützen.

• Änderungen am California Privacy Rights Act (CPRA), die am 1. Januar 2023 in Kraft traten, führten zu erweiterten Datenschutzanforderungen für Arbeitgeber. Es gewährt Mitarbeitern mehr Kontrolle über ihre persönlichen Daten, erfordert Transparenz bei der Datenverarbeitung und erlegt den Unternehmen strengere Vorschriften auf.

WAS BEDEUTET DAS FÜR DIE PERSONALABTEILUNG?

Die Personalabteilung verarbeitet einige der sensibelsten Daten innerhalb einer Organisation, darunter personenbezogene Daten der Mitarbeiter, Familiendaten, Gesundheitsdaten (z. B. ärztliche Atteste), Vergütungsdaten, Bankkontodaten, Steuerdaten usw. In der Vergangenheit haben sich Personalabteilungen auf ihre IT-Abteilungen verlassen um diese Daten innerhalb der IT-Umgebung der Organisation sicher aufzubewahren. Die Personalabteilung muss dann lediglich die alltäglichen Arbeitspraktiken mit gesundem Menschenverstand befolgen, um zu verhindern, dass personenbezogene Daten von der falschen Person eingesehen werden, z. B. Speichern Sie vertrauliche Dokumente auf einem sicheren Laufwerk, lassen Sie keine Dokumente im Büro herumliegen und achten Sie beim Versenden eines Dokuments sehr darauf, die richtige E-Mail-Adresse einzugeben.

In der heutigen Welt ist dies alles andere als ein angemessener Ansatz. HR-Teams müssen noch viel weiter gehen, um sicherzustellen, dass die Mitarbeiterdaten sicher sind und dass sie nachweisen können, dass dies der Fall ist.

WAS SIND DIE HÄUFIGSTEN RISIKEN?

Es gibt fünf Hauptrisikobereiche:

1. Speicherung von Mitarbeiterdaten

2. Zugriff auf Mitarbeiterdaten

3. Supply Chain Management (von ausgelagerten Aktivitäten)

4. Übermittlung von Daten

5. Bewerber

Werfen wir einen kurzen Blick auf jedes Risiko und darauf, wie ein robuster Ansatz aussieht.

Speicherung von Mitarbeiterdaten

Mitarbeiterdaten sollten in Systemen gespeichert werden, die den branchenweit besten Sicherheitspraktiken entsprechen und daher widerstandsfähiger gegen Datenverstöße und Datenlecks sind. Beispielsweise sollte Software, die Mitarbeiterdaten speichert, so konzipiert sein, dass sie sicher ist (z. B. den Architekturstandards von OWASP entspricht), die Hardware, die die Systeme unterstützt, sicher sein und unabhängige Penetrationstests sollten regelmäßig durchgeführt werden. Die Systeme zur Speicherung der Mitarbeiterdaten sollten zuverlässig und langlebig sein, regelmäßig gesichert werden und über Fallback-Verfahren für den Katastrophenfall verfügen.

Zugriff auf Mitarbeiterdaten

Der Zugriff auf Mitarbeiterdaten sollte auf Personen beschränkt sein, die diese Daten zur Erfüllung ihrer Arbeit oder der erbrachten Dienstleistung benötigen. Das bedeutet, dass es einen rollenbasierten Zugriff auf Mitarbeiterdaten geben muss und die Konfiguration der Systeme sicherstellen muss, dass der Zugriff nicht gefährdet werden kann. Für den Zugriff auf Systeme, die Mitarbeiterdaten speichern, sollte eine Zwei-Faktor- oder Multi-Faktor-Authentifizierung verwendet werden. 

Supply Chain Management

Die meisten Unternehmen externisieren einige Aspekte ihres Personalmanagements, beispielsweise Gehaltsabrechnung, Arbeitsgenehmigungen, Überprüfungen vor der Einstellung und Verwaltung von Sozialleistungen. Unternehmen müssen Anbieter auswählen, die über solide Datenschutz- und IT-Sicherheitspraktiken sowie effektive Personalmanagementpraktiken verfügen (einschließlich der Schulung ihrer eigenen Mitarbeiter). Es ist auch wichtig sicherzustellen, dass End-to-End-Prozesse sicher sind, beispielsweise wer Zugriff auf personenbezogene Daten hat und wie diese zur Verarbeitung übermittelt werden.

Übermittlung von Daten

Mitarbeiterdaten müssen – sowohl intern als auch extern – über sichere Plattformen geteilt werden. Der Versand personenbezogener Daten per E-Mail und in Excel-Dateien ist sehr riskant. Es ist leicht, eine falsche E-Mail-Adresse einzugeben. E-Mails können problemlos an eine Person weitergeleitet werden, die die Daten nicht sehen soll. Passwortgeschützte Dateien sind sehr leicht zu knacken. Solche Dateien werden oft auf dem persönlichen Laufwerk einer Person auf ihrem Laptop gespeichert. Die Informationen sind dann oft weniger sicher und nur sehr schwer zu kontrollieren (z. B. dauerhaft zu löschen oder zu anonymisieren).

Bewerber

Bewerber sollten der Verarbeitung und Speicherung ihrer Daten zustimmen. In vielen Ländern haben Stellenbewerber auch das gesetzliche Recht, von der Organisation, die ihre Stellenbewerbung hat, die Löschung und Anonymisierung aller über sie gespeicherten personenbezogenen Daten oder jeder Kombination von Daten, die sie identifizierbar machen würden, zu verlangen. Möglicherweise haben sie auch das Recht, von der Organisation Änderungen an ihren personenbezogenen Daten in einer alten Bewerbung zu verlangen. Daher müssen Rekrutierungssysteme in der Lage sein, diese Anforderungen zu bewältigen.

WIE KÖNNEN WIR BEURTEILEN, OB UNSERE ORGANISATION DIE DATENSCHUTZ- UND CYBERSICHERHEITSVORSCHRIFTEN EINHÄLT?

Während die Anforderungen je nach Gerichtsbarkeit variieren, gibt es in den meisten entwickelten Märkten viele Gemeinsamkeiten und in den letzten 5 bis 10 Jahren kam es zu einer starken internationalen Angleichung der Regeln.

Wenn Sie diese 4 Fragen nicht mit „Ja“ beantworten können, ist es unwahrscheinlich, dass Sie die Datenschutz- und Cybersicherheitsanforderungen in vielen Ländern vollständig einhalten:

1. Werden Mitarbeiterdaten ausschließlich in einem cybersicheren HR-System oder in Systemen gespeichert, die mindestens wöchentlich gesichert werden, über einen doppelten Authentifizierungsmechanismus abgerufen werden, einen rollenbasierten Zugriff haben und mindestens einmal jährlich einem Penetrationstest unterzogen werden?
2. Wird der gesamte Austausch personenbezogener Daten mit Drittanbietern über eine sichere Plattform und nicht per E-Mail abgewickelt?
3. Erfolgt Ihre Lohn- und Gehaltsabrechnung ohne den Austausch personenbezogener Mitarbeiterdaten oder Vergütungsdaten (intern oder extern) per E-Mail oder Excel?
4. Können Sie die personenbezogenen Daten von Bewerbern dauerhaft löschen, anonymisieren und ändern?

EINE CHANCE FÜR DIE PERSONALABTEILUNG

PeopleWeek spricht oft mit Personalleitern, die ständig Schwierigkeiten haben, über das erforderliche Budget zu verfügen, um die Systeme zu implementieren, die sie zur Verwaltung und Entwicklung ihrer Mitarbeiter benötigen, und um ihren HR-Teams dabei zu helfen, effizienter zu arbeiten. Während die meisten CEOs sagen: „Menschen sind ihr größtes Kapital“, geht es dabei allzu oft nicht darum, Geld in Systeme für Mitarbeiter und Manager zu investieren. Sie können jedoch ziemlich sicher sein, dass der CEO und der CFO ein unterschiedliches Gefühl für die Dringlichkeit haben, wenn der Personalleiter hervorhebt, dass ihre aktuellen Prozesse – und die ihnen zugrunde liegenden Systeme – nicht den Datenschutzanforderungen entsprechen. Es ist schade, wenn diese Karte ausgespielt werden muss, aber es ist völlig legitim, wenn die Organisation tatsächlich die gesetzlichen Anforderungen nicht einhält. PeopleWeek freut sich sehr, mit Ihnen zu sprechen, wenn Sie Fragen zu diesem Thema haben. Vielleicht möchten Sie hier auch an unserer Umfrage zur HR-Systemreife teilnehmen.