Beim Einsatz intelligenter HR-Systeme steht die Datensicherheit ganz
oben auf der Agenda. Als Personaler sollten Sie die Risiken kennen und adressieren.
Intelligente Systeme haben mehrere potenzielle Vorteile. Sie ermöglichen die Automatisierung von Abläufen, was Zeit und Kosten spart. Darüber hinaus helfen sie, den Ist-Zustand des Unternehmens anhand aktueller Daten zu analysieren, mitunter sogar in Echtzeit. Mittels übersichtlicher Dashboards werden Konflikte so schnell sicht- und beherrschbar, bevor sie sich zu einer Krise auswachsen. Das können beispielsweise Engpässe aufgrund von Urlaubsplanung oder Auftragsspitzen sein, aber auch ungewöhnlich hohe Krankenstände in bestimmten Unternehmensbereichen. Ein weiterer Pluspunkt besteht darin, mittels der Datenanalyse neue Optimierungspotenziale zu erkennen.
Nicht alles, was möglich ist, ist auch wünschenswert oder erlaubt. Grundlegender „Treibstoff“ aller solcher Anwendungen sind Daten. Im Personalbereich ist der Umgang mit ihnen besonders sensibel, etwa die Stammdaten, Arbeits- und Urlaubszeiten oder Abwesenheiten wegen Krankheit. Das ist kein Argument gegen die Anwendung intelligenter Tools, da neue Services meist auch einen Gewinn für die Mitarbeiter bedeuten – z. B. personalisierte Weiterbildungsangebote. Es spricht aber für eine erhöhte Aufmerksamkeit in puncto Datensicherheit.
Einverständnis erforderlich
Grundsätzlich unterscheidet sich der Datenschutz auch bei intelligenten System nicht von dem, der für konventionelle Systeme gilt. Daten von Mitarbeitern dürfen der Europäischen Datenschutzgrundverordnung (EU-DSGVO) zufolge nur erhoben, verarbeitet oder genutzt werden, wenn diese ihre Erlaubnis dazu erteilt haben. Ausnahmen stellen bestimmte gesetzliche Vorgaben dar. ›Paragraf 26 des Bundesdatenschutzgesetzes (BDSG-neu) ist ziemlich eindeutig, was den Umfang der Speicherung dieser Daten anbelangt: Abgedeckt sind nur personenbezogene Daten, die zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind. Allem anderen muss der Mitarbeiter freiwillig und schriftlich zustimmen. Wer sich als Personaler frühzeitig um ein solches Einverständnis bemüht, ist auf der sicheren Seite. Zudem kann er im Vorfeld etwaige Fragen beantworten. „Die Verarbeitung von Beschäftigtendaten kann auch aufgrund von Tarifverträgen oder einer Dienst- oder Betriebsvereinbarung gestattet sein“, hebt ›datenschutzexperte.de des Weiteren hervor.
Die DSGVO brachte auch eine entscheidende Modernisierung in Bezug auf das Profiling und automatisierte Systeme mit sich. ›Paragraf 22 besagt, dass sich niemand gegen seinen Willen Maßnahmen unterwerfen muss, die ausschließlich auf einer automatisierten Verarbeitung beruhen. Das kann zum Beispiel ein Online-Recruitment ohne menschliches Eingreifen sein. Auch hier gilt jedoch eine Ausnahme, wenn die Person vorher ausdrücklich in ein solches Vorgehen eingewilligt hat.
In diesem Zusammenhang verdienen auch die Zugriffsrechte einen zweiten, prüfenden Blick. In die HR-Systeme dürfen nur jene Personen Einblick haben, die dazu befugt sind und sie tatsächlich für ihre tägliche Arbeit benötigen. In der Regel sollte bei der Einräumung von Zugriffsrechten restriktiv vorgegangen werden: Hessische Polizisten etwa waren mit unlauteren ›Personenabfragen aufgefallen, als sie nach einem ihrer Konzerte 83 Mal nach Helene Fischer suchten. Es war offensichtlich, dass die Sängerin in jener Nacht niemals so häufig kontrolliert worden sein konnte. Nach dem Vorfall wurden striktere Kontrollen eingeführt.
Darüber hinaus ist auch eine saubere Datenpflege und die Zusammenarbeit mit der IT wichtig, wie ein weiteres Beispiel zeigt: Im Juli waren die Server und Datenbanken mehrerer Krankenhäuser in Rheinland-Pfalz und dem Saarland von Schadsoftware befallen worden. Wie sich später ›herausstellte, gelangten die Angreifer durch ein altes, vor zehn Jahren angelegtes Dienstkonto ins System. Dieses wurde nicht mehr genutzt, war aber nach wie vor aktiv.
Im Eigeninteresse der Unternehmen
Abseits von gesetzlichen Vorgaben liegt es im eigenen Interesse von Unternehmen, mögliche Risiken für die Datensicherheit auszuschließen. Dies gilt insbesondere für Systeme, die über Schnittstellen miteinander kommunizieren, Daten in der Cloud lagern oder generell viele und sensible Daten verarbeiten. Verschiedenen ›aktuellen Reports zufolge steigt die Zahl der Cyberattacken rasant an. Ein Datenleck kann nicht nur zu einem Reputationsschaden führen, sondern auch viel Geld kosten.
Unternehmen sollten auf einen sicheren Standort der Datenspeicher achten. Das deutsche Sicherheitsniveau wird als sehr hoch angesehen. Daher sollten die Server – ob in der Cloud oder eigens betriebene – sowohl physisch gut gesichert als auch möglichst im Bundesgebiet gelegen sein. Es spricht nichts dagegen, sie selbst zu betreiben und zu administrieren, wenn das Know-how und die Erfahrung vorhanden sind. Wer sich unsicher ist oder über keine entsprechenden Ressourcen verfügt oder verfügen möchte, fährt in der Regel besser mit einem IT-Dienstleister seines Vertrauens an der Seite. Die Personaler können sich so darauf verlassen, dass dieser über aktuelle Entwicklungen informiert ist – etwa, was die Bedrohungslage oder mögliche Gesetzesänderungen angeht. Eine weitere nötige Maßnahme ist die Verschlüsselung der Daten bei jedem Zugriff oder Versand.
Den Menschen nicht vergessen
Die beste Technik nützt nichts, wenn sie – bewusst oder unbewusst – sabotiert wird. Daher sollte bei dem Blick auf intelligente HR-Systeme das intelligenteste nicht vernachlässigt werden: der Mitarbeiter selbst. Personaler sollten nicht nur wissen, welche Informationen wie und wann genutzt werden dürfen, sondern auch die Belegschaft für das Thema sensibilisieren. Das schafft ein Problembewusstsein und ist der beste Schutz gegen sogenanntes Social Engineering: Damit beschreiben Experten Angriffsmethoden, die sich menschliche Eigenschaften wie Gutgläubigkeit zunutze machen, um sensible Daten zu ergaunern.
Von: David Schahinian
Intelligent HR: Was Personalarbeit smarter macht, zeigt das Whitepaper von TalentChamp ›zum Gratis-Download.