Die DSGVO zwingt Personalabteilungen, die Sicherheit zu erhöhen
Die Personalbranche arbeitet mit personenbezogenen Daten, die bei einem Leck enorme Konsequenzen haben können, sagen Compliance-Berater. Insbesondere Lebensläufe und personenbezogene Daten von Mitarbeitern sind von Datenlecks betroffen. Master International, einer der führenden europäischen Anbieter von HR-Assessment-Tools, war einer der ersten Anbieter in seinem Bereich, der auf die Erlangung der strengsten Konformitätserklärung hinarbeitete.
Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 hatten europäische Arbeitgeber ausreichend Zeit, die Vorgaben umzusetzen. Inzwischen sind Hunderttausende Verfahren vor Gerichten anhängig, und es wurden bereits Bußgelder in Höhe von mehreren Hundert Millionen Euro verhängt.
In der Personalbranche betrafen Datenschutzverletzungen vor allem Leaks von Lebensläufen sowie personenbezogenen Mitarbeiterdaten.
„Der Verlust von HR-Daten – etwa von persönlichen Informationen über Mitarbeiter oder Bewerber – kann schnell zu einer der schwerwiegendsten Katastrophen für ein Unternehmen werden, sowohl in Bezug auf Bußgelder als auch auf den Reputationsschaden“, erklärt Bo Thygesen, Partner und Berater bei ACI, einem IT-Beratungsunternehmen im Bereich Risikomanagement und Compliance.
ACI beriet Master International bei der Erreichung der strengsten Form der DSGVO-Compliance: der ISAE 3000 Typ-II-Zertifizierung. Diese jährliche Erklärung zum Schutz personenbezogener Daten umfasst extern geprüfte Unterlagen, die den Nachweis erbringen, dass die Richtlinien im Rahmen zahlreicher, über das Jahr verteilter Prüfungen eingehalten werden – ein belastbarer Beleg für die DSGVO-Konformität.
Hohe Anforderungen aus Wirtschaft und öffentlichem Sektor
Um die ISAE 3000 Typ-II-Erklärung zu erhalten, investierte Master International mehrere Jahre in Vorbereitungen, darunter zwei aufeinanderfolgende Jahre mit einer jährlichen Typ-I-Zertifizierung. Im vergangenen Jahr arbeiteten drei Mitarbeiter wöchentlich mehrere Stunden ausschließlich an diesem Ziel. „Das ist eine Notwendigkeit“, betont CEO Jesper Broberg.
„Große Unternehmen verlangen von ihren Lieferanten eine nachweisbare Garantie für die sichere Datenverarbeitung. Auch unsere Kunden aus dem öffentlichen Sektor sehen es seit rund anderthalb bis zwei Jahren als klaren Vorteil, dass wir eine Zertifizierung vorweisen können, die nicht nur die Einhaltung der DSGVO behauptet, sondern belegt. Mit der milderen Typ-I-Erklärung mussten wir hingegen stets zahlreiche Rückfragen beantworten“, so Broberg weiter.
Master International zählt zu den ersten Anbietern von HR-Tests, die eine ISAE-3000-Typ-II-Erklärung erhalten haben. „Wir haben uns bewusst für diese Zertifizierung entschieden, um unseren Kunden die Gewissheit zu geben, dass sie auch über ihre Subunternehmer hinweg den DSGVO-Anforderungen in HR-Prozessen gerecht werden“, erläutert Broberg.
MHI Vestas: MHI Vestas: Compliance ist Pflicht
MHI Vestas arbeitet bei der Personalgewinnung mit Master Dänemark zusammen – unter anderem bei der Durchführung von Persönlichkeitstests für Bewerber. „Diese liefern schnell ein gutes Bild vom Gesprächspartner und schaffen eine solide Grundlage für den Dialog“, erklärt Michael Storm, Leiter der Personalbeschaffung bei MHI Vestas Offshore Wind, einem globalen Offshore-Windenergieunternehmen mit über 3.500 Mitarbeitern.
Bei MHI Vestas stand die DSGVO über einen Zeitraum von rund 18 Monaten – sowohl vor als auch nach Inkrafttreten der Verordnung – ganz oben auf der Agenda. „Alle Abteilungen sind betroffen, doch die Personalabteilung verarbeitet besonders viele sensible Daten. Daher hat die DSGVO bei uns eine überdurchschnittlich hohe Priorität“, so Storm. „Für uns ist DSGVO-Compliance ein Muss, wenn ein Subunternehmer mit uns zusammenarbeiten möchte. Zertifikate wie die ISAE 3000 erleichtern unsere Bewertung und wirken sich eindeutig positiv aus.“
Auch kleine Unternehmen ziehen nach
Inforevision, das die ISAE-3000-Typ-II-Zertifizierung von Master International geprüft hat, verzeichnet seit Mai 2018 eine wachsende Nachfrage.
„Unternehmen, die im Auftrag von Kunden Daten erheben, verarbeiten und speichern, verlangen zunehmend eine ISAE-3000-Typ-II-Zertifizierung – inzwischen auch viele kleinere Betriebe. Sie sehen darin einen Wettbewerbsvorteil und erfüllen gleichzeitig Kundenanforderungen. Meldungen über Datenlecks und Bußgelder rufen ihnen das Risiko regelmäßig ins Bewusstsein. Wir gehen davon aus, dass sich dieser Trend fortsetzt“, sagt John Richardt Søbjærg, Partner und Wirtschaftsprüfer.
Fakten: Ablauf des ISAE-3000-Typ-II-Prozesses bei Master International
ACI entwickelte einen Prüfplan mit rund 48 wiederkehrenden Messpunkten, die Master International im Laufe des Jahres erfüllen musste. Manche wurden wöchentlich, andere monatlich, halbjährlich oder jährlich durchgeführt. Eine Messung bestand beispielsweise in der Überprüfung, ob der automatische Löschalgorithmus tatsächlich alle Kandidatendaten entfernt hatte, deren Speicherung nicht mehr zulässig war.
Inforevision erstellte daraufhin einen individuell zugeschnittenen Prüfplan, um gezielt die relevanten Dokumentationen einzusehen und zu überprüfen. Die Prüfer verbrachten mehrere Tage vor Ort und stellten spezifische Fragen zu Unterlagen, die sie direkt im Unternehmen einsehen wollten.
FAKTEN: Was ist eine ISAE 3000 Typ 2-Erklärung?
Eine Typ-II-Erklärung ist anspruchsvoller als eine Typ-I-Erklärung. Während Typ I lediglich eine Momentaufnahme des Designs und der Implementierung interner Kontrollen liefert, überprüft Typ II zusätzlich, ob diese Kontrollen über einen Zeitraum von in der Regel zwölf Monaten wirksam waren.