Funktioniert Datenschutz und Datensicherheit?

Wenn die Lohntüte aus der Cloud kommt

22.09.2016
Von 


Ulrich Jänicke, Spezialist auf dem Gebiet Human Resources, ist Gründer und CEO der Aconso AG in München.
Vor allem Personalverantwortliche haben angesichts der Sensibilität von personenbezogenen Daten häufig noch Bedenken den finalen Schritt in die Cloud zu wagen. Denn Daten zählen zu den wichtigsten Vermögenswerten eines Unternehmens.

An der Cloud führt kein Weg vorbei. Betrachtet man zum Beispiel die Kosten für den Ausdruck und den Versand der monatlichen Lohnabrechnungen, wird schnell klar, warum analoge Prozesse keine Zukunft haben. Was, wenn stattdessen jeder Mitarbeiter selbst seine Gehaltsabrechnung digital abrufen könnte und die Daten und Services sicher in der Cloud liegen? So wäre die Abrechnung für den Mitarbeiter von überall und auf sämtlichen Devices verfügbar. Sind die Cloud-Dienste zudem bei einem externen Spezialisten für HR-Software gehostet, fallen keine internen Kosten für die IT-Infrastruktur an und der Betrieb kann sofort starten. Last but not least: Die Software ist immer auf dem aktuellen Stand, verfügt über die nötigen Sicherheitsupdates und kann schnell und unkompliziert eingeführt werden.

Professioneller Datenschutz in der Cloud

Jede Menge Vorteile also - doch ist die Cloud auch sicher genug? Immerhin geht es im HR-Bereich um Personendaten, die den hohen Sicherheitsanforderungen des Bundesdatenschutzgesetzes unterliegen. Ist es also ratsam, Personalakten oder Lohn- und Gehaltsabrechnungen in der Cloud abzulegen? Ein Grundsatz im Umgang mit Personaldaten besteht darin, dass nur Berechtigte Zugriff auf diese Daten haben. In einer professionell gemanagten Cloud-Umgebung lässt sich durch ein umfassendes Rechte- und Rollenmanagement dezidiert festlegen und kontrollieren, wer welche Zugriffsrechte auf welche Daten hat.

Kann man in der realen Welt mit großem Personalstand und Mitarbeiter-Fluktuation denn sicher sein, dass nur berechtigte Personen Zugang zu sensiblen Daten haben? Dabei müssen Unternehmen auch beachten, dass sie eine Gewährleistungspflicht für alle Datenschutzbestimmungen haben. Laut Bundesdatenschutzgesetz müssen sie personenbezogene Daten ausreichend schützen und alle dafür notwendigen, technischen und organisatorischen Maßnahmen treffen.

Ein professioneller Cloud-Dienstleister bietet die Einhaltung dieser Anforderungen meist bereits im Standard und wartet mit einer Vielzahl von Vorkehrungen auf, die oft über das gesetzliche Mindestmaß hinausgehen. So bieten alle großen Cloud-Provider ihren Kunden detaillierte Service Level Agreements (SLAs), die ein hohes Dienstleistungs- und Sicherheitslevel mit den geltenden Gesetzen in Einklang bringen. Ein weiterer Vorteil: Mehrfach redundante, abgesicherte, geografisch verteilte Backup-Systeme schützen auch im Katastrophenfall vor Datenverlust. Zur Einhaltung der gesetzlichen Löschfristen können darüber hinaus automatisierte HR-Softwarelösungen zum Einsatz kommen.

Cloud ist nicht gleich Cloud

Doch nicht alle Cloud-Lösungen sind identisch: Entscheidend ist die Wahl des richtigen Cloud-Anbieters und -Modells. Ein Anhaltspunkt ist zum Beispiel die Sicherheitszertifizierung nach ISO 27001, die die Einhaltung von grundlegenden IT-Sicherheitsstandards garantiert. Gegebenenfalls empfiehlt es sich, einen Security-Audit durchzuführen. (fm)