Personaldaten in der Cloud und Datenschutz – ein Gegensatzpaar?

Fachbericht:

Kontrollverlust über sensible Personaldaten ist ein Risiko über das ein Unternehmen jederzeit Klarheit haben muss. Immer mehr Unternehmen lagern ihre bisher interne Datenverarbeitung an externe Unternehmen aus und setzen dabei auf «Cloud-Computing». Anwendungen und Daten befinden sich also nicht mehr im Netzwerk des Unternehmens, sondern ausserhalb, in der Cloud. 

Dabei wird vereinfacht zwischen verschiedenen Cloud-Formen unterschieden: Die Public-Cloud und deren Infrastruktur wird vollständig durch den Cloud-Anbieter bestimmt. Der Cloud-Nutzer hat diesbezüglich keinen Einfluss. Ob Server-Strukturen vom Anbieter selber oder über Subunternehmer teilweise oder ganz im Ausland betrieben werden, ist für den Nutzer nicht transparent. Dagegen werden Private-Cloud durch das Unternehmen selbst oder durch einen externen Dritten betrieben und spezifisch auf das jeweilige nutzende Unternehmen ausgerichtet. Welches auch immer die Gründe für den Einsatz von Cloud-Computing-Systemen sind, bei sensiblen Personaldaten müssen die Risiken klar sein. Insbesondere sind das Compliance Risiken, die durch unzureichende Datenschutzregelungen anderer Länder entstehen. Cloud-Service-Anbieter sind unter Umständen verpflichtet, gegenüber ausländischen Behörden und Gerichten Zugriff auf Daten in der Cloud zu gewähren. Kontrollverlust über die Daten, ein Risiko, das durch die weltweite Vernetzung und Virtualität entsteht. Der Cloud-Nutzer als verantwortlicher Dateninhaber weiss nicht, wo genau seine Daten in der Cloud gespeichert und verarbeitet werden. Das Risiko der Datenvermischung bei fehlender oder mangelnder Abgrenzung verschiedener Datenverarbeitungen in derselben Cloud führt bei Attacken auf einen Nutzer dazu, dass weitere Daten von Nutzern, die nicht miteinander in Beziehung stehen in Mitleidenschaft gezogen werden.

Generell kann der Nutzer einer Public-Cloud seine datenschutzrechtlichen Pflichten hinsichtlich Gewährleistung der Datensicherheit, Gewährung des Auskunftsrechts oder Berichtigung und Löschung der Daten nicht oder nur ungenügend wahrnehmen. Die primäre Pflicht zur Einhaltung der Datenschutzregeln liegt in der Verantwortung des Unternehmens selber und nicht beim Anbieter der Cloud. Sollten also aufgrund der Risikoeinschätzung bezüglich der Verarbeitung von Personendaten in der Cloud Zweifel bestehen, ist von einer Auslagerung der Daten abzusehen.

Outsourcing von Personaldossiers– oder doch besser inhouse?

Effiziente Arbeitsabläufe sind in beiden Fällen ein Erfolgsfaktor.

Der Ansatz zur Beantwortung der Frage sollte möglichst aus der Sicht des Leistungsauftrags, den HR-Abteilungen im Unternehmen erfüllen, gewählt werden. Outsourcing-Schwerpunkte im Rahmen einer Strategie auszuformulieren, die der HR-Abteilung eine Fokussierung auf die darin festgelegten Kernaufgaben ermöglicht, ist längerfristig zielführender, als isolierte Themen nach ihrem Outsourcing-Potential zu beurteilen. Mit Umsetzung der Strategie können so mittel- und langfristig intern vorhandene Kompetenzen auf- und umgebaut oder nötigenfalls auch gezielt extern zugekauft werden. Gerade ein Outsourcing verlangt aber die Gestaltung von einheitlichen Prozessen, um eine optimale und effiziente Dienstleistung zu gewährleisten. Da kommt kein Unternehmen daran vorbei.

Ob eDossier für ein Outsourcing geeignet ist oder nicht hängt also vornehmlich von der Beantwortung obiger Fragen und der gewählten Ausrichtung ab. Grundsätzlich aber, führt die Einführung von eDossier dazu, dass Arbeitsabläufe überarbeitet und wo nötig neu aufgesetzt werden. Ein Outsourcing wäre auf dieser Grundlage schon mal einfacher und kann jederzeit auch später angegangen werden.

Viele der gängigen Softwarelösungen können sowohl inhouse installiert als auch bei einem externen Anbieter gemietet und betrieben werden. Von der Softwaremiete bis hin zum Scan-Service im täglichen Betrieb ist eine Bandbreite verschiedener Service-Level möglich. Wahrscheinlich spielt bei dieser Entscheidung der psychologische Moment eher eine Rolle, «…sind die neuen digitalen Dossiers noch unter Kontrolle, wenn sie sich ausser Haus befinden…?» Die Antwort wird bei jedem Unternehmen je nach Kultur verschieden sein. Vielleicht ist ein Zwischenschritt über die inhouse-Variante allenfalls angebracht, um das Vertrauen zu festigen. Doch auch diese Lösung bringt bereits eine grosse administrative Entlastung für den Personaler.

Um ein eDossier-Projekt erfolgreich durchzuführen sind neben den fast schon selbstverständlich gewordenen Projektmanagementfähigkeiten folgende Themen wichtig:

Das Wichtigste in Kürze

Cloud-Computing ein Trend der auch bei sensiblen Personaldaten nicht Halt macht. Transparenz von Seiten Cloud-Anbietern ist allerdings nicht in jedem Fall gegeben. Wo also liegen dann die Daten? Darüber muss jederzeit Klarheit herrschen, um Risiken von Datenverlusten oder unberechtigten Zugriffen vorzubeugen. Gleiches gilt für Outsourcing von Personaldossiers. Vielleicht ist ein Zwischenschritt über eine unternehmensinterne Lösung der Schlüssel, um Vertrauen zu schaffen. Effizient angelegte Arbeitsprozesse sind in jedem Fall ein Schlüssel für ein erfolgreiches Projekt.

Jürg Keller

Autor: Jürg Keller, Betriebsökonom FH und MAS in HR.
Als Finanzcontroller und langjähriger Personalverantwortlicher in verschiedenen Industrieunternehmen der Schweiz tätig. Heute freischaffender Berater.

2019-06-11T16:16:59+02:00