Datenschutz und Datensicherheit sind zwei der wichtigsten Themen in Unternehmen. Das gilt auch in der internen Kommunikation und die Staffbase Mitarbeiter-App und Intranet-Plattform. Von grundlegenden Fragen rund um die Speicherung und Bearbeitung der Daten bis zu konkreten technischen und organisatorischen Maßnahmen bietet diese Folge Staffbasics einen Überblick rund um das Thema.

Datenschutz und Privatsphäre: Holen Sie sich die Übersicht über alle Sicherheitsmaßnahmen und  Standards bei Staffbase

Whiteboard: Datenschutz und Datensicherheit

Transkription des Videos

Hallo. Ich bin Frank Wolf von Staffbase und wir sprechen heute über eine Frage, die wir sehr oft hören: Wie verhält es sich mit Datensicherheit und Datenschutz bei einer Mitarbeiter-App? Die gute Nachricht vorab: Das Thema kann man sehr gut lösen. Und ich will heute ein bisschen mehr im Detail vorstellen, wie genau das passiert.

Setup Unternehmen Datenschutz

Schauen wir uns mal das grundlegende Setup an. Ein Unternehmen möchte Informationen mit seinen Mitarbeitern teilen. Oft benutzt man dafür eine Kommunikationsplattform von einem Drittanbieter, wie zum Beispiel Staffbase. Die Frage ist also: Wie darf man denn hier Informationen, auch personenbezogene Informationen, überhaupt übergeben.

Datenschutz, BYOD und Betriebsrat

Der zweite Sonderfall ist, dass Mitarbeiter oft ihr eigenes Gerät mitbringen. Der Spezialbegriff dafür ist „Bring your own device”. Und die Frage ist: Dürfen die das? Und kann man als Unternehmen das eigentlich von denen erwarten. 90 Prozent unserer Kunden machen das so. Das heißt, Mitarbeiter haben dort ihr eigenes Gerät und greifen damit auf die App zu.

Aus der Sicht von einem Betriebsrat hat man hier vor allen Dingen zwei Themen, die man fragen wird. Erstens: Gibt es eine Möglichkeit für Mitarbeiter, das alternativ zu gestalten, also habe ich auch Zugriff auf die Informationen von einem PC zum Beispiel? Das kann ein PC zuhause sein, das kann ein PC im Unternehmen oder ein Terminal sein. Und die zweite Frage aus Betriebsratsicht ist: Ist das hier verpflichtend? Wenn der Mitarbeiter sein eigenes Gerät mitbringt, kann es nicht verpflichtend sein. So sehen wir das heute bei unseren Kunden.

Datensicherheit vs. Datensicherheit in einer Mitarbeiter-App

Das ist das grundlegende Setup. Und was man sich jetzt fragen kann: Wie spielt eigentlich Datenschutz und Datensicherheit hierein. Ich will zunächst mal unterscheiden, was die Begriffe eigentlich bedeuten. Datensicherheit ist ein übergreifender Begriff und der bedeutet: Alle Daten, die das Unternehmen verarbeitet und teilt, sind davon betroffen. Datenschutz ist ein kleiner Bereich. Und beim Datenschutz geht es tatsächlich nur um personenbezogene Daten, die das Unternehmen von seinen Mitarbeitern erhebt. Dieser Bereich ist vielmehr gesetzlich geregelt als der gesamte Datensicherheitsbereich.

Bis jetzt war das in Deutschland das Bundesdatenschutzgesetz. Das ändert sich. Mit Mai 2018 kommt da eine EU-Regelung ins Spiel, nämlich die EU-Datenschutzgrundverordnung. Und die regelt relativ detailliert, was das Unternehmen hier darf. Und ein wichtiger Begriff ist in dem Zusammenhang ein Thema, auf das wir noch kommen, nämlich: Welche technischen und organisatorischen Maßnahmen muss das Unternehmen denn ergreifen, um Mitarbeiterdaten hier wirklich gut zu schützen.

Datensparsamkeit und Auftragsdatenverarbeitung

Dazu kommen dann noch weitere Prinzipien, zum Beispiel das Prinzip der Datensparsamkeit. Das bedeutet, wenn ich Daten erhebe, dann muss ich sicherstellen, dass ich die tatsächlich auch brauche für das, was ich vorhabe. Im Bereich einer Mitarbeiter-App wäre es zum Beispiel nicht datensparsam, zu sagen, ich erhebe noch Kontoinformationen und die sind irgendeiner Form hier in der Plattform mitenthalten. Das wäre keine Datensparsamkeit.

Das Unternehmen ist also in der Lage, personenbezogene Daten von Mitarbeitern zu verarbeiten und es ist auch möglich, diese personenbezogenen Daten im Auftrag an Drittanbieter weiterzugeben. Die Basis dafür ist eine sogenannte Auftragsdatenverarbeitung. Mit der stellt man sicher, dass der Drittanbieter dieselbe Sorgfalt mit den Mitarbeiterdaten an den Tag legt, und eben die technischen und organisatorischen Maßnahmen sicherstellt, um die Mitarbeiterdaten zuverlässig zu schützen.

Datenschutz bei einer Mitarbeiter-App

Das sind die grundlegenden Informationen, die man braucht. Und wenn man jetzt in so ein Mitarbeiter-App-Projekt reingeht, dann ist es oft so, dass als Erstes ein Datenschutzbeauftragter eine Analyse macht und zwei Dinge abwägt. Das eine ist: Wie ist eigentlich die geplante Reichweite? Im Fall einer Mitarbeiter-App ist die sehr hoch. Ich möchte alle erreichen, es muss sehr einfach sein, auf die Informationen zuzugreifen, sich einzuloggen. Ich will, dass Mitarbeiter sich nicht jeden Tag wieder neu einloggen müssen. All das sind Dinge, die die Reichweite beeinflussen.

Datenschutz bei einer Mitarbeiter-App

Auf der anderen Seite muss er abwägen: Welchen Schutzbedarf haben denn die Informationen, die in der Mitarbeiter-App verfügbar sind? Es ist oft so, dass Unternehmen sogenannte Datenschutzklassen definieren. Und vier typische Datenschutzklassen haben wir hier mal aufgeführt. Es gibt also extern Daten, das können zum Beispiel Pressemitteilungen sein. Es gibt interne Daten, das können zum Beispiel News, das kann ein Schichtplan sein, das kann ein Telefonbuch sein. Dann gibt es vertrauliche Daten, zum Beispiel Gehaltsinformationen. Gehaltinformationen von Mitarbeitern wären vertraulich. Und dann gibt es noch streng vertrauliche Daten: Wichtige Patente oder eine Vorstandspräsentation, in der wichtige strategische Entscheidungen vorbereitet werden.

Was wir sehen ist, dass im Normalfall für Mitarbeiter-Apps die beiden ersten Klassen freigegeben werden. Man sagt also, externe und interne Inhalte sind zulässig, vertrauliche und streng vertrauliche sind nicht zulässig. Und das ist jetzt auch eine sehr gute Basis, um die eigentlichen Maßnahmen zu bewerten und aufzustellen, die man für den Schutz der Informationen in der App braucht.

Technische und organisatorische Maßnahmen

Es ist jetzt relativ klar, wenn man streng vertrauliche Informationen in der App hätte, bräuchte man völlig andere Maßnahmen, um tatsächlich Datenschutz zu gewährleisten. Die genaue Beschreibung, was man eigentlich für den Datenschutz tut, erfolgt in den technischen und organisatorischen Maßnahmen. Die sind übrigens auch immer eine Anlage, wenn man über eine Auftragsdatenverarbeitung spricht, denn es muss ja klar geregelt sein, was ein Subdienstleister und was ein Unternehmen für Datenschutz eigentlich genau tut.

Technische und organisatorische Maßnahmen für Datenschutz bei einer Mitarbeiter-App

Erstens ist die Frage: Wie ist die Organisation aufgestellt, um Daten zu schützen? Und das können Dinge sein wie Verträge. Also habe ich meine Subdienstleister dazu verpflichtet, dass die dieselbe Sorgfalt anlegen, dass ich dort Kontrollrechte habe. Habe ich Prozesse, wie ich Mitarbeiter schule? Habe ich Themen-Zugangsschutz zu Büroräumen? Habe ich Themen wie auch Reporting von Sicherheitsvorfällen? Wie mache ich die transparent und wie kann ich die an die wichtigen Stellen weiterleiten.

Zweitens: Plattform. Bei der Plattform geht’s los mit dem sicheren Hosting. Habe ich also ein Datencenter, was sicher ist, wo kein Feuer ausbrechen kann, wo keine Überflutung stattfinden kann? Habe ich die Möglichkeit und habe ich sichergestellt, dass kein Hacker sich auf die Datenbank oder auf die Plattform einwählen kann? Das mache ich normalerweise mit Penetrationstests, die wir auch regelmäßig durchführen. Und habe ich so Themen wie Verschlüsselung, also ist es möglich, die Daten, zum Beispiel, wenn ich sie übertrage, so zu verschlüsseln, dass niemand die Inhalte tatsächlich sehen kann.

Dritte Ebene: Der Zugang zur Plattform selbst. Also kann ich sicherstellen, dass nur berechtigte Personen darauf zugreifen können? Themen spielen hier rein wie zum Beispiel eine Passwort-Richtlinie. Kann ich bestehende Passwörter über ein Single Sign-On wiederverwenden und es dem Nutzer sehr einfach machen, zuzugreifen. Habe ich sowas wie einen Nutzerlebenszyklus? Das heißt: Mitarbeiter, die neu ins Unternehmen reinkommen, oder Mitarbeiter, die das Unternehmen verlassen. Kann ich sicherstellen, dass die Zugriff haben oder eben ihren Zugriff verlieren im Zuge dessen? Und insgesamt, es ist ja eine Mitarbeiter-App, das heißt, die App ist oft in den öffentlichen App-Stores. Kann ich sicherstellen, dass nur autorisierte Nutzer tatsächlich in die App können und die internen Inhalte sehen können.

Letzer Punkt: Zugang zu den Inhalten selbst. Also die Frage: Wenn ich einmal in der Plattform bin, sehe ich wirklich Inhalte, die für mich freigegeben sind? Also ist mein Zugriff personalisiert? Das erfolgt über Nutzergruppen und den Nutzergruppen werden bestimmte Inhalte zugeordnet. Damit ich das machen kann, brauche ich Rollen, wie zum Beispiel einen Administrator, Redakteure oder eben Nutzer, denen ich dann verschiedene Berechtigungen geben kann.

Das alles stellt sicher, dass die technischen und organisatorischen Maßnahmen ausreichend sind, um Datenschutz und Datensicherheit für eine Mitarbeiter-App sicherzustellen.

Ich hoffe, die Ausführungen haben gezeigt, dass das Thema beherrschbar ist. Viele große Unternehmen haben eine Mitarbeiter-App an den Start gebracht und sind damit sehr erfolgreich. Wenn es mehr Detailfragen zu dem Thema gibt, sprechen Sie uns gerne direkt an. Wir freuen uns, mit Ihnen in Kontakt zu treten. Ansonsten, vielen Dank für Ihre Aufmerksamkeit und bis zum nächsten Mal!

Für weitere Informationen zu transparenter interner Kommunikation mithilfe digitaler Instrumente können Sie uns gern kontaktieren oder folgende Artikel in unserem Blog lesen:

Liebe Leser*innen,

wir bei Staffbase verwenden seit November 2020 den Genderstern in unseren deutschsprachigen Blog-Texten. Wenn das bei diesem Artikel noch nicht der Fall ist, handelt es sich dabei um einen älteren Text, der vor der Einführung der gendergerechten Sprache erstellt wurde.

Vielen Dank für Ihr Verständnis!