Datenschutz und Datensicherheit für die Mitarbeiter-App

Datenschutz und Datensicherheit sind zwei der wichtigsten Themen in Unternehmen. Das gilt auch in der internen Kommunikation. Von grundlegenden Fragen rund um die Speicherung und Bearbeitung der Daten bis zu konkreten technischen und organisatorischen Maßnahmen bietet diese Folge Staffbasics einen Überblick rund um das Thema. Damit Ihre IT ruhig schlafen kann.

Whiteboard: Datenschutz und Datensicherheit


Datenschutz und Privatsphäre: Holen Sie sich die Übersicht über alle Sicherheitsmaßnahmen und  Standards bei Staffbase

{{cta(‚da750217-cbe7-4d38-9ade-610b8ef35f3e‘,’justifycenter‘)}}

TRANSKRIPTION DES VIDEOS:

Hallo. Ich bin Frank Wolf von Staffbase und wir sprechen heute über eine Frage, die wir sehr oft hören: Wie verhält es sich mit Datensicherheit und Datenschutz bei einer Mitarbeiter-App? Die gute Nachricht vorab: Das Thema kann man sehr gut lösen. Und ich will heute ein bisschen mehr im Detail vorstellen, wie genau das passiert.

Setup Unternehmen Datenschutz

Schauen wir uns mal das grundlegende Setup an. Ein Unternehmen möchte Informationen mit seinen Mitarbeitern teilen. Oft benutzt man dafür eine Kommunikationsplattform von einem Drittanbieter, wie zum Beispiel Staffbase. Die Frage ist also: Wie darf man denn hier Informationen, auch personenbezogene Informationen, überhaupt übergeben.

Datenschutz, BYOD und Betriebsrat

Der zweite Sonderfall ist, dass Mitarbeiter oft ihr eigenes Gerät mitbringen. Der Spezialbegriff dafür ist „Bring your own device„. Und die Frage ist: Dürfen die das? Und kann man als Unternehmen das eigentlich von denen erwarten. 90% von unseren Kunden machen das so, das heißt, Mitarbeiter haben dort ihr eigenes Gerät und greifen damit auf die App zu.

Aus der Sicht von einem Betriebsrat hat man hier vor allen Dingen zwei Themen, die man fragen wird. Erstens: Gibt es eine Möglichkeit für Mitarbeiter, das alternativ zu gestalten, also habe ich auch Zugriff auf die Informationen von einem PC zum Beispiel? Das kann ein PC zuhause sein, das kann ein PC im Unternehmen oder ein Terminal sein. Und die zweite Frage aus Betriebsratsicht ist: Ist das hier verpflichtend? Wenn der Mitarbeiter sein eigenes Gerät mitbringt, kann es nicht verpflichtend sein. So sehen wir das heute bei unseren Kunden.

Bildschirmfoto 2018-04-25 um 12.12.15

Das ist das grundlegende Setup. Und was man sich jetzt fragen kann: Wie spielt eigentlich Datenschutz und Datensicherheit hierein. Ich will zunächst mal unterscheiden, was die Begriffe eigentlich bedeuten. Datensicherheit ist ein übergreifender Begriff und der bedeutet: Alle Daten, die das Unternehmen verarbeitet und teilt, sind davon betroffen. Datenschutz ist ein kleiner Bereich. Und beim Datenschutz geht es tatsächlich nur um personenbezogene Daten, die das Unternehmen von seinen Mitarbeitern erhebt. Dieser Bereich ist vielmehr gesetzlich geregelt als der gesamte Datensicherheitsbereich.

Bis jetzt war das in Deutschland das Bundesdatenschutzgesetz. Das ändert sich. Mit Mai 2018 kommt da eine EU-Regelung ins Spiel, nämlich die EU-Datenschutzgrundverordnung. Und die regelt relativ detailliert, was das Unternehmen hier darf. Und ein wichtiger Begriff ist in dem Zusammenhang ein Thema, auf das wir noch kommen, nämlich: Welche technischen und organisatorischen Maßnahmen muss das Unternehmen denn ergreifen, um Mitarbeiterdaten hier wirklich gut zu schützen.

Datensparsamkeit und Auftragsdatenverarbeitung

Dazu kommen dann noch weitere Prinzipien, zum Beispiel das Prinzip der Datensparsamkeit. Das bedeutet, wenn ich Daten erhebe, dann muss ich sicherstellen, dass ich die tatsächlich auch brauche für das, was ich vorhabe. Im Bereich einer Mitarbeiter-App wäre es zum Beispiel nicht datensparsam, zu sagen, ich erhebe noch Kontoinformationen und die sind irgendeiner Form hier in der Plattform mitenthalten. Das wäre keine Datensparsamkeit.

Das Unternehmen ist also in der Lage, personenbezogene Daten von Mitarbeitern zu verarbeiten und es ist auch möglich, diese personenbezogenen Daten im Auftrag an Drittanbieter weiterzugeben. Die Basis dafür ist eine sogenannte Auftragsdatenverarbeitung. Mit der stellt man sicher, dass der Drittanbieter dieselbe Sorgfalt mit den Mitarbeiterdaten an den Tag legt, und eben die technischen und organisatorischen Maßnahmen sicherstellt, um die Mitarbeiterdaten zuverlässig zu schützen.

Datenschutz bei einer Mitarbeiter-App

Das sind die grundlegenden Informationen, die man braucht. Und wenn man jetzt in so ein Mitarbeiter-App-Projekt reingeht, dann ist es oft so, dass als Erstes ein Datenschutzbeauftragter eine Analyse macht und zwei Dinge abwägt. Das eine ist: Wie ist eigentlich die geplante Reichweite? Im Fall einer Mitarbeiter-App ist die sehr hoch. Ich möchte alle erreichen, es muss sehr einfach sein, auf die Informationen zuzugreifen, sich einzuloggen. Ich will, dass Mitarbeiter sich nicht jeden Tag wieder neu einloggen müssen. All das sind Dinge, die die Reichweite beeinflussen.

Bildschirmfoto 2018-04-25 um 12.12.22

Auf der anderen Seite muss er abwägen: Welchen Schutzbedarf haben denn die Informationen, die in der Mitarbeiter-App verfügbar sind? Es ist oft so, dass Unternehmen sogenannte Datenschutzklassen definieren. Und vier typische Datenschutzklassen haben wir hier mal aufgeführt. Es gibt also extern Daten, das können zum Beispiel Pressemitteilungen sein. Es gibt interne Daten, das können zum Beispiel News, das kann ein Schichtplan sein, das kann ein Telefonbuch sein. Dann gibt es vertrauliche Daten, zum Beispiel Gehaltsinformationen. Gehaltinformationen von Mitarbeitern wären vertraulich. Und dann gibt es noch streng vertrauliche Daten: Wichtige Patente oder eine Vorstandspräsentation, in der wichtige strategische Entscheidungen vorbereitet werden.

Was wir sehen ist, dass im Normalfall für Mitarbeiter-Apps die beiden ersten Klassen freigegeben werden. Man sagt also, externe und interne Inhalte sind zulässig, vertrauliche und streng vertrauliche sind nicht zulässig. Und das ist jetzt auch eine sehr gute Basis, um die eigentlichen Maßnahmen zu bewerten und aufzustellen, die man für den Schutz der Informationen in der App braucht.

Technische und organisatorische Maßnahmen

Es ist jetzt relativ klar, wenn man streng vertrauliche Informationen in der App hätte, bräuchte man völlig andere Maßnahmen, um tatsächlich Datenschutz zu gewährleisten. Die genaue Beschreibung, was man eigentlich für den Datenschutz tut, erfolgt in den technischen und organisatorischen Maßnahmen. Die sind übrigens auch immer eine Anlage, wenn man über eine Auftragsdatenverarbeitung spricht, denn es muss ja klar geregelt sein, was ein Subdienstleister und was ein Unternehmen für Datenschutz eigentlich genau tut.

Bildschirmfoto 2018-04-25 um 12.12.40

Erstens ist die Frage: Wie ist die Organisation aufgestellt, um Daten zu schützen? Und das können Dinge sein wie Verträge. Also habe ich meine Subdienstleister dazu verpflichtet, dass die dieselbe Sorgfalt anlegen, dass ich dort Kontrollrechte habe. Habe ich Prozesse, wie ich Mitarbeiter schule? Habe ich Themen-Zugangsschutz zu Büroräumen? Habe ich Themen wie auch Reporting von Sicherheitsvorfällen? Wie mache ich die transparent und wie kann ich die an die wichtigen Stellen weiterleiten.

Zweitens: Plattform. Bei der Plattform geht’s los mit dem sicheren Hosting. Habe ich also ein Datencenter, was sicher ist, wo kein Feuer ausbrechen kann, wo keine Überflutung stattfinden kann? Habe ich die Möglichkeit und habe ich sichergestellt, dass kein Hacker sich auf die Datenbank oder auf die Plattform einwählen kann? Das mache ich normalerweise mit Penetrationstests, die wir auch regelmäßig durchführen. Und habe ich so Themen wie Verschlüsselung, also ist es möglich, die Daten, zum Beispiel, wenn ich sie übertrage, so zu verschlüsseln, dass niemand die Inhalte tatsächlich sehen kann.

Dritte Ebene: Der Zugang zur Plattform selbst. Also kann ich sicherstellen, dass nur berechtigte Personen darauf zugreifen können? Themen spielen hier rein wie zum Beispiel eine Passwort-Richtlinie. Kann ich bestehende Passwörter über ein Single Sign-On wiederverwenden und es dem Nutzer sehr einfach machen, zuzugreifen. Habe ich sowas wie einen Nutzerlebenszyklus? Das heißt: Mitarbeiter, die neu ins Unternehmen reinkommen, oder Mitarbeiter, die das Unternehmen verlassen. Kann ich sicherstellen, dass die Zugriff haben oder eben ihren Zugriff verlieren im Zuge dessen? Und insgesamt, es ist ja eine Mitarbeiter-App, das heißt, die App ist oft in den öffentlichen App-Stores. Kann ich sicherstellen, dass nur autorisierte Nutzer tatsächlich in die App können und die internen Inhalte sehen können.

Letzer Punkt: Zugang zu den Inhalten selbst. Also die Frage: Wenn ich einmal in der Plattform bin, sehe ich wirklich Inhalte, die für mich freigegeben sind? Also ist mein Zugriff personalisiert? Das erfolgt über Nutzergruppen und den Nutzergruppen werden bestimmte Inhalte zugeordnet. Damit ich das machen kann, brauche ich Rollen, wie zum Beispiel einen Administrator, Redakteure oder eben Nutzer, denen ich dann verschiedene Berechtigungen geben kann.

Das alles stellt sicher, dass die technischen und organisatorischen Maßnahmen ausreichend sind, um Datenschutz und Datensicherheit für eine Mitarbeiter-App sicherzustellen.

Ich hoffe, die Ausführungen haben gezeigt, dass das Thema beherrschbar ist. Viele große Unternehmen haben eine Mitarbeiter-App an den Start gebracht und sind damit sehr erfolgreich. Wenn es mehr Detailfragen zu dem Thema gibt, sprechen Sie uns gerne direkt an. Wir freuen uns, mit Ihnen in Kontakt zu treten. Ansonsten, vielen Dank für Ihre Aufmerksamkeit und bis zum nächsten Mal!

{{cta(‚edcee1e0-71c1-4f89-9c52-1d75d8f0f0f3‘)}}

Für weitere Informationen zu transparenter interner Kommunikation mithilfe digitaler Instrumente können Sie uns gern kontaktieren oder folgende Artikel in unserem Blog lesen:

Teilen

Erfahren Sie, was es Neues in der internen Kommunikation gibt, warum Mobile unerlässlich ist und wie Sie Ihre mobile Lösung zum Erfolg führen können.

Hier entlang