Datenschutz Grundverordnung: Auswirkungen auf Personio und seine Kunden

In einem ersten Audit gemeinsam mit unserem Datenschutzbeauftragten haben wir Anfang dieses Jahres einen Fahrplan festgelegt, um den steigenden Anforderungen an die Organisations- und Produktgestaltung, wie beispielsweise “Privacy by Design”- d.h. Sicherstellung des Datenschutzes durch geeignete technische Maßnahmen – und “Privacy by Default” – d.h. Sicherstellung von datenschutzkonformen Standardeinstellungen bei der Nutzung von Produkten und Dienstleistungen -, sowie im Hinblick auf Dokumentations- und Nachweispflichten gerecht zu werden.

Ein weiteres, noch umfassenderes Audit werden wir im Oktober 2017 durchführen, um die gesamte Organisation und das Produkt im Hinblick auf den Fahrplan für die EU DSGVO auf den Prüfstand zu stellen. Geplant ist dabei nicht nur die Prüfung und Weiterentwicklung aller vorhandenen Dokumentationen rund um unsere technischen und organisatorischen Maßnahmen, sondern eine dedizierte Prüfung der Applikation im Hinblick auf gesetzliche Anforderungen aus der EU DSGVO sowie dem darauf aufbauenden neuen Bundesdatenschutzgesetz (BDSG-neu).

Dabei orientieren wir uns an gängigen Normen wie dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Neben der Dokumentation und Umsetzung eines umfangreichen Datenschutz- und IT-Sicherheitskonzepts auf Basis der oben genannten technischen und organisatorischen Maßnahmen und unter Anlehnung an gängige IT-Standards plant Personio die Zusammenarbeit mit dem Dienstleister Myra. Gemeinsam werden wir eine sogenannte Web Application Firewall aufsetzen, um “Angriffe von außen” abzuwehren. Unsere Server und Applikation werden so noch besser vor unzulässigen und gefährlichen Anfragen durch Hacker oder automatisierte Bot-Attacken geschützt. Myra sitzt ebenfalls in München, verfügt über Referenzen wie den Schutz der weltgrößten Sicherheitskonferenz in München oder des G7-Gipfels in Elmau 2015, und wird damit auch Teil der Auftragsdatenverarbeitung zwischen Personio und unseren Kunden.

Darüber hinaus planen wir in dem Rahmen einen weiteren umfangreichen Penetrationstest der Applikation und Infrastruktur mit einem externen Dienstleister durchzuführen, um etwaige weitere Verbesserungsmaßnahmen für unser Produkt zu identifizieren.

Vorbereitung ist das eine, Nachhaltigkeit das andere. Um Datenschutz dauerhaft oberste Priorität einzuräumen, bauen wir unser internes Datenschutz-Management-System weiter aus und verankern dieses in unserer Organisation. So soll sichergestellt werden, dass Datenschutz dauerhaft Teil unseres kontinuierlichen Verbesserungsprozesses bleibt und wir auch zukünftig schnell auf Änderungen der Gesetzeslage oder Kundenanforderungen reagieren können.

Den veränderten Anforderungen im Auftragsdatenverarbeitungsverhältnis mit unseren Kunden tragen wir Rechnung, indem wir rechtzeitig neue Verträge zur Auftragsverarbeitung schließen und dazu dann auch rechtzeitig vor Eintritt der EU DSGVO angepasste Dokumentationen der technischen und organisatorischen Maßnahmen mit an die Hand geben. Da nach der EU DSGVO das Schriftformerfordernis entfällt, werden entsprechende Änderungsprozesse für beide Parteien in Zukunft deutlich erleichtert.

Falls Sie Fragen zu Datenschutz bei Personio oder den gesetzlichen Neuerungen der EU DSGVO haben, wenden Sie sich gerne an unsere Datenschutzexperten unter datenschutz@personio.de.