Datenschutz nach EU-DSGVO

Bei der Beratung in Datenschutzfragen sowie Unterstützung als betrieblicher Datenschutzbeauftragter setzen wir auf die Dienste der Bitkom Servicegesellschaft mbH, einem der führenden Beratungsunternehmen in Deutschland rundum alle Themen der Digitalwirtschaft:

Bitkom Servicegesellschaft mbH, Albrechtstraße 10, 10117 Berlin.

Sofern Sie Fragen zum Thema Datenschutz bei Personio haben, wenden Sie sich bitte an datenschutz@personio.de.

Zum einen werden alle Mitarbeiter von Personio auf Vertraulichkeit bzw. den Datenschutz im Allgemeinen verpflichtet und mit den entsprechenden Konsequenzen im Falle eines Verstoßes vertraut gemacht.

Darüber hinaus werden regelmäßige Schulungen und Sensibilisierungsmaßnahmen zum Umgang mit personenbezogenen Daten und Datenschutz durchgeführt und dabei auch auf gesetzliche Neuerungen wie die EU Datenschutz-Grundverordnung (EU-DSGVO) eingegangen.

Personio orientiert sich organisatorisch an den Vorgaben der ISO/IEC 27001 und strebt die kontinuierliche Verbesserung der Prozesse und Strukturen im Datenschutz und der Informationssicherheit an. Neben der Bestellung eines Datenschutzbeauftragten und der regelmäßigen Schulung von Mitarbeitern hat Personio zudem ein Datenschutz- und Informationssicherheits-Team eingerichtet und einen IT Security Manager angestellt, um der Sicherheit bei allen Verarbeitungsprozessen und internen Vorgängen höchste Priorität beizumessen. Des Weiteren arbeitet Personio eng mit wesentlichen Entscheidungsträgern und Gremien im Datenschutz und der IT-Sicherheit zusammen und ist unter anderem Mitglied der Gesellschaft für Datenschutz und Datensicherheit e.V., der Allianz für Cybersicherheit und des Bitkom e.V..

Ja, sowohl unsere Kunden als verantwortliche Stelle als auch wir als Auftragsverarbeiter sind nach Art. 28 EU-DSGVO dazu verpflichtet, einen entsprechenden Vertrag zu schließen. Wir haben dazu eine entsprechende Vorlage mit der Bitkom entwickelt, welche wir Ihnen in unserer Software zum Vertragsschluss im elektronischen Format anbieten.

Sollte es wider Erwarten zu einer Datenpanne bei Personio kommen, bei der personenbezogene Daten eines Kunden betroffen sind und die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten der Mitarbeiter des Kunden führt, wird dies Personio entsprechend der gesetzlichen und vertraglichen Verpflichtungen unverzüglich dem betroffenen Kunden mitteilen, sodass dieser seinen gesetzlichen Mitteilungspflichten an die Aufsichtsbehörde und die Betroffenen nachkommen kann.

Ja, Datenschutz ist integraler Bestandteil unserer Produktstrategie und damit achten wir bei der Entwicklung unserer Features bereits auf Prinzipien wie Datensparsamkeit sowie den Einsatz von Maßnahmen nach dem Stand der Technik zur Sicherstellung eines angemessenen Schutzniveaus. Im Rahmen der Vorbereitungen auf die EU-DSGVO haben wir zudem die gesamte Anwendung hinsichtlich der Voreinstellungen überprüft und soweit angepasst, dass sie ein höchstmögliches Niveau an Datenschutzfreundlichkeit bei gleichzeitiger Nutzerfreundlichkeit erreicht. Zudem sind die Einstellungen grundsätzlich so konzipiert, dass der Kunde sie nach seinen Bedürfnissen anpassen kann. Um dies auch fortlaufend zu gewährleisten, haben wir zudem einen Prozess definiert, um gesetzliche Anforderungen kontinuierlich in den Produktentwicklungsprozess einzuspeisen und die Anwendung daraufhin in regelmäßigen Abständen zu überprüfen.

Ja, Personio erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gemäß EU-DSGVO. Dies wurde uns kürzlich von der Bitkom bescheinigt (zur Zusammenfassung des Prüfberichts). Dazu haben wir im Rahmen der Vorbereitungen auf die EU-DSGVO unser Produkt auf die wesentlichen gesetzlichen Anforderungen wie Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 EU-DSGVO) oder auch die Unterstützung des Kunden bei der Wahrung der Betroffenenrechte wie Recht auf Löschung, Auskunftsrecht oder Recht auf Datenübertragbarkeit (Kapitel 3 EU-DSGVO) überprüft und entsprechende Anpassungen vorgenommen. So kann der Kunde Bewerberdaten sowohl automatisch wie manuell löschen und Mitarbeiterdaten entweder sperren oder komplett und sicher löschen. Aufgrund des Self-Service Ansatzes von Personio können Mitarbeiter zudem selbst direkt jederzeit Einsicht in ihre digitale Personalakte nehmen. Zudem können Mitarbeiter ihre Daten in der Mitarbeiterliste im maschinenlesbaren Format selbst exportieren sowie ihre selbst eingebrachten Dokumente herunterladen.

Personio setzt beim Hosting ihrer Software auf die Dienste der Amazon Web Services (AWS) in Frankfurt (https://aws.amazon.com/de/compliance/gdpr-center/). Die genutzten Rechenzentren sind ISO/IEC 27001 zertifiziert und erfüllen somit unsere hohen Anforderungen an die physische Sicherheit der Daten unserer Kunden.

Grundsätzlich haben weder Mitarbeiter in den Rechenzentren noch bei AWS Zugriff auf Ihre Daten. Auf Seiten von Personio nehmen nur unser Infrastruktur Team (serverseitig) sowie unsere Produktverantwortlichen und die Mitarbeiter des Customer Success Teams (kundensystemseitig) anlassbezogen Zugriff. Die ist notwendig, um bei der initialen Einrichtung des Accounts sowie bei der Bearbeitung von Serviceanfragen zu unterstützen. Die Vergabe von Zugriffsrechten erfolgt protokolliert und nach dem “Need-to-Know”-Prinzip. Zusätzlich ist der Zugriff auf Kundensysteme protokolliert.

Personio setzt serverseitig ein host-basiertes Angriffserkennungssystem zur Überwachung von Parametern wie auffälligen Log-Einträgen, Signaturen bekannter Rootkits und Trojaner, Auffälligkeiten im Device File System, oder klassischen Bruteforce-Angriffen ein. Diese Parameter werden regelmäßig auf Auffälligkeiten untersucht. Im Falle einer Auffälligkeit werden die zuständigen Mitarbeiter im Betrieb und Entwicklung sofort informiert, um Gegenmaßnahmen zu ergreifen. Zudem werden anwendungsseitig alle wesentlichen Aktivitäten (dabei insbesondere Change-, Delete-, Update-Operationen) protokolliert, um unautorisierte Zugriffe und Veränderungen an Daten auf Anfrage nachweisen zu können.

Zugänge erfolgen ausschließlich über personalisierte Benutzeraccounts, die eindeutig einer Person zugeordnet sind. Die Anmeldung erfolgt mit Benutzernamen und einem Passwort, welches bei initialem Login entsprechend der in der Anwendung implementierten sicheren Passwort-Richtlinie geändert werden muss. Zusätzlichem empfehlen wir unseren Kunden die Verwendung der 2-Faktor-Authentifizierung, um ein höheres Schutzniveau zu erreichen.

Die Zugriffsrechte sind grundsätzlich so konzipiert, dass die Anforderungen des Art. 24 EU-DSGVO nach datenschutzfreundlichen Voreinstellungen gewahrt sind. Dies bedeutet, dass neu angelegte Mitarbeiter “per default” keine Rechte über die Bearbeitung des eigenen Profils hinaus haben. Sie als Kunde sind jedoch in der Lage, die Rechtevergabe individuell auf Basis Ihres eigenen Berechtigungskonzepts zu vergeben.

Personio setzt zur Gewährleistung einer angemessenen Verfügbarkeit ein Backup-Konzept für die Datenbank mit den darauf gespeicherten Daten des Auftraggebers sowie das Speichermedium mit entsprechenden gespeicherten Dokumenten nach dem Stand der Technik um. Die Backups der Datenbank-Systeme werden ausschließlich verschlüsselt gespeichert. Damit ist keine Durchführung eigener Backups durch den Kunden notwendig. Es werden regelmäßige Restore-Tests durchgeführt, um sicherzustellen, dass die Backups ordnungsgemäß gespeichert wurden und im Falle eines Falles wiederherstellbar sind.

Im unwahrscheinlichen Fall eines Totalausfalls des Systems ist durch die redundante Auslegung der Rechenzentren (Produktiv- und Backup-Daten) sichergestellt, dass Ihre Daten nicht verloren gehen. In diesem Falle werden wir entsprechend unseres Notfallplans/ Disaster Recovery Konzepts die schnellstmögliche Wiederherstellung sicherstellen.

Wir führen regelmäßige Audits unserer Organisation und Produkt auf Basis der gesetzlichen Anforderungen zum Datenschutz durch. Die Ergebnisse dieser Audits nehmen wir zum Anlass, um Maßnahmen zu ergreifen, unsere Dokumentationen, Prozesse, Strukturen oder Funktionalitäten sowie technischen und organisatorischen Maßnahmen weiterzuentwickeln. Die Zusammenfassung des letztmaligen Audits mit der Bitkom finden Sie hier.

Führt Personio auch Schwachstellenscans oder Penetrationstests durch?

Weiterhin führen wir regelmäßig interne Schwachstellenscans zur Überprüfung unserer Anwendung und Infrastruktur durch. Zudem beauftragen wir in regelmäßigen Abständen einen externen Dienstleister mit der Durchführung von Penetrationstests, um unsere Systeme und Anwendungen auf Fehler und Schwachstellen zu untersuchen. Da uns die Sicherheit unserer Systeme und Anwendung und die Angriffserkennung äußerst wichtig ist, setzen wir dabei auf den IT-Sicherheitsdienstleister Cobalt. Die Ergebnisse des letzten Tests teilen wir gerne auf Anfrage mit Ihnen.