Datenschutz & IT Sicherheit bei Personio

Datenschutz und Informationssicherheit sind zentraler Bestandteil der Produkte und Dienstleistungen von Personio. Der Schutz Ihrer Daten und Ihr Vertrauen sind uns sehr wichtig. Daher haben wir technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung implementiert, welche wir kontinuierlich weiterentwickeln.

Wir orientieren uns dabei an den gesetzlichen Rahmenbedingungen der Europäischen Datenschutz-Grundverordnung (EU DS-GVO), sowie gängigen Standards und Richtlinien wie der ISO/IEC 27001 und dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik.

Logo Bitkom Consult
Teilnehmer der Allianz für Datensicherheit
secuvera Logo
ggd-mitglied

Allgemeines zum Datenschutz

  • Hat Personio einen Datenschutzbeauftragten bestellt?

    Bei der Beratung in Datenschutzfragen sowie Unterstützung als betrieblicher Datenschutzbeauftragter setzen wir auf die Dienste der Bitkom Servicegesellschaft mbH, einem der führenden Beratungsunternehmen in Deutschland rundum alle Themen der Digitalwirtschaft:

    Bitkom Servicegesellschaft mbH, Albrechtstraße 10, 10117 Berlin.

    Dabei arbeiten wir mit Herrn Tobias Göldner, langjähriger Berater im Bereich Datenschutz bei Bitkom Consult und zertifizierter Datenschutzbeauftragter (GDDCert.), zusammen.

    Sofern Sie Fragen zum Thema Datenschutz bei Personio haben, wenden Sie sich bitte an datenschutz@personio.de.

  • Wie stellt Personio ansonsten sicher, dass mit der Auftragsverarbeitung betraute Mitarbeiter mit den gesetzlichen Bestimmungen zum Datenschutz vertraut sind?

    Zum einen werden alle Mitarbeiter von Personio auf das Datengeheimnis bzw. den Datenschutz im Allgemeinen verpflichtet und mit den entsprechenden Konsequenzen im Falle eines Verstoßes vertraut gemacht.
    Darüber hinaus werden regelmäßige Schulungen und Sensibilisierungsmaßnahmen zum Umgang mit personenbezogenen Daten und Datenschutz durchgeführt und dabei auch auf gesetzliche Neuerungen wie die EU Datenschutz-Grundverordnung (EU DS-GVO) eingegangen.

  • Was unternimmt Personio auf organisatorischer Ebene noch, um den Schutz der personenbezogenen Daten und die Sicherheit der IT-Systeme zu gewährleisten?

    Personio orientiert sich organisatorisch an den Vorgaben der ISO/IEC 27001 und strebt die kontinuierliche Verbesserung der Prozesse und Strukturen im Datenschutz und der Informationssicherheit an. Neben der Bestellung eines Datenschutzbeauftragten und der regelmäßigen Schulung von Mitarbeitern hat Personio zudem einen internen IT Sicherheitsverantwortlichen angestellt, um der Sicherheit bei allen Verarbeitungsprozessen und internen Vorgängen höchste Priorität beizumessen.
    Des Weiteren arbeitet Personio eng mit wesentlichen Entscheidungsträgern und Gremien im Datenschutz und der IT-Sicherheit zusammen und ist unter anderem Mitglied der Gesellschaft für Datenschutz und Datensicherheit e.V., der Allianz für Cybersicherheit und des Bitkom e.V.

  • Was passiert, wenn es zu einer Datenpanne bei Personio kommt?

    Sollte es wider Erwarten zu einer Datenpanne bei Personio kommen, bei der personenbezogene Daten eines Kunden betroffen sind und die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten der Mitarbeiter des Kunden führt, wird dies Personio unverzüglich dem betroffenen Kunden mitteilen, sodass dieser seinen gesetzlichen Mitteilungspflichten an die Aufsichtsbehörde und die Betroffenen nachkommen kann.

  • Ist die Anwendung nach den Maßgaben zum Datenschutz durch Technikgestaltung entwickelt und datenschutzfreundlich voreingestellt?

    Ja, Datenschutz ist integraler Bestandteil unserer Produktstrategie und damit achten wir bei der Entwicklung unserer Features bereits auf Prinzipien wie Datensparsamkeit sowie den Einsatz von Maßnahmen nach dem Stand der Technik zur Sicherstellung eines angemessenen Schutzniveaus. Im Rahmen der Vorbereitungen auf die EU DS-GVO haben wir zudem die gesamte Anwendung hinsichtlich der Voreinstellungen überprüft und soweit angepasst, dass sie ein höchstmögliches Niveau an Datenschutzfreundlichkeit bei gleichzeitiger Nutzerfreundlichkeit erreicht. Zudem sind die Einstellungen grundsätzlich so konzipiert, dass der Kunde sie nach seinen Bedürfnissen anpassen kann. Um dies auch fortlaufend zu gewährleisten, haben wir zudem einen Prozess definiert, um gesetzliche Anforderungen kontinuierlich in den Produktentwicklungsprozess einzuspeisen und die Anwendung daraufhin in regelmäßigen Abständen zu überprüfen.

  • Ist die Anwendung konform nach der EU Datenschutz-Grundverordnung (EU DS-GVO)?

    Wir gehen grundsätzlich davon aus, dass wir bereits jetzt die wesentlichen Anforderungen für die EU DS-GVO erfüllt haben. Darunter fallen neben den oben genannten Anforderungen des Art. 25 EU DS-GVO zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen auch die Unterstützung des Kunden bei der Wahrung der Betroffenenrechte wie Recht auf Löschung, Auskunftsrecht oder Recht auf Datenübertragbarkeit (Kapitel 3 EU DS-GVO). So kann der Kunde Bewerberdaten sowohl automatisch wie manuell löschen und Mitarbeiterdaten entweder sperren oder komplett und sicher löschen. Aufgrund des Self-Service Ansatzes von Personio können Mitarbeiter zudem selbst direkt jederzeit Einsicht in ihre digitale Personalakte nehmen. Zudem können Mitarbeiter ihre Daten in der Mitarbeiterliste im maschinenlesbaren Format selbst exportieren sowie ihre selbst eingebrachten Dokumente herunterladen. Nichtsdestotrotz setzen wir an verschiedenen Stellen innerhalb der Anwendung, der dahinter liegenden Infrastruktur, sowie auf organisatorischer Seite an, um für die EU DS-GVO gewappnet zu sein.

Verschlüsselung und Pseudonymisierung

  • Erfolgt die Übertragung unserer Daten verschlüsselt?

    Ja, alle personenbezogenen oder personenbeziehbaren Daten, die von der Personio-Anwendung an einen Client oder zu anderen Plattformen übertragen werden, müssen mittels Transport Layer Security (TLS) verschlüsselt werden, damit insbesondere auch HTTPS. Damit muss zunächst eine gesicherte Verbindung zwischen den beiden Verbindungspartnern (Client und Server) aufgebaut werden, bevor eine Datenübertragung erfolgen kann.

Vertraulichkeit & Integrität

  • Wo werden die Daten gespeichert?

    Personio setzt beim Hosting ihrer Software auf die Dienste der ProfitBricks GmbH (https://www.profitbricks.de/de/produkt/datenschutz/datenschutzpaket/). ProfitBricks ist ein deutscher Infrastructure-as-a-Service Provider, der auf Rechenzentren in Frankfurt und Karlsruhe zurückgreift. Die Produktiv-Daten befinden sich in Frankfurt, die Backup-Daten in Karlsruhe. Beide Rechenzentren sind ISO/IEC 27001 zertifiziert und erfüllen somit unsere hohen Anforderungen an die physische Sicherheit der Daten unserer Kunden.

  • Wer kann bei Personio und ihren Dienstleistern auf Kundendaten zugreifen?

    Grundsätzlich haben weder Mitarbeiter in den Rechenzentren noch bei ProfitBricks Zugriff auf Ihre Daten. Auf Seiten von Personio nehmen nur unser DevOps Team (serverseitig) sowie unsere Produktverantwortlichen und die Mitarbeiter des Customer Success Teams (kundensystemseitig) anlassbezogen Zugriff. Die ist notwendig, um bei der initialen Einrichtung des Accounts sowie bei der Bearbeitung von Serviceanfragen zu unterstützen. Die Vergabe von Zugriffsrechten erfolgt protokolliert und nach dem “Need-to-Know”-Prinzip. Zusätzlich ist der Zugriff auf Kundensysteme protokolliert.

  • Wie stellt Personio sicher, dass keine Unbefugten Zugriff auf die Systeme des Kunden nehmen?

    Personio setzt serverseitig ein host-basiertes Angriffserkennungssystem zur Überwachung von Parametern wie auffälligen Log-Einträgen, Signaturen bekannter Rootkits und Trojaner, Auffälligkeiten im Device File System, oder klassischen Bruteforce-Angriffen ein. Diese Parameter werden regelmäßig auf Auffälligkeiten untersucht. Im Falle einer Auffälligkeit werden die zuständigen Mitarbeiter im Betrieb und Entwicklung sofort informiert, um Gegenmaßnahmen zu ergreifen. Zudem werden anwendungsseitig alle wesentlichen Aktivitäten (dabei insbesondere Change-, Delete-, Update-Operationen) protokolliert, um unautorisierte Zugriffe und Veränderungen an Daten auf Anfrage nachweisen zu können.

  • Wie erfolgt die Benutzerauthentifizierung?

    Zugänge erfolgen ausschließlich über personalisierte Benutzeraccounts, die eindeutig einer Person zugeordnet sind. Die Anmeldung erfolgt mit Benutzernamen und einem Passwort, welches bei initialem Login entsprechend der in der Anwendung implementierten sicheren Passwort-Richtlinie geändert werden muss. Zusätzlichem empfehlen wir unseren Kunden die Verwendung der 2-Faktor-Authentifizierung, um ein höheres Schutzniveau zu erreichen.

  • Wer hat Zugriff auf welche Daten auf Seiten des Kunden?

    Die Zugriffsrechte sind grundsätzlich so konzipiert, dass die Anforderungen des Art. 24 EU DS-GVO nach datenschutzfreundlichen Voreinstellungen gewahrt sind. Dies bedeutet, dass neu angelegte Mitarbeiter “per default” keine Rechte über die Bearbeitung des eigenen Profils hinaus haben. Sie als Kunde sind jedoch in der Lage, die Rechtevergabe individuell auf Basis Ihres eigenen Berechtigungskonzepts zu vergeben.

Verfügbarkeit und Belastbarkeit

  • Welche Mechanismen setzt Personio ein, um die Verfügbarkeit zu gewährleisten?

    Neben der oben genannten geo-redundanten Auslegung der Server-Infrastruktur in Bezug auf Produktiv-Daten und Backups sowie der physischen Sicherheit der Rechenzentren (bspw. unterbrechungsfreie Stromversorgung, Alarmanlage, Brandmeldeanlage etc.) und des Betreibens eines kontinuierlichen Kapazitätsmanagements zur Überwachung der genutzten und Verteilung notwendiger Ressourcen planen wir zur Sicherstellung der Verfügbarkeit unseres Dienstes die Verwendung der Dienste der Myra Security GmbH. Damit schützen wir unsere Infrastruktur vor Überlastungsangriffen (so genannten Distributed Denial-of-Service (DDoS) Attacken) von Hackern, Botnetzen oder anderer Schadsoftware, die darauf abzielen, unerlaubten Zugriff auf sensible oder personenbezogene Daten zu nehmen. Myra ist einer der führenden Anbieter für Web-Sicherheit und Web-Performance. Das Unternehmen sitzt ebenfalls in München und verfügt über namhafte Referenzen wie Sixt, Baur oder Bugatti, und arbeitet zudem mit der deutschen Bundesregierung zusammen. Nähere Informationen zur Zusammenarbeit mit Myra finden Sie hier.

Wiederherstellbarkeit

  • Was geschieht mit den Kundendaten, wenn es zu einem Totalausfall unseres Systems, bspw. durch eine Naturkatastrophe oder Ähnlichem, kommt?

    Im unwahrscheinlichen Fall eines Totalausfalls des Systems ist durch die redundante Auslegung der Rechenzentren (Produktiv- und Backup-Daten) sichergestellt, dass Ihre Daten nicht verloren gehen. In diesem Falle werden wir entsprechend unseres Notfallplans/ Disaster Recovery Konzepts die schnellstmögliche Wiederherstellung sicherstellen.

Zweckbindung

  • Wem gehören die Daten?

    Der Kunde ist und bleibt “Herr der Daten” und verantwortliche Stelle im Sinne des Art. 24 EU DS-GVO. Dies bedeutet insbesondere auch, dass der Kunde für die Wahrung der Betroffenenrechte (Kapitel 3 EU DS-GVO) verantwortlich ist. Personio ist Auftragsverarbeiter und verarbeitet Ihre Daten damit ausschließlich auf Ihre Weisung und zu den im Rahmen des Vertrags zur Auftragsverarbeitung geregelten Zwecke.

  • Was passiert mit den Daten, wenn der Kunde den Vertrag beendet oder Personio den Geschäftsbetrieb einstellt?

    Bei Beendigung der Geschäftsbeziehung können weisungsberechtigte Personen des Kunden die Herausgabe der Daten in einem maschinenlesbaren Format beantragen. 30 Tage nach Beendigung des Vertrags werden anschließend die Daten unwiederbringlich gelöscht. Grundsätzlich ergibt sich im unwahrscheinlichen Fall der Einstellung des Geschäftsbetriebs durch Personio keine Abweichung hiervon, da der Kunde “Herr der Daten” und Personio lediglich Auftragsverarbeiter ist und damit über die personenbezogenen Daten nicht anderweitig verfügen kann/ wird.

Verfahren zur Überprüfung der Sicherheit

  • Wie oft und durch wen wird die Sicherheit der Verarbeitung überprüft?

    Zum einen führen wir regelmäßige Audits unserer Organisation und Produkt auf Basis der gesetzlichen Anforderungen zum Datenschutz durch, in der Regel einmal pro Jahr. Die Ergebnisse dieser Audits nehmen wir zum Anlass, um Maßnahmen zu ergreifen, unsere Dokumentationen, Prozesse, Strukturen oder Funktionalitäten sowie technischen und organisatorischen Maßnahmen weiterzuentwickeln.

  • Führt Personio auch Schwachstellenscans oder Penetrationstests durch?

    Weiterhin führen wir regelmäßig interne Schwachstellenscans zur Überprüfung unserer Anwendung und Infrastruktur durch. Zudem beauftragen wir in regelmäßigen Abständen einen externen Dienstleister mit der Durchführung von Penetrationstests, um unsere Systeme und Anwendungen auf Fehler und Schwachstellen zu untersuchen. Da uns die Sicherheit unserer Systeme und Anwendung und die Angriffserkennung äußerst wichtig ist, setzen wir dabei auf den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) – zertifizierten IT-Sicherheitsdienstleister secuvera GmbH.

Aktuelle Blog-Beiträge zum Thema Datenschutz

Fragen & Kontakt