Laptop mit Personio.jpg
 

Datenschutz @Personio
 

Update zu den Vorbereitungen für die neue EU DS-GVO von CEO Hanno Renner

**for English-version please click here**

 

Liebe/r Leser/in,

wie Sie wissen, tritt am 25. Mai 2018 EU-weit eine neue Datenschutz-Grundverordnung (EU DS-GVO) in Kraft. Wir haben bereits in unserem Blog detailliert über deren Auswirkungen auf HR berichtet; weiterführend finden Sie hier unseren Leitfaden zum Datenschutz in der Personalarbeit als PDF.

Als Anbieter einer Software, die höchst sensible Mitarbeiterdaten verarbeitet, hat die Datenschutz-Grundverordnung natürlich noch weitere Konsequenzen. Da wir Datenschutz schon von Anfang an als integralen Bestandteil unserer Produktstrategie definiert haben, sehen wir die neue Verordnung weniger als Einschränkung, sondern als Chance, diese Kernkompetenz noch weiter auszubauen. Daher arbeiten wir schon seit über einem Jahr daran, Personio auf technischer, prozessualer und organisatorischer Seite auf die neue Verordnung vorzubereiten.

Im Oktober hatten wir in folgendem Blog-Artikel bereits einen Ausblick auf unsere Maßnahmen zur Vorbereitung auf die EU DS-GVO gegeben. Ich möchte diese E-Mail nun zum Anlass nehmen, Ihnen einen ausführlichen Überblick über die wichtigsten Veränderungen und entsprechende Beispiele zu geben:

 

Technische Maßnahmen mit dem Ziel “Privacy by default and design”

  • Wir haben alle Funktionen hinsichtlich aktueller Anforderungen an guten Datenschutz durchleuchtet und diverse Änderungen vorgenommen um (Vor-)Einstellungen datenschutzfreundlicher zu gestalten. Hierzu zählen bspw. ein Whitelisting von Attributen, die über unsere API übergeben werden, private Kalender-Einladungen für Interviews und Feedbackgespräche, die Möglichkeit alle Erinnerungs-E-Mails für Ihren Account abzuschalten und die automatisierte Anonymisierung personenbezogener Bewerberdaten.
  • Weiterhin implementieren wir eine End-to-End Verschlüsselung besonders sensibler Daten sowie eine serverseitige Verschlüsselung Ihrer Daten und Dokumente.

Erhöhung der Datensicherheit mit Unterstützung von Experten

  • Mit der Einbindung der Dienste von Myra Security (gemäß der Ankündigung vom 22.12.2017), welche u.a. auch die Server der Bundesregierung sichert, schützen wir Ihre Daten vor DDoS-Attacken (Distributed Denial of Service) und sichern auch bei Angriffen auf Personio eine hohe Verfügbarkeit. 
  • Wir führen derzeit einen Penetrationstest mit Hilfe des erfahrenen, BSI-zertifizierten Anbieters Secuvera GmbH durch, um unsere Applikation und Infrastruktur auf Schwachstellen zu untersuchen und potentielle Lücken für Angriffe von außen zu schließen.

Verbesserung der Verfügbarkeit - Umzug unserer Serverinfrastruktur zu AWS in Frankfurt

  • Im Rahmen der Vorbereitung auf die DS-GVO haben wir u.a. auch nochmals alle Subunternehmen überprüft und hinterfragt, inwieweit diese Partnerschaften ein langfristig technisch skalierbares und datenschutzkonformes Setup ermöglichen. Wie Sie sicherlich mitbekommen haben, gab es in den letzten Monaten aufgrund unseres starken Wachstums vermehrt Server-Probleme, welche zu verlängerten Ladezeiten und temporärer Nichtverfügbarkeit des Systems geführt haben. 
  • Um diesbezüglich in Zukunft auch mit weiterem Wachstum eine stabile Bereitstellung unseres Services sicherstellen und gleichzeitig die Anforderungen bezüglich Datenschutz und IT-Sicherheit besser umsetzen zu können, haben wir uns dazu entschieden, unsere Infrastruktur auf Amazon Web Services (AWS) umzuziehen. Da uns das Thema “Datenschutz made in Germany” sehr wichtig ist, bleibt unser Serverstandort, trotz des Anbieterwechsels, in Frankfurt. Weitere Informationen zu der zukünftigen Infrastruktur finden sie hier.

Prozessverbesserungen im Kundenservice

  • Um auch den Kundenservice datenschutzfreundlicher zu gestalten, ergreifen wir Maßnahmen zur Unterbindung von Social Engineering. Im Zuge dessen werden Sie supportberechtigte Mitarbeiter in Personio hinterlegen können. Diese erhalten jeweils einen Telefon-PIN, den wir bei Anrufen im Support anfragen, um sicherzustellen, dass Ihre Daten nicht an unbefugte Dritte weitergegeben werden.
  • Sie werden die Möglichkeit haben, die Zugriffsrechte auf Ihren Personio-Account durch unsere Service-Mitarbeiter zeitlich zu beschränken.
  • Alle Mitarbeiter, die mit Kundendaten in Kontakt kommen, erhalten regelmäßige, interne Datenschutz Schulungen, um fortwährend für das Thema Datenschutz sensibilisiert zu sein.


Wie eingangs erwähnt, ist das Thema Datenschutz für uns nicht nur durch die neue DS-GVO von Bedeutung, sondern seit jeher ein zentrales Thema. Daher werden wir über die Anforderungen der DS-GVO hinaus ein Information Security Management System implementieren und dieses anhand des global anerkannten Standards ISO/IEC 27001 zertifizieren lassen. Wir bereiten dies parallel zu den Vorbereitungen für die EU DS-GVO vor und planen die entsprechende Zertifizierung mit dem TÜV Rheinland durchzuführen. Weitere Informationen zum Thema Datenschutz bei Personio finden Sie auch unter www.personio.de/datenschutz sowie im Auszug unserer DS-GVO Roadmap (zum Vergrößern auf das Bild klicken).

 

Bildschirmfoto 2018-03-20 um 14.00.46.png

 

Ich hoffe Ihnen damit einen ausführlichen Überblick verschafft zu haben. Wir werden in den kommenden Wochen bezüglich weiterer Schritte, wie dem Abschluss unseres aktualisierten Vertrags zur Auftragsverarbeitung sowie technischer und organisatorischer Maßnahmen, auf Sie zukommen.

Beste Grüße

Bildschirmfoto 2017-07-20 um 10.21.17 (1).png

Hanno Renner
CEO und Co-Founder

 
 
social_icons_facebook.png
Social Icon Twitter
Social Icon Xing
Social Icon LinkedIn
 

E-Mail wird nicht richtig dargestellt? Hier geht's zur Web-Version.

Falls Sie keine E-Mails mehr erhalten möchten, können Sie sich hier abmelden.

 

Personio SE & Co. KG |  Seidlstraße 3 |  80335 |  München  | Deutschland