GDPR und Zeiterfassung

GDPR und Zeiterfassung

Am 25. Mai 2018 findet die größte Veränderung im Datenschutzbereich seit dem Internet statt. Durch die neuen Datenschutzregeln fällt bei verschiedenen Unternehmen sehr viel Arbeit an. Alle Personaldaten müssen geschützt werden, bestimmte Daten dürfen nicht mehr erhoben werden und für fast alle Datenprozesse müssen Protokolle geschrieben werden. Die Arbeitgeber müssen auch gut informiert sein, denn es werden immer strengere Sicherheitsanforderungen in Bezug auf Personaldaten gestellt und Arbeitnehmer werden hinsichtlich der Daten auch mehr Rechte erhalten.

Die GDPR geht auf die Direktive 95/46/EG zurück, eine ältere Richtlinie, die jetzt ersetzt wird.

GDPR und Protime

Als Marktführer für ZeiterfassungPlanungZutrittskontrolle und Social Software ist Protime in vielen Bereichen aktiv, die von der GDPR-Regelung betroffen werden.

Die GDPR (die sog. General Data Protection Regulation) betrifft den Datenschutz von Einwohnern der Europäischen Union. Kurz zusammengefasst bedeutet dies, dass Unternehmen, die keine Niederlassung in der EU haben, jedoch Dienstleistungen für EU-Bürger erbringen, die Regelung einhalten müssen. Die Lösungen von Protime können weltweit verwendet werden und werden stets den örtlichen Rechtsvorschriften entsprechen.

In der neuen Regelung wird dies wie folgt beschrieben:

The GDPR applies to all organisations – located inside or outside the EU – which control personal data (data controlers, die Anwender der Protime-Software) or process data(data processors, Protime selbst), of EU citizens.

Software

Die Anpassungen durch die GDPR sind vor allem technischer Art. Hinsichtlich der Brauchbarkeit wird sich nichts oder kaum etwas an der Protime-Software ändern – im Gegensatz zur Speicherung der Daten auf „der Rückseite“ der Software, die sich schon ändern wird. Personenbezogene Daten, die um IP-Adressen oder mobile IDs ergänzt wurden, müssen der GDPR-Regelung und -Sicherung entsprechen. Dies ist einer der Prozesse, mit denen sich Protime gegenwärtig befasst. Die Daten werden beispielsweise durch Scripting, Hashing und Verschlüsselung geschützt. Sehr viele Felder wurden bereits „gehasht“.  Durch die Anpassung dieser Daten erfolgt deren Pseudonymisierung.   Wie mit diesen Daten umgegangen wird, muss beschrieben werden. 

Biometrische Daten, Fingerscan

Für den Zugang oder Stechuhren mit biometrischen Daten werden durch die GDPR spezielle Regeln auferlegt. Dies sind sensible Informationen, die besser geschützt und ausdrücklich genehmigt werden müssen.  Es ist sehr gut möglich, dass Ihre Arbeitnehmer dafür, dass biometrische Daten für den Zugang zu bestimmten Bereichen verwendet werden, unterschreiben müssen. Ab der Einführung der GDPR wird die betreffende Festlegung Pflicht.µ

Was wurde bereits getan?

In der Vergangenheit wurde ein „Policy Framework“ erstellt. Darin wird genau beschrieben, welcher Schutz auf Protime anwendbar ist. In den kommenden Monaten wird an diesem Framework weitergearbeitet.

Protime möchte so schnell wie möglich allen GDPR-Anforderungen entsprechen. Folgende Schritte wurden bereits unternommen:

  • Erneuertes Datencenter mit privater Cloud-Umgebung
  • Neue, sichere SFTP-Server
  • Noch mehr Tests hinsichtlich Einbruchschutz
  • Security by Design: Die Software muss so sicher wie möglich entworfen werden. Dies erfolgt mit bestimmten bewährten Verfahren („Best Practices“) auf Basis von Frameworks.

Auch im internen Bereich wurden neue Schritte gesetzt. So hat die interne IT von Protime viele Anpassungen an den Laptops durchgeführt, entspricht der Schutz dem aktuellen Stand der Technik und sogar das Gast-WLAN wurde geändert, weil es nicht mehr ohne Weiteres öffentlich gemacht werden darf.

Was wird noch geschehen?

Der Schutz ist bereits sehr gut, im Bereich der GDPR gibt es jedoch einige Änderungen, die noch durchgeführt werden müssen. Dies wird wahrscheinlich wenig Folgen für die Protime-Software haben. Unter Vorbehalt: Für relativ neue Anwender wird die neue Passwortregelung bereits verwendet. Diese neue Regelung wird in Rücksprache mit den Anwendern bei den anderen Anwendern eingeführt. Auch die Regelung für „Admins“ (Datencenter-Engineers) wird verschärft. Außerdem werden in der Cloud noch mehr Tests im Bereich Einbruchschutz durchgeführt und wird der Schutz noch erhöht.

Auch im internen Bereich wird Protime zusätzliche Schritte unternehmen, um die Datensicherheit weiterhin gewährleisten zu können.

Was kann schiefgehen?

Im technischen Bereich wird die Protime-Software der GDPR komplett entsprechen.  Dies betrifft jedoch die SaaS-Benutzer.  Wenn Sie noch die „alte“ Protime-Software auf einem eigenen Server verwenden, empfiehlt es sich, Kontakt mit Ihrem Account-Manager wegen eines Upgrades oder einer Konvertierung zu SaaS aufzunehmen.

Die größte Gefahr sind die Arbeitnehmer. Nehmen wir an, dass Ihr Arbeitnehmer seinen PC nicht ausschaltet und nicht abschließt, können andere Personen die Daten einsehen und gibt es ein Datenleck. Auch ist es möglich, dass Arbeitnehmer sehr einfache Passwörter verwenden oder ihr Protime-Passwort per E-Mail an einen Kollegen schicken. Tun Sie dies nicht.

Bei Fragen über Protime und die GDPR können Sie stets Kontakt mit Ihrem Protime Account-Manager aufnehmen oder das Kontaktformular verwenden.