Die Personalbranche arbeitet mit personenbezogenen Daten, die bei einem Leck enorme Konsequenzen haben können, sagen Compliance-Berater. Insbesondere Führerscheine, Lebensläufe und personenbezogene Daten von Mitarbeitern sind von Datenlecks betroffen. Master International, einer der führenden europäischen Anbieter von HR-Assessment-Tools, war einer der ersten Anbieter in seinem Bereich, der auf die Erlangung der strengsten Konformitätserklärung hinarbeitete. „Ein Subunternehmer muss der DSGVO gerecht werden“, sagt MHI Vestas.
Europäische Arbeitgeber hatten seit ihrem Inkrafttreten am 25. Mai 2018 ausreichend Zeit, um die allgemeine Datenschutzgesetzgebung (DSGVO) der EU einzuhalten. In der Zwischenzeit sind Hunderttausende Fälle bei Gerichten anhängig und es wurden bereits für mehrere Hundert Millionen Euro Strafen verhängt.
In der Personalbranche gab es hauptsächlich Lecks bei Lebensläufen und personenbezogenen Daten der Mitarbeiter.
"Ein Verlust von HR-Daten, wie z. B. persönliche Informationen über Mitarbeiter und Bewerber, kann leicht zu der schlimmsten Katastrophe werden, die ein Unternehmen jemals in Bezug auf Geldstrafen und Reputation erleben wird", sagt Bo Thygesen, Partner und Berater bei ACI, einem IT-Beratungsunternehmen Unternehmen, das im Bereich Risikomanagement und Compliance tätig ist.
Das Unternehmen hat Master International im Zusammenhang mit der Erreichung der strengsten Form der Einhaltung der DSGVO beraten: ISAE 3000 Typ II, eine jährliche Erklärung zum Schutz personenbezogener Daten, mit extern geprüften Unterlagen, um die Einhaltung der Richtlinien für mehrere Messungen während des gesamten Jahres sicherzustellen, d.h. ein fundierter Nachweis der Einhaltung der DSGVO-Richtlinien.
Große Unternehmen und der öffentliche Sektor fordern dies
Damit das Unternehmen die ISAE 3000 Typ 2-Erklärung erhalten kann, hat Master International mehrere Jahre in Vorbereitung verbracht, einschließlich einer jährlichen ISAE 3000 Typ 1-Zulassung für zwei Jahre in Folge, während im vergangenen Jahr drei Mitarbeiter jede Woche mehrere Stunden gearbeitet haben, um die Erklärung zu erreichen. "Dies ist eine Notwendigkeit", sagt der CEO.
"Große Unternehmen verlangen von ihren Lieferanten eine Garantie für die sichere Datenverarbeitung. Und unsere Kunden des öffentlichen Sektors haben es in den letzten 1 ½ -2 Jahren als Vorteil angesehen, dass wir eine Erklärung haben, die nicht nur behauptet, sondern die Einhaltung der DSGVO auch beweist. Als wir die etwas mildere Typ-1-Erklärung hatten, mussten wir jedes Mal eine Reihe von Fragen beantworten", sagt Jesper Broberg, CEO von Master International.
Master International ist einer der ersten Anbieter von HR-Tests, die eine ISAE Typ 2-Erklärung erreicht haben.
"Wir haben uns für eine ISAE 3000 Typ 2 Erklärung entschieden, um unseren Kunden die Gewissheit zu geben, ob sie selbst über ihre Subunternehmer in ihren HR-Prozessen der DSGVO gerecht werden", sagt Jesper Broberg.
MHI Vestas: Compliance ist zu einem Muss geworden
MHI Vestas arbeitet mit Master Dänemark für die Einstellung von Mitarbeitern zusammen.
Dazu gehören unter anderem Persönlichkeitstests von Bewerbern. "Es bietet ein schnelles und gutes Bild davon, mit wem Sie sprechen, und schafft eine gute Grundlage für den Dialog", sagt Michael Storm, Leiter der Personalbeschaffung bei MHI Vestas Offshore Wind. Ein Unternehmen, das mehr als 3500 Mitarbeiter beschäftigt und ein globaler Akteur in der Offshore-Windenergie ist.
Bei MHI Vestas stand die DSGVO im gesamten Unternehmen über einen Zeitraum von etwa 1,5 Jahren, sowohl bis zum als auch nach Inkrafttreten der Richtlinie im Jahr 2018 ganz oben auf der Agenda.
"Alle Abteilungen sind betroffen, aber die Personalabteilung befasst sich mit vielen sensiblen personenbezogenen Daten, was bedeutet, dass die Priorität der DSGVO bei uns überdurchschnittlich hoch ist", sagt Michael Storm
"Dies bedeutet, dass es ein "Muss" ist, der DSGVO gerecht zu werden, wenn Sie ein Subunternehmer bei uns sein möchten. DSGVO-Erklärungen wie ISAE 3000 erleichtern uns die Bewertung und wirken sich eindeutig positiv aus", sagt er.
Inforevision: Kleine Unternehmen priorisieren es ebenfalls.
Inforevision, welche die ISAE 3000-Typ-2-Erklärung von Master International geprüft hat, hat seit Mai 2018 eine steigende Nachfrage erfahren und mehrere Faktoren bestimmen die Motivation zur Einhaltung.
"Wenn Sie Daten im Auftrag von Kunden sammeln, verarbeiten und speichern, stellen wir fest, dass immer mehr Unternehmen eine ISAE 3000 Typ 2-Erklärung wünschen. Sogar kleine Unternehmen. Sie sehen darin einen Wettbewerbsvorteil und ihre Kunden fordern ihn. Und sie werden jedes Mal an das Risiko erinnert, wenn sie Nachrichten über Datenlecks und Strafen lesen. So sehen wir die Dinge in der Zukunft", sagt John Richardt Søbjærg, Partner und Wirtschaftsprüfer.
FAKTEN: Wie der ISAE 3000 Typ-2-Prozess von Master International durchgeführt wurde
Das IT-Beratungs- und Compliance-Unternehmen ACI plante einen Prozess mit ungefähr 48 Messungen, die Master International im Laufe des Jahres wiederholt durchführen musste. Einige wurden wöchentlich, einige monatlich durchgeführt, während andere alle sechs Monate oder jährlich durchgeführt wurden. Eine Messung könnte beispielsweise darin bestehen, zu überprüfen, ob der automatische Löschalgorithmus von Master International tatsächlich die Kandidaten gelöscht hat, deren Informationen wir nicht mehr besitzen durften.
Anschließend erstellte Inforevision einen Arbeitsplan, der individuell an Master International angepasst war, mit dem Ziel die gewünschten Dokumentationen zu sehen und zu überprüfen. Dann blieben sie einige Tage im Unternehmen und stellten spezifische Fragen zu Themen, für die sie eine Dokumentation vor Ort sehen möchten.
FAKTEN: Was ist eine ISAE 3000 Typ 2-Erklärung?
Eine "Typ 2"-Erklärung ist schwieriger zu erreichen als eine vom "Typ 1" und der Unterschied besteht hauptsächlich darin, dass eine Typ 1 Erklärung eine Momentaufnahme des Entwurfs und der Implementierung der Kontrollen des Unternehmens enthält.
Bei einer Typ 2 Erklärung prüft ein externer Prüfer, ob die Kontrollen über einen Zeitraum von typischerweise 12 Monaten wirksam waren.