Cloud als sicherer Speicherplatz für Mitarbeiterdaten

Bereits heute speichern zahlreiche Unternehmen ihre Daten in der Cloud. Doch was genau bedeutet das überhaupt? Generell versteht man unter Cloud-Computing die Nutzung von Speicher- und Rechenkapazitäten, die an einem entfernten Ort für die Nutzer bereitstehen. Im Vergleich zu herkömmlichen Speichermedien wird für die Ablage von Daten in einem Cloudspeicher keinerlei zusätzliche Hardware benötigt und es tritt das Dienstleistungsverhältnis mit einem Cloud-Anbieter an die Stelle des Betreibens eigener Informationstechnologie. Um Daten in einem Cloud-Speicher ablegen zu können, bedarf es einen Cloud-Anbieter, der auf seinen Storage-Servern Platz für die eigenen Daten zur Verfügung stellt. Das Hoch- bzw. Herunterladen und Verwalten kann ausschließlich per Zugriff über den jeweiligen Clouddienst erfolgen, genauer gesagt über den Browser. Immer häufiger legen Unternehmen auch sensible Personaldaten wie Arbeitsverträge, Fehlzeiten, Arbeitszeiten und andere in der Cloud ab. Doch vor allem HR-Verantwortliche haben Bedenken sich mit ihren sensiblen personenbezogenen Daten in die Wolke zu wagen. Denn das bedeutet, die Daten auszulagern, und wer etwas auslagert, der gibt vermeintlich Verantwortung aus der Hand. Diese Vorbehalte sind unbegründet. Bei einem geprüften, professionellen Cloud-Anbieter sind personenbezogene Daten in der Regel sicherer als im eigenen Unternehmen.

Vor dem Gang in die Cloud ist eine Risikoabschätzung unerlässlich, denn Maßnahmen für Datensicherheit und Datenschutz sind gesetzlich vorgeschrieben. Langfristig führt aber kaum ein Weg an der Cloud vorbei, denn es geht längst nicht mehr ausschließlich um die Einsparung von Kosten. Der Zugang zur Cloud erfolgt über eine intuitiv zu bedienende Benutzeroberfläche, sodass in der Regel keine tagelange Schulung der User erforderlich ist. Zudem ist die Software immer auf dem aktuellsten Stand und verfügt über die nötigen Sicherheitsupdates. Denn nicht jedes Unternehmen kann sich einen eigenen IT-Security-Experten leisten. Darüber hinaus besteht bei der Lagerung im eigenen Haus immer die Gefahr, dass bei einem Brand, Wasserschaden oder Einbruch alle Daten unwiderruflich verloren gehen. Fakt ist, Cloud-Computing bietet dem Personalwesen großes Potenzial, Prozesse zu verbessern und Kosten zu sparen. Immer wenn es um personenbezogene, also besonders schützenswerte Daten geht, ist größte Vorsicht geboten. Dafür müssen Unternehmen bestimmte Vorkehrungen treffen.

Die Wahl des Cloud-Anbieters ist entscheidend. Ihn gilt es bezüglich Sicherheits- und Datenschutzanforderungen zu prüfen. Ein Anhaltspunkt liefert zum Beispiel die Sicherheitszertifizierung nach ISO 27001, die die Einhaltung von grundlegenden IT-Sicherheitsstandards garantiert. Auch der Standort des Anbieters ist erheblich. Hat er seinen Sitz in Deutschland, unterliegt er den strengen deutschen Datenschutzrichtlinien, denn deutsche Unternehmen müssen selbst sicherstellen, dass die ansässigen Datenschutzrichtlinien eingehalten werden. Bei der Auswahl eines Cloud-Anbieters ist außerdem darauf zu achten, dass die Daten in zwei aktiven sowie räumlich voneinander getrennten, zertifizierten Rechenzentren archiviert werden. Ebenso sollte Wert auf die jeweiligen Storage- und Backup-Systeme gelegt werden, welche die Daten an das jeweils andere Rechenzentrum replizieren und damit sichern. Professionelle Rechenzentren warten mit einer Vielzahl von Vorkehrungen auf, die die vom Unternehmen getroffenen Maßnahmen meist weit überschreiten. Darüber hinaus werden oft detaillierte Service Level Agreements (SLAs), die den Kunden höchste Dienstleistungs- und Sicherheitslevel in Einklang mit geltenden Gesetzen garantieren, angeboten.

§ 11 des Bundesdatenschutzgesetzes listet zehn Stichpunkte auf, die in jedem Nutzungsvertrag mit einem Cloud-Anbieter unbedingt geregelt sein sollten. Dazu gehören:

• Gegenstand und Dauer des Auftrages
• Umfang, Art und Zweck der Erhebung, Verarbeitung und Nutzung der Daten,
• die technischen und organisatorischen Maßnahmen zum Datenschutz
• die Berichtigung, Löschung und Sperrung von Daten,
• das Weisungsrecht des Auftraggebers gegenüber dem Auftragnehmer
• eine Exit-Strategie, d.h. insbesondere die Vereinbarung verbindlicher Löschfristen bei Beendigung des Cloud-Vertrages.

Wichtig für das Auslagern sensibler Personaldokumente in die Cloud ist vor allem auch eine sichere und zuverlässige Datenübertragung auf dem Server.

Jeder Personalchef muss außerdem dafür sorgen, dass nur berechtigte Personen auf die jeweiligen Personaldokumente zugreifen können. Das regelt ein definiertes Berechtigungskonzept. Für jeden Benutzer werden spezielle Rollen und genaue Zugriffsrechte definiert.

Mit der Entscheidung für die Cloud, übergibt das Unternehmen die Daten an Profis. Als Spezialisten können Cloud-Anbieter einen reibungslosen Betrieb ohne Datenverlust auch im Katastrophenfall garantieren. Viele Unternehmen werden zukünftig die Auslagerung der HR-Daten wählen, um einerseits ihre Risiken und Compliance-Verpflichtungen zu verringern und um andererseits sich schnell und flexibel den Marktbedingungen anpassen zu können.