Datenschutz bei HRworks

Höchste Sicherheitsstandards

Mit der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union wird insbesondere der Schutz personenbezogener Daten gestärkt. Gleichzeitig wird mit der Grundverordnung das Datenschutzrecht innerhalb der Europäischen Union vereinheitlicht und die über 20 Jahre alte Datenschutzrichtlinie (Richtlinie 95/46/EG) abgelöst.

Die Sicherheit Ihrer Daten hat für HRworks höchste Priorität. Daher kümmert sich HRworks um die ordnungsgemäße Umsetzung der Datenschutz-Grundverordnung. Insbesondere im Bereich Human Resources sind die neuen Anforderungen an die Sicherheit Ihrer Daten ein wichtiges Thema. Aus diesem Grund sorgt HRworks mit eine Reihe von aufeinander abgestimmten Sicherheitsmaßnahmen für höchste Sicherheitsstandards. Auf dieser Seite erfahren Sie, welche konkreten Maßnahmen wir bereits getroffen haben. Alles über den Umfang und Zweck der Verarbeitung von Daten auf hrworks.de erfahren Sie in der Datenschutzerklärung.

Auftragsverarbeitungsvertrag

Die Vereinbarung zur Auftragsverarbeitung wird Ihnen in Ihrem HRworks Zugang im Menü “Admin / Grundlagen / HRworks-Kundencenter” zum Download bereitgestellt. Masteradministratoren sowie Personen mit der Rolle “Kundencenter” haben Zugriff auf dieses Menü. Da nach der DSGVO das Schriftformerfordernis entfällt, können Sie die Vereinbarung mit uns bequem online in HRworks treffen.

Interessenten senden wir den Auftragsverarbeitungsvertrag gerne per Email zu. Sprechen Sie Ihren HRworks Ansprechpartner an.

Geprüfter Datenschutz bei HRworks

heyData trusted logo
Logo Bitkom Consult

 Die Datenschutzexperten von Bitkom Consult bestätigen: HRworks erfüllt die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) und bietet Datenschutz auf hohem Niveau.

So schützt HRworks Kundendaten

Ihre Daten sind Ihr Eigentum

Die von Ihnen in HRworks gespeicherten Daten sind Ihr Eigentum. Dementsprechend werden diese von HRworks behandelt. So lange Sie Kunde der HRworks GmbH sind, sind auch Ihre Daten in vollem Umfang sicher in HRworks gespeichert und für Sie zugänglich.

Als Kunde sind Sie verantwortliche Stelle im Sinne der DSGVO. Das bedeutet, dass Sie für die Wahrung der Betroffenenrechte verantwortlich sind. HRworks ist Auftragsverarbeiter und verarbeitet Ihre Daten damit ausschließlich im Rahmen der Softwarebereitstellung, auf Ihre Weisung und zu den im Rahmen des Vertrages zur Auftragsverarbeitung geregelten Zwecke. Ihre Daten werden für keine anderen Zwecke genutzt und insbesondere nicht an Dritte weitergegeben. Dazu ist HRworks gegenüber seinen Kunden vertraglich verpflichtet.

Zugriffskontrolle durch Rollen und Berechtigungen

Der Datenschutz beginnt bereits beim Softwaredesign. Ein integriertes Rollen- und Berechtigungskonzept regelt im Detail, welcher Mitarbeiter in Ihrem Unternehmen auf welche Datensätze zugreifen kann. Dadurch wird gewährleistet, dass nur berechtigte Nutzer Zugriff auf bestimmte Bereiche, wie beispielsweise Personendaten oder Konten, haben. Grundsätzlich sind die Rollen und Berechtigungen so konzipiert, dass die Anforderungen der DSGVO nach datenschutzfreundlichen Voreinstellungen gewahrt sind. Dies bedeutet, dass neu angelegte Mitarbeiter “per default” keine Rechte über die Bearbeitung der eigenen Stammdaten hinaus haben. Als Kunde vergeben Sie die Rollen und Berechtigungen individuell auf Basis Ihres Berechtigungskonzepts.

Zugriff auf Ihre Daten

Nur bei Systemfehlern, die einen Zugriff auf die Kundendaten erfordern, greifen Mitarbeiter von HRworks Operations auf diese zu. Die Vergabe von Zugriffsrechten erfolgt dabei immer nach dem “Need-to-Know”-Prinzip.

Unser Subunternehmer AWS stellt die Rechen-, Speicher-, Datenbank- und Netzwerkservices zur Verfügung, die HRworks ausgewählt hat. Auf diese Infrastruktur hat HRworks Sicherheitsmaßnahmen (Verschlüsselung) aufgebaut, die dafür sorgen, dass Mitarbeiter von AWS keinen Zugriff auf Ihre Daten haben.

Datenschutzmodus

Bildschirmübertragung und Remote Support

Kundennaher Support und maximaler Schutz von Personendaten schließen sich nicht aus. Benötigen Sie Hilfestellung durch das Support-Team und die Einsicht eines HRworks-Mitarbeiters in Ihr System, haben Sie die Möglichkeit den Datenschutzmodus zu aktivieren. Ist der Datenschutzmodus aktiv, sind alle personenbezogenen Daten in Ihrem Account anonymisiert und für den Consultant nicht einsehbar.

Service Zugang

Für die initiale Einrichtung Ihres Accounts sowie für die Bearbeitung von Serviceanfragen hat HRworks einen Service Zugang entwickelt, der standardmäßig im Datenschutzmodus ist. Personenbezogene Daten sind somit für den Mitarbeiter des Consulting-Teams zu keiner Zeit sichtbar.

Zwei-Faktor-Authentifizierung

Mit der optionalen Zwei-Faktor-Authentifizierung können Sie Ihren HRworks Account zusätzlich vor unbefugten Zugriffen schützen. Bei dieser Bestätigung in zwei Schritten ist neben dem persönlichen Passwort des Nutzers ein zusätzlicher, zweiter Faktor zur Authentifizierung notwendig. Der zweite Faktor zur Anmeldung in HRworks kann wahlweise durch eine E-Mail, über die Google Authenticator-App auf dem Smartphone oder über eine externe Hardwarekomponente, einen sogenannten YubiKey erzeugt werden.

Tägliche Datensicherung

Keine Angst vor Datenverlust, denn mit HRworks sind Sie auf der sicheren Seite. Die Datensicherung erfolgt mindestens einmal pro Tag. Somit werden Ihre Daten täglich und automatisch durch HRworks gesichert.

Protokollierung der Eingaben

Zusätzlichen Schutz bietet die in HRworks integrierte Protokollfunktion. Sowohl bei den Reisen als auch bei den Mitarbeiterstammdaten wird jeder einzelne Schritt durch HRworks automatisch protokolliert. So ist für Sie immer nachvollziehbar, wer wann welche Daten eingegeben, geändert oder gelöscht hat.

Servicestandort innerhalb der EU

Bereits seit 2009 nutzt HRworks die Dienste der Amazon Web Services. Dadurch ist es HRworks möglich, Kundendaten auf Servern in Rechenzentren mit den höchstmöglichen Sicherheitsstandards zu speichern. So kann auch bezüglich des Serverstandorts die Gewährleistung von maximalem Schutz garantiert werden.

Der von HRworks genutzte Serverstandort befindet sich innerhalb der Europäischen Union, im AWS Hochsicherheitszentrum in Irland.

Weitere, detaillierte Informationen zum Datenschutz durch AWS erhalten Sie unter: aws.amazon.com/de/compliance/gdpr-center 

Verschlüsselung der Daten

Sichere Übertragung

Für die Übertragung der Daten vom Server zum User nutzt HRworks das aktuelle Verschlüsselungsverfahren (SSL Verschlüsselung). Wie beim Onlinebanking können Sie HRworks so auf Basis des Sicherheitsprotokolls Secure Sockets Layer (SSL) unter maximalen Sicherheitsbedingungen verwenden.

Sichere Speicherung

Die ruhenden Daten der HRworks Kunden, die auf Servern in hochsicheren AWS-Rechenzentren gespeichert sind, sind zusätzlich durch Verschlüsselung gesichert. HRworks nutzt den AWS Key Management Service (KMS). KMS erleichtert die Erstellung und Kontrolle der Verschlüsselungsschlüssel und trägt zum Schutz der Schlüssel bei. Hierzu arbeitet KMS mit Hardware-Sicherheitsmodulen (AWS CloudHSM), das heißt der kryptografische Schlüssel liegt auf einer separaten, manipulationssicheren Hardware, auf die AWS keinen Zugriff hat. Diese Verschlüsselung entspricht internationalen Standards (Common Criteria EAL 4+, NIST FIPS 140-2).

Zusätzliche Sicherung von Passwörtern & Kreditkartendaten

Um Passwörter und Kreditkartennummern zusätzlich zu sichern, werden diese als Hashwert gespeichert. Der Hashwert ist selbst im Falle eines Diebstahls von Kartendaten sicher, da aus einem Hashwert keine Kreditkartennummer errechnet werden kann. Generell gilt: Kreditkartenummern werden nur bei der Nutzung des Kreditkartenimports benötigt. Die Sicherheit beim Hashen der Passwörter und der Kreditkartennummern wird darüber hinaus durch den Einsatz von sogenannten “Salts” verstärkt.

Beendigung der Zusammenarbeit

Sie haben jederzeit die Möglichkeit, Ihre Daten selbst zu exportieren. Das gilt selbstverständlich auch im Falle einer Kündigung. Durch diverse Berichte und Exportfunktionen, wie zum Beispiel den Export gescannter Belege, ist die Sicherung und die Möglichkeit der “Mitnahme” sämtlicher Daten gewährleistet. Zum Ende der Geschäftsbeziehung erfolgt die logische Löschung des HRworks Zugangs, sowie der Benutzerdaten. Backups werden rollierend gelöscht, so dass nach spätestens 3 Monaten die Daten auch physikalisch gelöscht werden.

Whitepaper: Datenschutz in HR

Leitfaden zum Download

Datenschutz in HR

Erfahren Sie, wie Sie HR-Software rechtssicher einführen und datenschutzkonform nutzen.