Datenschutz bei HR WORKS

Die von Ihnen in HR WORKS gespeicherten Daten sind Ihr Eigentum. Dementsprechend werden diese von HR WORKS behandelt. So lange Sie Kunde der HR WORKS GmbH sind, sind auch Ihre Daten in vollem Umfang sicher in HR WORKS gespeichert und für Sie zugänglich.

Als Kunde sind Sie verantwortliche Stelle im Sinne der DSGVO. Das bedeutet, dass Sie für die Wahrung der Betroffenenrechte verantwortlich sind. HR WORKS ist Auftragsverarbeiter und verarbeitet Ihre Daten damit ausschließlich im Rahmen der Softwarebereitstellung, auf Ihre Weisung und zu den im Rahmen des Vertrages zur Auftragsverarbeitung geregelten Zwecke. Ihre Daten werden für keine anderen Zwecke genutzt und insbesondere nicht an Dritte weitergegeben. Dazu ist HR WORKS gegenüber seinen Kunden vertraglich verpflichtet.

Der Datenschutz beginnt bereits beim Softwaredesign. Ein integriertes Rollen- und Berechtigungskonzept regelt im Detail, welcher Mitarbeiter in Ihrem Unternehmen auf welche Datensätze zugreifen kann. Dadurch wird gewährleistet, dass nur berechtigte Nutzer Zugriff auf bestimmte Bereiche, wie beispielsweise Personendaten oder Konten, haben. Grundsätzlich sind die Rollen und Berechtigungen so konzipiert, dass die Anforderungen der DSGVO nach datenschutzfreundlichen Voreinstellungen gewahrt sind. Dies bedeutet, dass neu angelegte Mitarbeiter “per default” keine Rechte über die Bearbeitung der eigenen Stammdaten hinaus haben. Als Kunde vergeben Sie die Rollen und Berechtigungen individuell auf Basis Ihres Berechtigungskonzepts.

Nur bei Systemfehlern, die einen Zugriff auf die Kundendaten erfordern, greifen Mitarbeiter von HR WORKS Operations auf diese zu. Die Vergabe von Zugriffsrechten erfolgt dabei immer nach dem “Need-to-Know”-Prinzip.

Unser Subunternehmer AWS stellt die Rechen-, Speicher-, Datenbank- und Netzwerkservices zur Verfügung, die HR WORKS ausgewählt hat. Auf diese Infrastruktur hat HR WORKS Sicherheitsmaßnahmen (Verschlüsselung) aufgebaut, die dafür sorgen, dass Mitarbeiter von AWS keinen Zugriff auf Ihre Daten haben.

Datenschutzmodus

Bildschirmübertragung und Remote Support

Kundennaher Support und maximaler Schutz von Personendaten schließen sich nicht aus. Benötigen Sie Hilfestellung durch das Support-Team und die Einsicht eines HR WORKS-Mitarbeiters in Ihr System, haben Sie die Möglichkeit den Datenschutzmodus zu aktivieren. Ist der Datenschutzmodus aktiv, sind alle personenbezogenen Daten in Ihrem Account anonymisiert und für den Consultant nicht einsehbar.

Service Zugang

Für die initiale Einrichtung Ihres Accounts sowie für die Bearbeitung von Serviceanfragen hat HR WORKS einen Service Zugang entwickelt, der standardmäßig im Datenschutzmodus ist. Personenbezogene Daten sind somit für den Mitarbeiter des Consulting-Teams zu keiner Zeit sichtbar.

Mit der optionalen Zwei-Faktor-Authentifizierung können Sie Ihren HR WORKS Account zusätzlich vor unbefugten Zugriffen schützen. Bei dieser Bestätigung in zwei Schritten ist neben dem persönlichen Passwort des Nutzers ein zusätzlicher, zweiter Faktor zur Authentifizierung notwendig. Der zweite Faktor zur Anmeldung in HR WORKS kann wahlweise durch eine E-Mail, über die Google Authenticator-App auf dem Smartphone oder über eine externe Hardwarekomponente, einen sogenannten YubiKey erzeugt werden.

Keine Angst vor Datenverlust, denn mit HR WORKS sind Sie auf der sicheren Seite. Die Datensicherung erfolgt mindestens einmal pro Tag. Somit werden Ihre Daten täglich und automatisch durch HR WORKS gesichert.

Zusätzlichen Schutz bietet die in HR WORKS integrierte Protokollfunktion. Sowohl bei den Reisen als auch bei den Mitarbeiterstammdaten wird jeder einzelne Schritt durch HR WORKS automatisch protokolliert. So ist für Sie immer nachvollziehbar, wer wann welche Daten eingegeben, geändert oder gelöscht hat.

Bereits seit 2009 nutzt HR WORKS die Dienste der Amazon Web Services. Dadurch ist es HR WORKS möglich, Kundendaten auf Servern in Rechenzentren mit den höchstmöglichen Sicherheitsstandards zu speichern. So kann auch bezüglich des Serverstandorts die Gewährleistung von maximalem Schutz garantiert werden.

Der von HR WORKS genutzte Serverstandort befindet sich innerhalb der Europäischen Union, im AWS Hochsicherheitszentrum in Irland.

Weitere, detaillierte Informationen zum Datenschutz durch AWS erhalten Sie unter: aws.amazon.com/de/compliance/gdpr-center 

Sichere Übertragung

Für die Übertragung der Daten vom Server zum User nutzt HR WORKS das aktuelle Verschlüsselungsverfahren (SSL Verschlüsselung). Wie beim Onlinebanking können Sie HR WORKS so auf Basis des Sicherheitsprotokolls Secure Sockets Layer (SSL) unter maximalen Sicherheitsbedingungen verwenden.

Sichere Speicherung

Die ruhenden Daten der HR WORKS Kunden, die auf Servern in hochsicheren AWS-Rechenzentren gespeichert sind, sind zusätzlich durch Verschlüsselung gesichert. HR WORKS nutzt den AWS Key Management Service (KMS). KMS erleichtert die Erstellung und Kontrolle der Verschlüsselungsschlüssel und trägt zum Schutz der Schlüssel bei. Hierzu arbeitet KMS mit Hardware-Sicherheitsmodulen (AWS CloudHSM), das heißt der kryptografische Schlüssel liegt auf einer separaten, manipulationssicheren Hardware, auf die AWS keinen Zugriff hat. Diese Verschlüsselung entspricht internationalen Standards (Common Criteria EAL 4+, NIST FIPS 140-2).

Zusätzliche Sicherung von Passwörtern & Kreditkartendaten

Um Passwörter und Kreditkartennummern zusätzlich zu sichern, werden diese als Hashwert gespeichert. Der Hashwert ist selbst im Falle eines Diebstahls von Kartendaten sicher, da aus einem Hashwert keine Kreditkartennummer errechnet werden kann. Generell gilt: Kreditkartenummern werden nur bei der Nutzung des Kreditkartenimports benötigt. Die Sicherheit beim Hashen der Passwörter und der Kreditkartennummern wird darüber hinaus durch den Einsatz von sogenannten “Salts” verstärkt.

Sie haben jederzeit die Möglichkeit, Ihre Daten selbst zu exportieren. Das gilt selbstverständlich auch im Falle einer Kündigung. Durch diverse Berichte und Exportfunktionen, wie zum Beispiel den Export gescannter Belege, ist die Sicherung und die Möglichkeit der “Mitnahme” sämtlicher Daten gewährleistet. Zum Ende der Geschäftsbeziehung erfolgt die logische Löschung des HR WORKS Zugangs, sowie der Benutzerdaten. Backups werden rollierend gelöscht, so dass nach spätestens 3 Monaten die Daten auch physikalisch gelöscht werden.