Welche Einstellungen muss ich in meinem Personio-Account hinsichtlich Datenschutz vornehmen?

Personio bietet Ihnen diverse Möglichkeiten die Daten Ihrer Mitarbeiter und Bewerber, entsprechend Ihren Anforderungen und zugleich EU-DSGVO konform, zu schützen.

Allgemeine Informationen zum Thema Datenschutz sowie unsere Whitepaper "EU-DSGVO bei Personio" sowie "AWS bei Personio" finden Sie auf unserer Webseite.

 
Vor dem Hintergrund der EU-DSGVO bietet Ihnen dieser Artikel einen Leitfaden, wie Sie Ihre Personalverwaltung datenschutzkonform aufstellen können. Wir empfehlen Ihnen dazu die folgenden Einstellungen zu prüfen bzw. initial vorzunehmen:

 

1. Definition von Support- und Weisungsberechtigten

Hinterlegen Sie unter Einstellungen > Support > Support- und Weisungsberechtigte bis zu sieben Mitarbeiter als supportberechtigt und entscheiden Sie zusätzlich, ob diese Mitarbeiter weisungsberechtigt i.S.d. EU-DSGVO sein sollen. Die Kontaktdaten der hier hinterlegten Mitarbeiter werden mit unseren CRM-Systemen synchron gehalten, sodass wir bei Anfragen verifzieren können ob Anfragende die nötigen Rechte für die entsprechende Anfrage besitzen.

Alle Informationen zu dem Hinterlegen von Support- und Weisungsberechtigten finden Sie hier.

 

2. Auftragsdatenverarbeitungsvertrag (AVV)

Ab dem 25. Mai 2018 ist Personio verpflichtet Ihnen einen Auftragsdatenverarbeitungsvertrag (AVV) zur Verfügung zu stellen und mit Ihnen abzuschließen. Um den administrativen Aufwand für beide Seiten möglichst gering zu halten, bieten wir die Möglichkeit, den AVV direkt in Personio zu schließen. Navigieren Sie dazu zu Einstellungen > Paket & Rechnung > Auftragsdatenverarbeitungsvertrag (AVV), hinterlegen Sie Ihre Vertragsinformationen und generieren Sie Ihren individuellen Vertrag. Sie können diesen herunterladen und Ihrer Rechtsabteilung oder Ihrem Datenschutzbeauftragten zur Prüfung übergeben. Anschließend kann Ihr Geschäftsführer oder eine vertretungsberechtigte Person den Vertrag in elektronischer Form online abschließen. 

Alle Informationen zum AVV finden Sie hier.

 

3. Zugriffsbeschränkung auf Kundenaccounts

Ab Inkrafttreten der EU-DSGVO haben Personio-Mitarbeiter standardmäßig keinen Zugriff auf Ihren Account. Wenn Sie mit unseren Mitarbeitern im Customer Success in Kontakt treten wollen, um Unterstützung bei der initialen Einrichtung Ihres Accounts oder der Bearbeitung von Serviceanfragen zu erhalten, ist vorab eine Freigabe Ihres Accounts für unsere Support-Mitarbeiter notwendig. Die Zugriffsfreigabe kann nur durch zuvor festgelegte support- und weisungsberechtigte Personen unter Einstellungen > Support gewährt und jederzeit wieder deaktiviert werden.

Alle Informationen zu der Zugriffsfreigabe für Personio-Mitarbeiter finden Sie hier.

 

4. Telefon-PIN - Funktion ist noch nicht aktiv

Um unbefugten Zugriff auf Ihre Daten zu verhindern, müssen sich alle Support- und Weisungsberechtigte, bspw. im Falle einer Serviceanfrage, eindeutig identifizieren. Diesbezüglich sind unsere Support-Mitarbeiter dazu angehalten, einen aktuell gültigen Support-PIN abzufragen. Dies bietet einen zusätzlichen Schutz, um sicherzustellen, dass Informationen nicht versehentlich an unbefugte Anrufer weitergegeben werden können. Den Support-PIN finden Support- und Weisungsbefugte innerhalb Ihrer persönlichen Einstellungen im Bereich Support. Sie können den PIN jederzeit ändern, bspw. sofern der Verdacht besteht, dass der PIN kompromittiert wurde.

Alle Informationen zu unserem Telefon-PIN finden Sie hier.

 

5. E-Mail Benachrichtigungen

Entscheiden Sie grundsätzlich ob Sie und Ihre Mitarbeiter System-Benachrichtigungen via E-Mail erhalten sollen. Navigieren Sie dazu in den Einstellungen zu Unternehmen > E-Mail Benachrichtigungen aktivieren. Falls diese Option aktiviert ist, kann jeder Nutzer in seinen persönlichen Einstellungen festlegen, welche Benachrichtigungen, bspw. Genehmigungsanfragen oder Erinnerungen, als E-Mail verschickt werden sollen. Falls die Option deaktiviert ist, erhält unternehmensweit kein Mitarbeiter System-E-Mails von Personio.

Alle Informationen zu E-Mail Benachrichtigungen von Personio finden Sie hier

 

6. Export aller Unternehmensdaten

Personio bietet Ihnen die Möglichkeit jederzeit alle Daten in einem strukturierten, gängigen und maschinenlesbaren Format herunterzuladen. Weisungsberechtige Nutzer können dazu unter Einstellungen > Unternehmen einen vollständigen Unternehmensexport mit allen in Personio gespeicherten Daten durchführen. Nachdem Sie einen Export erstellt haben, können Sie diesen als Zip-Datei herunterladen.

Alle Informationen zu dem Export aller Unternehmensdaten finden Sie hier

 

7. Passwortsicherheit

Um sicherzustellen, dass Ihr Passwort einem möglichst hohen Sicherheitsstandard genügt, sind bei der Vergabe des Personio-Passworts einige Anforderungen zu beachten. Zusätzlich wird nach drei fehlgeschlagenen Login-Versuchen eines Mitarbeiters dessen Personio-Account gesperrt. Wie Sie einen Nutzer-Account nach Sperrung reaktivieren, erfahren Sie hier.

Unter Einstellungen > Authentication > Passwort Einstellungen können Sie festlegen, dass Ihre Mitarbeiter alle 90 Tage dazu aufgefordert werden ihr Passwort zu ändern. Wir überlassen Ihnen die Entscheidung, ob Sie diese zusätzliche Sicherheitsstufe einbauen möchten.

 

8. Datenschutzerklärung auf Ihrer Personio-Karriereseite

Als Verantwortlicher für das Online-Bewerbungsverfahren über Ihre Karriereseite sind Sie dazu verpflichtet, personenbezogene Daten ausschließlich rechtmäßig zu verarbeiten. Im Bewerbungsprozess bedeutet dies i.d.R. die Durchführung vorvertraglicher Maßnahmen und/oder die Einwilligung des Bewerbers. Des Weiteren müssen Sie dafür Sorge zu tragen, den Betroffenenrechten des Bewerbers wie bspw. transparente Information oder dem Recht auf Auskunft nachzukommen. Um diese Punkte zu regeln, hinterlegen Sie bitte unter Einstellungen > Recruiting > Karriereseite eine Datenschutzerklärung, von welcher der Bewerber vor Übermittlung seiner Daten Kenntnis nehmen muss.

Alle Informationen sowie eine Vorlage für die Datenschutzerklärung finden Sie hier.

 

9. Anonymisierung von personenbezogenen Bewerberdaten

Personio unterstützt die vollständige Anonymisierung von Bewerberdaten. Aktivieren Sie hierzu die automatische Anonymisierung von Bewerberdaten in den Einstellungen unter Recruiting > Allgemein. Dadurch werden alle personenbezogenen Daten von abgesagten oder abgelehnten Bewerbern nach der definierten Frist unwiederbringlich aus Personio entfernt. Anonymisierte Metadaten der Bewerber ohne Personenbezug bleiben für Ihr Berichtswesen weiterhin erhalten.

Weitere Informationen zur automatischen Anonymisierung von Bewerberdaten finden Sie hier.

 

Wer darf was?

Für einige der zuvor vorgestellten Funktionen benötigen Sie besondere Rechte. Folgende drei Berechtigungen sind relevant:  

  • Administratoren werden unter Einstellungen > Mitarbeiterrollen festgelegt und können in Ihrem Personio Account alles (bis auf Funktionen rein für Weisungs- und Supportberechtige) sehen und bearbeiten.
  • Supportberechtigte werden unter Einstellungen > Support festgelegt. Support-berechtige Mitarbeiter erhalten einen Telefon-PIN (diese Funktion ist noch nicht aktiv) mit dem sie sich vor Support-Anfragen mit unserem Kundenservie verifizieren müssen, um Ihre Daten besser zu schützen.
  • Weisungsberechtigte werden unter Einstellungen > Support über die entsprechende Checkbox des hinterlegten Supportberechtigten festgelegt. Personen, die i.S.d. der EU DSGVO weisungsberechtigt sind können bspw. Datenlöschungen in Auftrag geben. Weisungsberechtigte sind automatisch immer Support-berechtigt. Die in Personio hinterlegten Weisungsberechtigte sind automatisch Teil der Auftragsdatenverarbeitungsvertrags.
  Administratoren Supportberechtigte Weisungsberechtigte
Hinzufügen, Ändern und Löschen von Administratoren    
Hinzufügen, Ändern und Löschen von Supportberechtigten X    
Hinzufügen, Ändern und Löschen von Weisungsberechtigten    
Zugriff auf den AVV  X    
Änderung der Zugriffsbeschränkung für den Personio Kundenservice  In Zukunft auch Administratoren (in progress)   X
Export aller Unternehmensdaten und Dokumente     X
Weisungen bspw. zur Löschung von Daten oder Einsicht in Log-Dateien     X
Kontaktaufnahme mit dem Service-Team von Personio   X

 

Haben Sie Fragen? Anfrage einreichen

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.