Cloud oder Aktentresor – Sind Personaldaten in der Cloud sicher?

Cloud oder Aktentresor – Sind Personaldaten in der Cloud sicher?

Beim Thema Daten in der Cloud kommen besonders bei HR-Verantwortlichen bedenken auf – geht es hier doch um personenbezogene, besonders schützenswerte Daten.  Aber sind sensible Daten im eigenen Haus tatsächlich besser geschützt als in der Wolke? Nein, sagt Thomas Schäfer, CCO der aconso. Gehaltsabrechnungen, Arbeitsverträge etc. liegen in einem genau darauf ausgerichteten Cloud-System sicherer, als im Aktentresor – wenn grundlegende Punkte beachtet werden.


Trotz der Bedenken der Personaler zeigen Studien, dass Human Resources Management (HRM) nach IT Service Management und Customer Relationship Management (CRM) der nächste große Bereich ist, der sich in Richtung Cloud bewegen wird. So betreibt bereits heute laut einer Untersuchung der Cloud Security Alliance und Skyhigh Networks jedes vierte Unternehmen (24,4 Prozent) sein HRM in der Cloud und weitere 30,1 Prozent planen diesen Schritt für die Zukunft.

Trotz Kostenvorteilen, die Frage nach der Sicherheit bleibt

Startet ein Unternehmen mit der Digitalisierung, bietet es sich an, dies gleich in der Cloud zu tun. Betrachtet man nur die Kosten für Ausdruck und Versand von Gehaltsabrechnungen, wird schnell klar, warum analoge Prozesse ineffizient und teuer sind. Was, wenn jeder Mitarbeiter selbst seine Gehaltsabrechnung digital abrufen könnte, weil die Daten und Services sicher in der Cloud liegen? So könnten die Angestellten sie von überall aus über PC, Tablet oder Smartphone abfragen. Der Zugang zur Cloud würde dabei über eine intuitiv zu bedienende Benutzeroberfläche erfolgen, sodass keine Schulung erforderlich wäre. Und sind die Cloud-Dienste bei einem externen Spezialisten für HR-Software gehostet, fallen inhouse keine Kosten für weitere IT-Infrastruktur an und der Betrieb kann nahtlos starten. Last but not least: Die Software ist immer auf dem aktuellsten Stand und verfügt über die nötigen Sicherheitsupdates.

Alles schön und gut – aber trotz aller Vorteile von reibungslosen und effizienten Workflows, die Frage nach der Sicherheit bleibt. Denn immerhin geht es im HR-Bereich um Personendaten, die natürlich auch den hohen Sicherheitsanforderungen des Bundesdatenschutzgesetzes unterliegen.

Ist die HR-Cloud also wirklich so sicher wie der Aktentresor?

Egal, wie man es dreht und wendet, einer ist immer der Administrator. Das heißt, die IT-Abteilung hat dauerhaften Zugang zu sämtlichen, digital gespeicherten Informationen. In einer professionell gemanagten Cloud dagegen lässt sich durch ein umfassendes Rechtemanagement dezidiert festlegen und kontrollieren, wer Zugriff auf welche Daten hat und was er damit machen darf – also lesen, drucken oder bearbeiten. Für jeden Benutzer werden spezielle Rollen und genaue Zugriffsrechte definiert. Das Rollenmanagement durch die eigene IT-Abteilung sicherzustellen, ist bei einem großen Personalbestand oder dem häufigen Wechsel von Mitarbeitern eine Herkulesaufgabe für die unternehmenseigene IT-Abteilung. Nicht zu vergessen: Nicht jedes Unternehmen kann sich einen eigenen IT-Security-Experten leisten. So soll es noch Unternehmen geben, die aufgrund fehlender Sicherheitsbestimmungen sensible Personaldaten als Word-Dokument auf frei zugänglichen Laufwerken speichern. Hinzu kommt die „Schwachstelle Mitarbeiter“. Wie schnell kann ein einzelner Mitarbeiter in der Eile mit einem falsch gesetzten Haken für Zugriffsrechte oder mit einem infizierten USB-Stick unwissentlich großen Schaden im Unternehmen anrichten?

Dabei müssen Unternehmen beachten, dass sie eine Gewährleistungspflicht für alle Datenschutzbestimmungen haben. So beinhalten die Anforderungen des Bundesdatenschutzgesetzes ganz klar die Pflicht, personenbezogene Daten ausreichend zu schützen und alle dafür notwendigen technischen und organisatorischen Maßnahmen zu treffen (Quelle: www.gesetze-im-internet.de/bundesrecht/bdsg_1990/gesamt.pdf). Dies zu hundert Prozent und zu jeder Zeit zu gewährleisten, ist für viele Firmen nur schwer zu schaffen.

Darüber hinaus besteht bei der Lagerung im eigenen Haus immer die latente Gefahr, dass bei einem Brand, Wasserschaden oder Einbruch alle Daten unwiderruflich verloren gehen. Auch die Einhaltung gesetzlicher Aufbewahrungs- und Löschfristen ist im Unternehmen schwer einzuhalten beziehungsweise erfordert großen administrativen Aufwand. So dürfen Bewerberunterlagen zum Beispiel nur sechs Monate oder Abmahnungen nur zwei bis drei Jahre archiviert werden. Elektronische Lösungen können die vorgegebenen Fristen automatisch verwalten und die Akten nach Ablauf der gesetzlichen Fristen vernichten.

Professionelle Rechenzentren warten mit einer Vielzahl von Vorkehrungen auf, die die vom Unternehmen getroffenen Maßnahmen meist weit überschreiten. So bieten alle großen Cloud-Anbieter ihren Kunden detaillierte Service Level Agreements (SLAs), die den Kunden höchste Dienstleistungs- und Sicherheitslevel in Einklang mit geltenden Gesetzen garantieren. Darunter fällt ein regelmäßiges Patching, also das Einspielen von Updates ebenso wie das proaktive Monitoring zur Vermeidung von eventuell absehbaren Schadensfällen und die Fehlerbehebung in Systemen. Die Erfahrung zeigt, dass dies in vielen Unternehmen weniger reibungslos und automatisiert funktioniert.

Mit der Entscheidung für die Cloud, übergibt das Unternehmen die Daten an Profis, die sich damit auskennen, statt die Kontrolle aus der Hand zu geben. Als Spezialisten können Cloud-Provider einen reibungslosen Betrieb ohne Datenverlust auch im Katastrophenfall garantieren. Mehrfach redundante, abgesicherte, geografisch verteilte Backup-Systeme sorgen für eine zuverlässige Sicherung, selbst wenn im Krisenfall ein Rechenzentrum ausfallen sollte. Zudem werden die Daten automatisch immer verschlüsselt übertragen und abgelegt. Und ganz nach Bedarf lassen sich die Cloud-Lösungen skalieren, Services dazu buchen oder Speicherkapazitäten erweitern, etwa für Spitzenlasten am Jahresende.

Augen auf bei der Cloud-Anbieter-Wahl

Aber Vorsicht, Cloud ist nicht gleich Cloud. Entscheidend ist die Wahl des richtigen Cloud-Anbieters und -Modells. So wie man auch seine Bank sorgfältig auswählt, sollte man sich bei der Wahl eines IT-Dienstleisters auch Zeit nehmen und ihn hinsichtlich höchster Anforderungen an Sicherheit und Datenschutz genau überprüfen. Ein Anhaltspunkt ist zum Beispiel die Sicherheitszertifizierung nach ISO 27001, die die Einhaltung von grundlegenden IT-Sicherheitsstandards garantiert. Gegebenenfalls empfiehlt es sich, einen Security-Audit durchzuführen.

Auch auf den Standort des Cloud-Anbieters kommt es an. Hat er seinen Sitz in Deutschland, unterliegt er den strengen deutschen Datenschutzrichtlinien. Bei einem Dienstleister aus den USA, befindet man sich dagegen auf wackeligem Terrain. Denn deutsche Unternehmen sind selbst dafür verantwortlich, die Einhaltung der hiesigen Datenschutzrichtlinien sicherzustellen. Personenbezogene Daten dürfen sie nur ins außereuropäische Ausland übermitteln, wenn dort ein angemessenes Datenschutzniveau besteht. Andernfalls drohen Geldstrafen von bis zu 300.000 Euro. Bisher wurde die Datenübermittlung in die USA durch das Safe-Harbor-Abkommen geregelt. Dieses Abkommen hat der Europäische Gerichtshof im Oktober 2015 jedoch in Folge der NSA-Affäre für ungültig erklärt. Über den Nachfolger „Privacy Shield“ wird derzeit noch verhandelt. Auf der sicheren Seite ist, wer einen deutschen Cloud-Anbieter wählt. Aber auch der Software-Anbieter muss vertrauenswürdig sein, denn der beste Rechenzentrum-Provider nutzt nichts, wenn die Lösung selbst nicht sicher ist.

Wichtig für die Auslagerung sensibler Personaldokumente in die Cloud ist zudem eine sichere und zuverlässige Datenübertragung auf den Server. Unternehmen sollten daher HR-Lösungen nur in einer sogenannten „Controlled Cloud“ betreiben, die höchsten Sicherheitsanforderungen gerecht wird. Mit einer Controlled Cloud in Verbindung mit einem gesicherten VPN-Tunnel ist diese Prämisse erfüllt: Die Daten werden vom Client des Unternehmens verschlüsselt über ein VPN-System an den Server übertragen. Durch ein ausgefeiltes, organisationsspezifisches Berechtigungskonzept sowie eine sichere Identifikation und Autorisierung der Benutzer wird zu jeder Zeit sichergestellt, dass nur berechtigte Personen Zugriff auf die jeweiligen Personaldokumente haben. Die autorisierten HR-Manager können so die Informationen über sämtliche Mitarbeiter jederzeit per Mausklick einsehen und bearbeiten.

Fazit: Die Cloud ist die sichere Lösung

Die Cloud bietet gerade für den HR-Bereich großes Einsparpotenzial bei gleichzeitigen höchsten Sicherheitsvorkehrungen für die Unternehmen – wichtige Voraussetzungen für die Wettbewerbsfähigkeit im digitalen Zeitalter. Bei einem geprüften, professionellen Anbieter sind personenbezogene Daten sogar meist sicherer als im eigenen Unternehmen. Das hat bereits die Mehrheit der IT-Führungskräfte erkannt. Laut der Skyhigh/Cloud-Security-Alliance-Studie sind 64,9 Prozent der Ansicht, dass die Cloud mindestens so sicher, wenn nicht noch sicherer ist als On-Premise-Software.

Fakt ist: Die Digitalisierung ist kein kurzfristiger Trend, der bald vorübergeht. Abwarten oder gar aussitzen ist keine gesunde Option. Unternehmen müssen jetzt ihre Geschäftsmodelle, Prozesse und Dienstleistungen anpassen, um langfristig wettbewerbsfähig zu bleiben. Die Cloud ist dafür nicht nur die beste, sondern auch die sicherste Lösung. Diese Erkenntnis setzt sich langsam durch: Eine Umfrage von Oracle und IDG Connect bestätigt, dass bei der Mehrheit der Unternehmen – auch im besonders skeptischen Deutschland – Sicherheitsbedenken im Hinblick auf die Cloud immer mehr in den Hintergrund treten. 92 Prozent der Befragten sagen darüber hinaus, dass sie mit der Cloud Innovationen schneller umsetzen können. Und wer wünscht sich das nicht?

Thomas Schäfer, CCO der aconso AG.

Weitere Informationen zur Cloud finden Sie hier.

Weitere Informationen zur Bereitstellung der Gehaltsabrechnung in der Cloud finden Sie hier.

Thomas Schäfer, aconso AG

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Datenschutzerklärung lesen.