Zunächst einmal: Gesetzlich geregelt ist das Eigentum an Daten im Allgemeinen bislang nicht. Denn Daten sind im juristischen Sinne keine Sache, da sie kein greifbarer, verfestigter Gegenstand sind. Rechtlich geschützt ist daher nur das Eigentum an dem Speichermedium, auf dem die Daten liegen. Und das kann ein firmeneigener Server, das Rechenzentrum des HR-Dienstleisters oder dessen Cloud sein.
Auch Schutzrechte wie das Urheberrecht oder der Patentschutz greifen hier nicht, da Daten kein geistiges Eigentum darstellen.
Sensible Daten unterliegen der DSGVO
Dafür ist aber der Umgang mit personenbezogenen Informationen geregelt: Sie unterliegen der Datenschutz-Grundverordnung (DSGVO). Daten dürfen nur für den Zweck verwendet werden, für den die betroffene Person ihr Einverständnis gegeben hat. Zusätzlich muss die Verarbeitung transparent und vor unbefugtem Zugriff geschützt erfolgen. Verantwortlich für den Umgang mit solchen Daten ist im Sinne der DSGVO derjenige, der die Daten vermittelt – das Unternehmen bzw. der Auftraggeber also, dass die personenbezogenen Daten an einen HR-Dienstleister weitergibt. Doch selbst wenn Sie Verantwortlicher sind, sind Sie eben nicht automatisch auch der Eigentümer der Daten.
Auch wenn Daten nicht greifbar sind, so sind sie als immaterielle Wirtschaftsgüter taugliche Gegenstände für Verträge. Da der Gesetzgeber bislang keine Regelung vorgibt, müssen dies die beiden Parteien tun. Sie und Ihr HR-Dienstleister sollten also eine Vereinbarung in Form eines Datenverarbeitungsvertrages aufstellen, in der das Eigentum und die Verantwortlichkeit eindeutig formuliert sind. Die rechtliche Zuordnung der Daten zum Beispiel sollte in der Regel beim Vermittler bzw. Auftraggeber bleiben. Die Auftragsdatenverarbeitung sollte auch nicht ohne dessen Weisung erfolgen.
Die Beendigung des Vertrages sollte in der Vereinbarung ebenfalls geregelt sein – und was dann mit den gespeicherten Daten passiert. Werden sie umgehend gelöscht? Stellt der HR-Dienstleister die gesammelten Daten vorab zur Verfügung?
IT-Fachwissen garantiert technische Sicherheit
Sind die Formalitäten geklärt, steht einer guten und vor allem sicheren Zusammenarbeit nichts mehr im Wege. Mit dem richtigen Partner an Ihrer Seite ist die Sicherheit Ihrer sensiblen Personal-Daten gewährleistet. Ein verlässlicher Dienstleister ist nicht nur in Sachen HR-Outsourcing ein Experte, sondern verfügt auch im Bereich IT-Sicherheit über fundiertes und aktuelles Know-how. Wie wichtig dies ist, unterschätzen Unternehmen manchmal. Dabei stellt die Verantwortung für die technische Sicherheit eine erhebliche Herausforderung dar.
Der HR-Dienstleister ist zwar verantwortlich dafür, dass das System immer erreichbar und sicher ist, Unternehmen sind aber ebenfalls in der Haftung. Denn für die Einhaltung der DSGVO bei den Datentransfers gilt das Prinzip der Shared Responsibility. Das heißt, dass sowohl der Dienstleister als Anbieter als auch Sie als Nutzer stets einen Teil der Verantwortung tragen. Sichern Sie sich deshalb bei der Wahl Ihres HR-Dienstleisters ab und wählen Sie diesen sorgfältig aus.
Tipps für die Wahl des richtigen HR-Dienstleisters
Beachten Sie einige Punkte, sind Ihre Daten in guten Händen. Ein seriöser HR-Dienstleister ist auch immer Experte in Rechenzentrumstechnologien und gewährleistet so den Schutz Ihrer Daten. Dank Rechenzentren mit Backup-Servern sind Ihre Daten vor unbefugtem Zugriff geschützt, auch im Falle eines Stromausfalls zum Beispiel.
Die Daten sollten auch durch eine Passwortsperre geschützt sein, die Kennwörter müssen bestimmte Kriterien erfüllen und regelmäßig geändert werden. Das stellt sicher, dass nur autorisierte Personen Zugriff haben. Es ist ratsam, mindestens einmal im Jahr zu überprüfen, welche Personen das sind und Zugriffsrechte gegebenenfalls anzupassen. Zusätzlich sollten die Daten bei jedem Zugriff und Versand verschlüsselt werden.
Die Zertifizierung ISAE 3402 ist zudem ein wichtiger Hinweis darauf, dass der HR-Dienstleister die Prozesse umfassend dokumentiert, klar darstellt und jederzeit alle rechtlichen Dokumentationsvorschriften erfüllt.
Fazit
Gesetzlich geregelt ist das Eigentum an Daten zwar nicht, der Umgang mit personenbezogen Daten, wie sie im HR-Bereich erhoben und verarbeitet werden, aber schon. Hierfür gibt es strenge Richtlinien, an die Sie sich als Unternehmer aber auch der HR-Dienstleister halten muss. Beachten Sie die genannten Hinweise bei der Wahl Ihres HR-Outsourcing-Partners sind Ihre Personal-Daten sicher aufgehoben.