Diese von Barbara Cosgrove verfasste Workday Story wurde erstmals auf Englisch im Workday-Blog veröffentlicht. Unsere lokalen Leser finden im Folgenden eine deutsche Version des Beitrags.
Countdown bis zur DSGVO
Die Uhr tickt. Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Ein guter Zeitpunkt, um darüber zu sprechen, welche Tools Workday anbietet, um seine Kunden bei der Umsetzung ihrer DSGVO-Anforderungen zu unterstützen.
Beginnen wir zunächst mit einer kurzen Zusammenfassung: Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, welche die bisher eher an einen Flickenteppich erinnernden nationalen Datenschutzbestimmungen in Europa vereinheitlichen wird. Dabei ersetzt die DSGVO nicht nur die geltende EU-Datenschutzrichtlinie, sondern auch ein komplexes System nationaler Datenschutzgesetze in den einzelnen EU-Mitgliedsstaaten.
Eine Partnerschaft der Verantwortung für die DSGVO
Wenn es um die rechtskonforme Umsetzung der DSGVO geht, sind sowohl Workday als auch unsere Kunden in der Verantwortung: Unsere Kunden als der sogenannte Verantwortliche und Workday als Auftragsverarbeiter.
Nachfolgend stelle ich einige der Tools vor, die Workday als Auftragsverarbeiter anbietet, um unsere Kunden bei der rechtskonformen Umsetzung ihrer Pflichten als Verantwortliche zu unterstützen. Workday hat seine Vereinbarungen zur Auftragsdatenverarbeitung für Cloud-Kunden bereits an die Anforderungen der DSGVO angepasst. Außerdem haben wir FAQs auf unserer Kunden-Webseite veröffentlicht, die wir fortlaufend aktualisieren, z.B. wenn die EU-Aufsichtsbehörden weitere Auslegungsrichtlinien veröffentlichen.
Workday als Auftragsverarbeiter
- Sicherheit: Unsere Datenschutz- und Sicherheitsstandards sind so konzipiert, dass sie regelmäßig strenge Compliance-Prüfungen für Sicherheit, Vertraulichkeit, Verfügbarkeit, Verarbeitungsintegrität und Datenschutzkontrollen durch Dritte bestehen. Insbesondere durch das standardisierte Workday Application Framework können Kunden die Zugänge ihrer Anwender auf Applikationen von Workday verwalten und kontrollieren sowie rollenbasierte Zugriffe definieren.
- Grenzübergreifender Datenverkehr: Die DSGVO erlaubt nach wie vor den Austausch personenbezogener Daten über die Landesgrenzen hinweg und enthält Regelungen, die sicherstellen, dass die bestehenden Datentransfermechanismen auch in Zukunft rechtsgültig bleiben. Workdays Kunden haben die Wahl verschiedener DSGVO-konformer Datentransfermechanismen für die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraumes an Workday. Kunden können insofern die Privacy Shield-Zertifizierung von Workday nutzen oder EU-Standardvertragsklauseln unterzeichnen.
- Privacy Impact Assessments (kurz: PIAs): Die DSGVO erfordert PIAs für vielerlei Arten der Datenverarbeitung. Workdays Datenschutz-Team führt regelmäßig PIAs bei Funktionen, Technologie, On-Boardings von Drittanbietern und mit unseren Cloud-Dienstleistungen verbundenen Verfahren durch. Obwohl keine erheblichen Änderungen an unseren bereits sehr gründlichen Methoden geplant sind, beobachtet unser Datenschutz-Team weiterhin die DSGVO, um zu gewährleisten, dass unsere PIAs auch neuen Anforderung gewachsen sind.
- Sicherheitslücken: Die DSGVO führt Regelungen für die Meldung von Verletzungen des Schutzes personenbezogener Daten ein, die zum Verlust, zur Zerstörung oder zu unautorisiertem Zugriff auf personenbezogenen Daten führen. Workday hat diesbezüglich einen formalen, internen Reaktionsplan ausgearbeitet, der diese Voraussetzungen erfüllt.
Kunden als Verantwortliche
Neben Workdays Compliance-Verpflichtungen gemäß GDPR als Auftragsverarbeiter personenbezogener Daten unterstützen wir unsere Kunden auch beim Erfüllen ihrer Verpflichtungen unter der DSGVO. Wesentliche Punkte dabei sind:
- Datenlöschung: Workday bietet seinen Kunden eine große Auswahl an Löschfunktionen, um Kunden bei der Umsetzung des Rechts auf Vergessenwerden zu unterstützen. Ein Beispiel: Ein Kunde muss personenbezogene Daten ehemaliger Mitarbeiter an einem französischen Standort löschen, die älter als fünf Jahre sind. Mithilfe der Purge-Person-Data-Funktion können Kunden die entsprechenden Mitarbeiter selektieren, deren Daten gelöscht werden sollen.
- Zugriffsrechte: Workday bietet konfigurierbare Features an, die Kunden dabei unterstützen, Zugriffsrechte DSGVO-konform umzusetzen. Das standardisierte Workday Application Framework ermöglicht es, Zugangsrechte ihrer Mitarbeiter auf Anwendungen von Workday verwalten, kontrollieren sowie auf Rollenbasis definieren.
- Aktivitätsprotokollierung: Um Kunden beim Schutz ihrer personenbezogenen Daten vor Sicherheitsbedrohungen zu unterstützen, protokolliert Workday die Aktivität von jedem Account. Das schließt sowohl erfolgreiche und fehlgeschlagene Anmeldungsversuche als auch Änderungen der Daten durch unsere Kunden und ihre Anwender mit ein. Die Sicherheitsadministratoren können die Berichte zu erfolgreichen und fehlgeschlagenen Anmeldevorgängen einsehen und festgelegte Mitarbeiter können Berichte ausführen, um Datenänderungen einzusehen, die von einzelnen Personen innerhalb eines bestimmten Zeitraums im System vorgenommen wurden.
- Unabhängige Überprüfungen der Kontrollen und Prozesse: Kunden können sich auf die Methoden unserer unabhängigen Prüfer als Teil der SOC und ISO-Verfahren verlassen. Zudem fungiert der öffentlich verfügbare SOC-3-Report als eine Zusammenfassung des SOC-2-Reports und kann von den Kunden geteilt werden. Sollten sie weitere Einsichten in Workdays Kontrollen benötigen, können sie sich zusätzlich für das Customer Audit Program registrieren.
Wir nehmen Compliance sehr ernst und freuen uns auf die Zusammenarbeit mit unseren Kunden, sodass beide Parteien ihre jeweiligen Verpflichtungen unter der DSGVO erfüllen. Darüber hinaus werden wir weiterhin FAQs und Blogposts zu dem Thema veröffentlichen. Entscheidend dabei ist, dass Kunden zuversichtlich sein können, mit Workday alle benötigten Funktionen zur Verfügung zu haben, um die Anforderungen der DSGVO zu erfüllen.