Diese von Barbara Cosgrove verfasste Workday Story wurde erstmals auf Englisch im Workday-Blog veröffentlicht. Unsere lokalen Leser finden im Folgenden eine deutsche Version des Beitrags.
DSGVO: Privacy by Design bei Workday
Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO), eine Verordnung der Europäischen Union zum Schutze personenbezogener Daten. Aus diesem Grund halte ich es für wichtig, unseren Kunden und Partnern den Workday Ansatz für Privacy by Design (Datenschutz durch Technikgestaltung) näher zu erläutern.
Privacy by Design zielt darauf ab, die Ziele des Datenschutzes und der Datensicherheit bereits im Rahmen der Entwicklung von Produkten, Prozessen und IT-Dienstleistungen zu berücksichtigen. Privacy by Design gilt schon seit langem als bewährtes Verfahren. Mit Inkrafttreten der DSGVO wird der Datenschutz durch Technikgestaltung jetzt sogar gesetzlich festgeschrieben. Genauer gesagt verlangt die DSGVO von Unternehmen, dass sie sich bereits in der Anfangsphase eines jeden Entwicklungsprozesses mit den gesetzlichen Rahmenbedingungen für die Verarbeitung personenbezogener Daten auseinandersetzen.
Wie integriert Workday Privacy by Design?
Der Grundsatz Privacy by Design ist fest in sämtlichen Workday-Produkten verankert, sei es bei der Entwicklung von Software oder der Konzeption von Cloud-Dienstleistungen. Nachfolgend erkläre ich deshalb die sieben Grundpfeiler unserer Unternehmensphilosophie:
- Proaktiv und Präventiv: Privacy by Design nutzt proaktive statt reaktive Maßnahmen, indem datenschutzrelevante Ereignisse antizipiert und verhindert werden, bevor sie eintreten. Zu diesem Zweck arbeitet das Workday Datenschutz-Team bei der Entwicklung neuer Produkte eng mit den Produkt-Managern zusammen. Dadurch können wir Lösungen entwickeln, die von Beginn an gesetzliche Anforderungen erfüllen und vermeiden somit das Risiko, im Nachhinein überprüfen zu müssen, ob die personenbezogenen Daten ordnungsgemäß verarbeitet werden. Zusätzlich führen wir regelmäßig Mitarbeitertrainings zu Sicherheit und Datenschutz durch.
- Standardmäßig implementiert: „Privacy by Default“ (datenschutzfreundliche Voreinstellungen) ist Teil unserer Standardvoraussetzungen für neue Funktionen und Produkte. Wann immer wir bei der Konzeption vor zwei Alternativen stehen, wählen wir die sicherere Alternative und entscheiden uns im Zweifel für mehr Datenschutz statt weniger. Tatsächlich prüft und genehmigt unsere Chief Privacy Officer alle größeren Workday-Releases, bevor diese unseren Kunden zur Verfügung gestellt werden. Die Kunden konfigurieren anschließend die Workday-Anwendungen, damit diese ihren internen Anforderungen an die Zugriffskontrolle entsprechen.
- Integriert: Privacy by Design ist in der Workday-Architektur und unseren Geschäftspraktiken fest verankert. Zudem haben wir den Privacy by Design-Ansatz in unsere Software-Entwicklungsprozesse integriert, um besser abstimmen zu können, wie wir Produkte aufbauen und unsere Cloud-Dienstleistungen betreiben.
- Kein Nullsummenspiel: Dieses Konzept von Privacy by Design zielt darauf ab, legitime Unternehmensziele zu erfüllen und gleichzeitig den Datenschutz zu wahren. Wir glauben, dass Unternehmen nicht zwischen Software wählen müssen, die entweder personenbezogene Daten schützt ODER einfach zu bedienen ist. BEIDE Aspekte sind für uns essentiell. Datenschutzrechtliche Aspekte bereits in frühen Entwicklungsphasen zu berücksichtigen hilft uns, sowohl die Sicherheit als auch die Zufriedenheit unserer Kunden zu gewährleisten.
- Fortlaufender Schutz: Es müssen starke Sicherheitsmaßnahmen vorhanden sein, um alle personenbezogenen Daten während ihres gesamten Verarbeitungszyklus zu schützen. Workday hat Sicherheitsmaßnahmen in sämtliche Datenverarbeitungsabschnitte unserer Cloud-Dienstleistungen integriert, einschließlich wie wir die Workday-System-Infrastruktur betreiben und wie wir Anwendungen für unsere Kunden konfigurieren und bereitstellen.
- Sichtbarkeit und Transparenz: Wir bieten unseren Kunden Sichtbarkeit und Transparenz. Dies erreichen wir, indem wir unsere Cloud-Dienstleistungen von unabhängigen Dienstleistern auditieren lassen und Zertifikate für Datenschutz, Vertraulichkeit und Sicherheit vorhalten. Unser Ziel ist, dass unsere Kunden die technischen und organisatorischen Maßnahmen, die wir zum Schutz ihrer personenbezogenen Daten bereitstellen, einfach nachvollziehen können. Kunden haben hierdurch die Möglichkeit zu entscheiden, wie sie ihre Mitarbeiter über die Art und Weise der Datenverarbeitung informieren.
- Schutz der Privatsphäre der Anwender: Workday ermöglicht seinen Kunden, Cloud-Dienstleistungen zu konfigurieren, um die für sie geltenden Datenschutzanforderungen umzusetzen und ihren Anwendern das notwendige Datenschutzniveau zu bieten.
Warum ist Privacy by Design Workday so wichtig?
Privacy by Design ist eng mit zentralen Werten von Workday wie Integrität, Kundenservice und Innovation verknüpft. Wir sind stolz darauf, dass wir diese Werte erfüllen können. Das gilt nicht nur für die Art und Weise, wie wir unsere Cloud-Dienstleistungen bereitstellen, sondern auch, wie wir aus einer Compliance-Perspektive heraus agieren.
Wir streben an, neu aufkommende Unternehmenspraktiken und –standards frühzeitig zu implementieren, jedoch gleichzeitig den Schutz- und Sicherheit der personenbezogenen Daten unser Kunden zu gewährleisten. Durch den Fokus unseren Kunden und deren individuellen Mitarbeitern Innovation und verbesserten Datenschutz bereitszustellen können wir unsere Kunden weiterhin an erste Stelle setzen und ihnen helfen, ihre eigenen Compliance-Anforderungen unter der DSGVO zu erfüllen.