Digitale Personalakte – sicher in der Cloud

Autor – Thomas Schäfer ist Technikvorstand bei der aconso AG

In Zeiten von Prism, Tempora & Co. stellt sich für Unternehmen die Frage, ob die Cloud tatsächlich der richtige Ort ist, um sensible Daten wie Personaldokumente aufzubewahren. Dieter Kempf, Präsident des IT-Verbands Bitkom, befürchtet, dass durch die Überwachungsskandale der National Security Agency das Vertrauen der Nutzer in das Cloud Computing dauerhaft beschädigt wurde. Sind diese Befürchtungen angebracht? Um diese Frage zu beantworten, lohnt sich ein Blick auf verschiedene Cloud-Lösungen.

Private Cloud, Public Cloud, Controlled Cloud, SaaS, ASP: In der Literatur hat sich bis heute keine einheitliche Definition für das sogenannte Cloud Computing durchgesetzt. Am häufigsten wird in diesem Zusammenhang die US-amerikanische Standardisierungsstelle NIST (National Institute of Standards and Technology) zitiert, wonach Cloud Computing ermöglicht, bei Bedarf jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren IT-Ressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Verwaltungsaufwand zur Verfügung gestellt werden können.

Private Cloud – Personaldaten „inhouse“

Des Weiteren wird zwischen verschiedenen Bereitstellungsmodellen unterschieden: Die Private Cloud bezeichnet eine Infrastruktur, die im und nur für das jeweilige Unternehmen zur Verfügung steht. Diese Private Cloud entspricht der inhouse betriebenen digitalen Personalakte, bei der die Dokumente auf einem Server im Unternehmen archiviert werden und auf die von allen Firmenstandorten aus zugegriffen werden kann.

Sobald eine Organisation sich dafür entschieden hat, Daten oder Dokumente nur hausintern zu verwalten und nicht nach außen zu geben, dann kommt als Cloud-Lösung nur eine Private Cloud in Frage.

SaaS – sicher nur in einer Controlled Cloud

Von einer Public Cloud spricht man, wenn die Services eines Cloud-Anbieters von mehreren Unternehmen genutzt werden können. Folglich handelt es sich bei der Personalakte als Software-as-a-Service-Version (SaaS) um eine Public-Cloud-Lösung. Es muss jedoch weiter unterschieden werden: Für sensible Daten wie Personaldokumente ist grundsätzlich nur eine sogenannte Controlled Cloud zu empfehlen. Bei dieser Form der Cloud ist der Standort des Rechenzentrums, bei dem die Daten gehostet werden, bekannt. Das Unternehmen oder die Organisation kann dieses bei Bedarf jederzeit besichtigen, um sich vom RZ-Sicherheitskonzept ein eigenes Bild zu machen.

In der Controlled Cloud erhält das Unternehmen über eine gesicherte Virtual Private Network-Verbindung (VPN) Zugriff auf die Infrastruktur im Rechenzentrum. Diese sichere Verbindung hindert Dritte daran, auf die vertraulichen Personaldokumente zuzugreifen. Die Verwaltung aller Daten und Dokumente erfolgt dabei in der vom Anbieter betreuten Hard- und Software-Umgebung im externen Rechenzentrum. Server-, Datenbank- und Archivsysteme werden vom Anbieter gestellt. Funktional bietet diese Controlled Cloud keine Einschränkungen gegenüber einer Private Cloud oder Inhouse-Installation. Bei der Auslagerung der Dokumente ist jedoch grundsätzlich zu bedenken, dass Anbieter von Cloud-Lösungen im Regelfall eine Mindestlaufzeit von 36 bis 60 Monaten vereinbaren.

Bild: Schematische Darstellung der Controlled Cloud-Infrastruktur

Best-Practice-Ansätze erleichtern Umstellung

Welche Vorteile ergeben sich bei der Archivierung von Personaldokumenten in der Cloud? Wenig umstritten ist die schnelle und unkomplizierte Einführung. Für das Unternehmen, das auf eine digitale Personalaktenverwaltung umstellen möchte, ist außer der Nutzungsgebühr keinerlei Investition in Hard- oder Software notwendig. Darüber hinaus muss keine Software im Unternehmen installiert werden, wodurch auch das Sicherstellen von Backup-Szenarien entfällt. Zudem kann für die digitale Personalakte in der Cloud auf standardisierte Best-Practice-Betriebsmodelle zurückgegriffen werden. Diese ermöglichen die schnelle Einführung eines digitalen Personalaktensystems innerhalb von nur sieben Tagen. Zudem werden Updates oder die Pflege von Hard- und Software vom Dienstleister übernommen. Dadurch entfällt der kostenintensive Betrieb in der eigenen EDV.

Gegenüber der papierbasierten Verwaltung von Personaldokumenten bietet die digitale Personalakte eine deutlich höhere Flexibilität und Effizienz für das Unternehmen, als Cloud-Lösung zudem ein großes Kosteneinsparpotenzial. Die Personalabteilung gewinnt dank der schnell auffindbaren, digitalisierten Dokumente eine höhere Informations- und Auskunftsbereitschaft. Vor- und nachgelagerte Prozesse wie die automatische Erstellung von Dokumenten, Freigaben und Genehmigungen sowie der Zugriff von mobilen Geräten können heutzutage modular mit einer Digitalen Personalakte kombiniert werden. Der Weg eines Dokuments durch die HR-Abteilung lässt sich damit schnell, fehlerfrei und lückenlos abbilden.

Sicherheitskonzept ist ausschlaggebend

Um Personaldokumente in der Cloud zu lagern, muss die Datenübertragung auf den Server sicher und zuverlässig sein. Mit der Controlled Cloud in Verbindung mit einem gesicherten VPN-Tunnel ist diese Voraussetzung erfüllt: Durch ein ausgefeiltes, organisationsspezifisches Berechtigungskonzept sowie eine sichere Identifikation und Autorisierung der Benutzer kann zu jeder Zeit sichergestellt werden, dass nur berechtigte Personen den Zugriff auf die jeweiligen Personaldokumente bekommen. Zusätzliche Datensicherheit gibt eine Verschlüsselung der Dokumente auf dem Server. Zudem wird durch spezielle Ablageformate die rechts- und revisionssichere Archivierung gewährleistet.

Um die Verfügbarkeit der Personaldokumente zu jeder Zeit sicherzustellen, ist bei der Auswahl eines Cloud-Anbieters darauf zu achten, dass die Daten in zwei aktiven sowie räumlich voneinander getrennten, zertifizierten Rechenzentren archiviert werden. Ebenso sollte Wert auf die jeweiligen Storage- und Backup-Systeme gelegt werden, welche die Daten an das jeweils andere Rechenzentrum replizieren und damit sichern. Auskunft über die Sicherheitsstandards unterschiedlicher Rechenzentren geben spezialisierte und unabhängige Prüfungsorganisationen, welche den jeweiligen Zentren entsprechende Zertifikate ausstellen.

Grundsätzlich empfiehlt es sich, ein deutsches Unternehmen mit Rechenzentrumsbetrieb in Deutschland für eine Cloud-Archivierung zu wählen, da dieses dem deutschen Datenschutzrecht unterliegt – strenge Sicherheitsvorkehrungen und Zertifizierungen der Rechenzentren geben weitaus mehr Sicherheit als Rechenzentren in anderen Ländern. Auch einige US-amerikanische Unternehmen haben dies inzwischen erkannt und vertrauen ihre Daten deutschen Rechenzentren an. So empfiehlt auch die Bitkom, einen deutschen Anbieter zu wählen und mit diesem einen detaillierten Cloud Computing-Vertrag abzuschließen, der zu erbringende Leistungen und wechselseitige Pflichten definiert. Dieser Vertrag muss alle notwendigen Vereinbarungen enthalten, um Cloud-Computing in dem gesetzlich zulässigen Rahmen durchzuführen. Hierzu gehören auch Regelungen für den Datenschutz, Informationssicherheit und Compliance. Grundvoraussetzung ist – wie in jeder Geschäftsbeziehung – das Vertrauen in den Anbieter und dessen Erfahrungen.

www.aconso.com

Thomas Schäfer ist Technikvorstand bei der aconso AG. Die aconso AG ist Marktführer und Patentinhaber im Bereich der systemunabhängigen Digitalen Personalakte. Seit mehr als sieben Jahren bietet sie Cloud-Lösungen zur Dokumentverwaltung im Eigenbetrieb und mit Partnerunternehmen an – mit Rechenzentren in Deutschland, der Schweiz und Norwegen. Produkte aus dem aconso-Portfolio wie der aconso Creator oder aconso Mobile unterstützen Anwender darüber hinaus bei der Personalarbeit.