KI & DigitalisierungHR Tech

Checkliste

Schutz sensibler Personal- und Unternehmensdaten

Cyberangriffe sind eine wachsende Bedrohung – auch fürs HR. Sensible Mitarbeitendendaten, Bewerbungsunterlagen und Lohninformationen sind ein attraktives Ziel für Cyberkriminelle. Diese Checkliste hilft, Datenschutzrisiken zu minimieren, IT-Sicherheitslücken zu schliessen und Mitarbeitende für Cybersicherheit zu sensibilisieren.

von Daniel Thüler
Das Bild ist eine Vektorgrafik mit diversen Cartoonfiguren und einem Finger, der listig ein Schloss öffnet, um an Ihre Daten zu gelangen.

Es ist unerlässlich, dass auch HR-Profis die Grundlagen der Cybersecurity kennen. (Bild: iStock)

In der digitalen Arbeitswelt hat die Cybersicherheit längst auch das Personalwesen erreicht. HR-Abteilungen arbeiten tagtäglich mit hochsensiblen Informationen – von Bewerbungsunterlagen über Lohn- und Sozialversicherungsdaten bis hin zu Aufzeichnungen von vertraulichen Personalgesprächen. Diese Daten sind nicht nur für das Unternehmen von grossem Wert, sondern können auch ein attraktives Ziel für Cyberkriminelle sein. 

Datenlecks, Phishing-Angriffe oder unbefugter Zugriff auf Mitarbeitendeninformationen können nicht nur hohen finanziellen Schaden verursachen, sondern auch das Vertrauen der Mitarbeitenden und die Reputation des Unternehmens gefährden.  Gleichzeitig stehen HR-Professionals vor der Herausforderung, moderne digitale Lösungen wie Cloud-basierte HR-Software oder KI-gestützte Recruiting-Tools sicher zu nutzen. 

Die Einhaltung gesetzlicher Datenschutzbestimmungen, insbesondere des revidierten Schweizer Datenschutzgesetzes (revDSG), macht es zudem unerlässlich, dass HR-Teams ein solides Verständnis für Cybersicherheitsrisiken entwickeln und wirksame Schutzmassnahmen umsetzen. 

Diese Checkliste bietet eine praxisnahe Orientierung für HR-Verantwortliche, um ihre Cybersecurity-Strategie gezielt zu verbessern. Sie umfasst zentrale Massnahmen in den Bereichen Datensicherheit, IT-Systeme, Mitarbeitendensensibilisierung, rechtliche Anforderungen sowie Notfallmanagement. Durch die konsequente Umsetzung dieser Sicherheitsvorkehrungen kann HR aktiv dazu beitragen, das Unternehmen vor Cyberbedrohungen zu schützen und den verantwortungsvollen Umgang mit sensiblen Personaldaten sicherzustellen.

1. Grundlagen der Cybersecurity im HR-Bereich


✅ Verständnis der Bedrohungslage

  • Sensibilisierung für Cyberrisiken, speziell für personenbezogene Daten (z. B. Identitätsdiebstahl, Phishing, Social Engineering). Weitere Informationen.
  • Berücksichtigung der rechtlichen Datenschutzvorgaben (z. B. revDSG, DSGVO bei europäischen Verbindungen). Mehr dazu hier.

2. IT-Sicherheit und HR-Software


✅ Sicherer Zugriff auf HR-Tools

  • Nutzung von Multi-Faktor-Authentifizierung (MFA) für HR-Software.
  • Vermeidung von geteilten Logins oder unsicheren Passwörtern.
  • Schulung der HR-Mitarbeitenden zur Nutzung sicherer Passwortrichtlinien.

✅ Updates und Wartung von HR-Systemen

  • Regelmässige Updates von HR-Software (z. B. ATS, Payroll-Systeme, HRIS).
  • Sicherheitsprüfungen und Schwachstellenanalysen in Zusammenarbeit mit der IT-Abteilung.

✅ Cloud-Sicherheit

  • Prüfung der Sicherheitsstandards externer Cloud-Dienste für HR-Daten.
  • Vertragsprüfung bezüglich Datenschutz und Sicherheitsmassnahmen bei externen HR-Dienstleistern.

3. Mitarbeitendensensibilisierung und Schulungen


✅ Cybersecurity-Schulungen für HR und alle Mitarbeitenden

  • Regelmässige Schulungen zu Phishing, Social Engineering und Passwortsicherheit.
  • Simulierte Phishing-Tests zur Überprüfung der Awareness.

✅ Sichere Onboarding- und Offboarding-Prozesse

  • Überprüfung der Sicherheitsmassnahmen für neue Mitarbeitende (z. B. sichere Passwörter ab Tag 1).
  • Entzug aller IT-Zugriffsrechte unmittelbar nach dem Ausscheiden von Mitarbeitenden.

✅ Kommunikation / Meldesysteme

  • Klare Meldewege für Sicherheitsvorfälle definieren.
  • Sicherstellen, dass Mitarbeitende wissen, wo sie verdächtige Aktivitäten melden können.

4. Datenschutz und rechtliche Anforderungen in der Schweiz
 

✅ Einhaltung des revidierten Datenschutzgesetzes (revDSG)

  • Kenntnis der Datenschutzanforderungen für HR-Daten.
  • Implementierung einer Datenschutzrichtlinie für HR-Prozesse.

✅ Vertragsprüfung mit Dienstleistern

  • Sicherstellung, dass Drittanbieter von HR-Software und Payroll-Dienstleistungen die DSG-Anforderungen erfüllen.
  • Abschluss von Auftragsdatenverarbeitungsverträgen (ADV) mit externen Dienstleistern.

✅ Lösch- und Aufbewahrungs­fristen beachten

  • Implementierung einer Richtlinie zur Löschung von Bewerbungsunterlagen nach Ablauf der Fristen.
  • Berücksichtigung von gesetzlichen Aufbewahrungspflichten für Mitarbeitendendaten.

5. Notfallmanagement und Krisenreaktion
 

✅ Notfallplan für HR-relevante Cybersecurity-Vorfälle

  • Klare Definition der HR-Rolle im Cybersecurity-Notfallmanagement.
  • Zusammenarbeit mit IT und Datenschutzverantwortlichen zur schnellen Reaktion.

✅ Datensicherungen und Wiederherstellung

  • Sicherstellung, dass alle kritischen HR-Daten regelmässig gesichert werden.
  • Regelmässige Tests der Wiederherstellungsprozesse.

✅  Transparente Kommunikation im Ernstfall

  • Klare Richtlinien zur Kommunikation mit betroffenen Mitarbeitenden bei Datenlecks.
  • Sicherstellung, dass Datenschutzverletzungen rechtzeitig an die zuständigen Behörden gemeldet werden, insbesondere wenn Ihr Unternehmen als «kritische Infrastruktur» eingestuft ist. Weitere Informationen.
Kommentieren 0 Kommentare HR Cosmos
Daniel Thüler
Text: Daniel Thüler

Daniel Thüler, Chefredaktor HR Today, daniel.thueler@hrtoday.ch

Weitere Artikel von Daniel Thüler

Das könnte Sie auch interessieren