Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 01/26

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
24. November 2025

Benutzerverwaltung im Personalbereich

DP+
Manche IT-Systeme etwa im Personalbereich verwenden feiner abgestufte Nutzerrollen, als das verbreitete Microsoft Actice Directory abbilden kann. Eine Folge: potenzielle Lücken in der datenschutzkonformen Verwaltung von Benutzerkonten.
Bild: iStock.com/asbe
0,00 (0)
drucken
Wo das Active Directory nicht reicht
„Bitte sperren Sie die Systemzugänge von Frau Schneider ab morgen“, lautet der Auftrag an die IT. Im Active Directory ist ihr Konto ab dem Folgetag schon deaktiviert. Ist der Fall damit erledigt? Nicht ganz. Denn was ist mit dem Bewerbungsportal, der Zeiterfassung oder der Lernplattform?

Bei vielen IT-Systemen läuft die Benutzerverwaltung außerhalb des Active Directory (AD; siehe zum Active Directory den Beitrag „Datenschutz und die Benutzerverwaltung“ in der Ausgabe 09/2025, S. 1–4). Hier lauern Datenschutzrisiken, die oft der Aufmerksamkeit entgehen.

Typische Systeme außerhalb des AD

Im Personalbereich kommen einige spezialisierte Anwendungen zum Einsatz, die eigene Benutzerkonten führen. So verwaltet das AD diese Konten nicht zentral. Hier eine Reihe von Beispielen:

  • SAP HCM und SAP SuccessFactors: klassische und cloudbasierte Personalverwaltung, Recruiting, Onboarding, Payroll und Learning
  • Workday: integrierte Suite für Personalmanagement, Gehaltsabrechnung und Talententwicklung
  • Oracle HCM Cloud: HR-Plattform (Human Resources) mit eigenständiger Benutzer- und Rollenverwaltung
  • Personio: besonders bei mittelständischen Unternehmen verbreitetes System für Bewerbungsmanagement, Personalverwaltung und Gehaltsabrechnung
  • ATOSS: Zeiterfassung und Personaleinsatzplanung inklusive Schichtplanung und Abwesenheitsverwaltung

Daneben gibt es etliche weitere Systeme wie E-Learning-Plattformen, Feedbackprogramme, BGM (betriebliches Gesundheitsmanagement) und Gesundheitsportale, Vergütungssysteme sowie digitale Personalaktenlösungen. Alle speichern personenbezogene Daten und verfügen über eigene Rollen- und Berechtigungsmodelle, oft ohne AD-Verbindung.

Die Einbindung in das AD ist häufig grundsätzlich möglich, mitunter aber sehr komplex. Sie findet deshalb in vielen Fällen nicht statt.

Warum wer…

Eberhard Häcker
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt testen

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
IT-Sicherheit
drucken
Verfasst von
Eberhard Häcker
Eberhard Häcker
Eberhard Häcker ist seit vielen Jahren als externer Datenschutz­beauftragter tätig. Seit 2005 ist Eberhard Häcker selbstständig mit Schwerpunkt Datenschutzberatung.
Verwandte Beiträge
15. Dezember 2025
DP+
Diese Gesetze und Verordnungen sind 2026 für DSB relevant
Bild: arsenisspyros / iStock / Getty Images Plus

Gesetze und Verordnungen: Das steht 2026 an

Hintergrund
Cybersicherheit IT-Sicherheit KRITIS NIS-2
12. Dezember 2025
DP+
Cyberkriminelle können generative KI nutzen, um ihre Angriffe zu skalieren und zu professionalisieren. Aber auch die großen Sprachmodelle (LLMs), auf denen generative KI beruht, können wiederum selbst Ziel unterschiedlichster Angriffsarten sein.
Bild: iStock.com/peshkov

Angriffe auf LLMs

Ratgeber
Cybersicherheit IT-Sicherheit KI
04. Dezember 2025
Personenbezogene Daten müssen korrekt und unversehrt sein. Dazu müssen Verantwortliche Maßnahmen für den Schutz und die Kontrolle der Integrität ergreifen.
Bild: iStock.com / Marcela-Vieira

Was heißt „Integrität“ im Zusammenhang mit dem Datenschutz?

Hintergrund
IT-Sicherheit
26. November 2025
DP+
DSB sollten Datenschutzrisiken der Lieferkette nicht nur gegenüber der IT-Abteilung und dem Einkauf ansprechen, sondern auch mit dem Risikomanagement- Team diskutieren
Bild: iStock.com/thitivong

Supply Chain Risk Management

Ratgeber
IT-Sicherheit NIS-2
10. November 2025
Damit Schülerinnen und Schüler die digitale Welt sicher entdecken: Die Initiative Datenschutz geht zur Schule (DSgzS) setzt sich für den sicheren Umgang mit digitalen Technologien ein.
Bild: Drazen Zigic / iStock / Getty Images Plus

Neue Akzente für Datenschutzbildung an Schulen

News
DSGVO IT-Sicherheit KI
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.