Lara Jagdmann: Von Anfang an die entsprechenden Weichen stellen

Lara Jagdmann ist Marketing-Manager bei d.vinci HR-Systems GmbH in Hamburg. Mit ihr sprechen wir über Aufgaben moderner Personalsoftwaresysteme, Datenschutzgrundverordnung sowie Nutzung von Digitalisierung.

Lara Jagdmann

Auch in der Personalabteilung findet die Digitalisierung Einzug. Welche Aufgaben decken moderne Personalsoftwaresysteme ab?

Lara Jagdmann: HR-Software hat zum Ziel, Aufgaben zu digitalisieren und so die übergreifende Zusammenarbeit im Unternehmen zu erleichtern und dafür zu sorgen, dass keine Aufgaben mehr vergessen werden. Gerade bei der Suche nach neuen Kolleg:innen ist nicht nur eine Person in der Personalabteilung beteiligt, sondern viele Angestellte. Bei einem Bewerbermanagement geht es darum, die Bewerbenden unternehmensweit übersichtlich zu managen: Von der Personalanforderung bis zur Zusage. Beim Onboarding liegt der Fokus auf den neuen Mitarbeitenden: Die bestehende Belegschaft kann intern optimal zusammenarbeiten und den Kontakt zu den neuen Kolleg:innen herstellen.

Hier eine Übersicht, welche Aufgaben beispielsweise durch HR-Software abgedeckt werden können:

•          Personalanforderung managen

•          Stellenausschreibungen erstellen und veröffentlichen

•          Einbindung von Online-Assessments

•          Kategorisierung & Filterung von Bewerbungen

•          Kennenlern-Events planen

•          Zu- und Absagen mit wenigen Klicks

•          Reportingfunktion

•          Zeiterfassung

•          Lohnabrechnung

•          Digitale Aufgabenübersicht inkl. Fälligkeit

•          Mitarbeiterportal: Interaktiver Austauschkanal vor dem 1. Arbeitstag (Preboarding)

Aus vielerlei Gründen sind viele Betriebe gegen eine Software aus der Cloud. Können Sie uns den Unterschied von On-Premise- und Cloud-Systemen erklären?

Lara Jagdmann: On-premise bedeutet, dass eine Softwarelösung vom Anbieter gekauft und zur Nutzung auf den hauseigenen bzw. angemieteten Servern installiert wird. Die Hardware wird dabei nicht vom Anbieter bereitgestellt und der Betrieb der Lösung erfolgt eigenverantwortlich. Die Nutzung einer Software aus der Cloud bedeutet, dass nichts auf den lokalen Rechnern installiert wird, sondern dass die Lösung aus der Ferne genutzt wird. Im Falle von Software wird häufig von „Software as a Service“ (SaaS) gesprochen, bei denen der Software-Anbieter sich um Hosting und Betrieb des Systems kümmert. Auch das Preismodell unterscheidet sich: Bei On-Premise wird zumeist eine einmalige Lizenzgebühr gezahlt, um die Software zu erwerben. Unternehmen, die eine SaaS-Lösung einsetzen, zahlen im Normalfall nutzungsabhängig. Meistens sind die Kosten mit monatlichen Nutzungsgebühren abgegolten. Die Vorbehalte gegen eine Cloud-Lösung sind also unbegründet: Die Nutzung ist umgehend möglich, da keine Installation notwendig ist. Entsprechend fallen keine Zusatzkosten für Hardware und Infrastruktur an und der Anbieter muss für die ständige Verfügbarkeit und Ausfallsicherheit des Systems sorgen. Der Anbieter kümmert sich ebenfalls um Updates. Der Begriff „Cloud“ ruft unberechtigterweise oft die Assoziation der ungenügenden Sicherheit hervor, weil die Daten irgendwo auf ominösen, schlecht geschützten Servern rund um die Welt vermutet werden. Die Realität sieht aber oft so aus, dass Daten in Rechenzentren in Deutschland oder der EU gehostet werden, die gerade für den Bereich HR sehr strenge Sicherheitsstandards erfüllen, da sich die Softwareanbieter hier schon der Verantwortung bewusst sind. Hier lohnt sich auf jeden Fall das Gespräch mit den Anbietern über Sorgen & Bedenken, um am Ende herauszufinden, welcher Weg für ein Unternehmen wirklich der richtige ist.  

Seit dem 25. Mai 2018 ist das Datenschutzrecht maßgeblich durch die europäische Datenschutzgrundverordnung geprägt. Welche datenschutzrechtlichen Anforderungen gelten an HR-Softwares?

Lara Jagdmann: Ganz grundsätzlich kann man hier zunächst aufführen, dass bei HR-Software mit besonders sensiblen, personenbezogenen Daten gearbeitet wird. Daher gilt hier der besonders umsichtige Umgang mit diesen Daten und die Einhaltung des Datenschutzes.

Es gibt ein paar Dinge, auf die man bei der Auswahl eines Anbieters achten kann:

•          Die Daten bzw. Server sollten in Deutschland liegen. Man sollte auch prüfen, wer hierauf Zugriff hat und welche Sicherheitsmaßnahmen ergriffen werden.

•          Ein guter Indikator ist die Zertifizierung des Anbieters nach ISO 27001 eines bekannten Instituts. Diese Institute prüfen und bewerten regelmäßig den sicheren Betrieb der IT-Systeme, das Risiko- und Notfallmanagement sowie den Schutz aller vertraulichen Daten vor Hackerangriffen, Datenverlust und Missbrauch.

•          Nicht nur das Rechenzentrum, sondern auch der Anbieter selbst sollten zertifiziert sein – nur so kann sichergestellt werden, dass die auch Mitarbeitenden des Softwareanbieters die Sicherheitsrichtlinien leben.

•          Der Anbieter sollte proaktiv entsprechende vertragliche Vereinbarungen anbieten

•          Folgende Fragen können bei der Einschätzung eines Anbieters helfen:

o          Kann der Systemzugriff auf IP-Adressen beschränkt werden, sodass nur ein Login aus dem Firmennetzwerk möglich ist?

o          Ist ein klares Rollen- und Rechtekonzept gegeben, sodass der Zugriff auf die Bewerbendendaten pro Fachbereich geregelt werden kann?

o          Werden sämtliche Daten ausschließlich über verschlüsselte Verbindungen gesendet?

Im Zuge der Implementierung der Softwareanwendungen lauten die Grundsätze “privacy by default” und “privacy by design”. Wie genau sind diese Mottos zu verstehen?

Lara Jagdmann: Art. 25 der DSGVO trägt in der englischen Fassung den Titel: Data protection by design and by default und in der deutschen Fassung: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Was bedeutet das genau? Data Protection by Design, sprich durch Technikgestaltung, heißt, dass bei der Entwicklung einer Software oder Hardware, die personenbezogene Daten verarbeitet, auch der Datenschutz beachtet werden. Technische und organisatorische Maßnahmen spielen dabei schon im Entwicklungsstadium von Software und Hardware eine maßgebliche Rolle. Der technische Datenschutz verfolgt vor allem das Ziel, Nutzer:innen vor Risiken für ihre Rechte und Freiheiten zu schützen, ohne dass diese selbst darauf achten müssen. Bei der Programmierung von Programmen und Anwendungen gelten also ebenso Datenschutzstandards wie bei der späteren Nutzung. Für die Arbeit eines Software-Herstellers, also auch in unserem Fall, bedeutet dass, dass schon im Preplanning der Software ein Datenschutzauditor (TÜV) einbezogen wird. Klassische Fragestellungen hierbei sind z.B.

•          Wie gehen wir mit Bewerbungen von Bewerbenden unter 16 Jahren um?

•          Zu welchem Zeitpunkt darf gefragt werden, ob der/die Bewerbende später Poolkandidat werden möchte?

•          Welche Konfigurationsmöglichkeiten sollte es bezüglich der Löschfristen der personenbezogenen Daten der Bewerbenden geben?

Bei privacy by default geht es darum, datenschutzfreundliche Voreinstellungen von Anfang an zu implementieren. Während früher häufig möglichst viele Nutzerdaten getracked wurden, geht es bei privacy by default darum, möglichst wenig Daten in den Voreinstellungen zu sammeln. Beispielsweise bedeutet das, dass es zunächst keine oder nur sehr wenig Schnittstellen zu anderen Software-Dienstleistern gibt. Kunden können selbst im Laufe der Zeit und Nutzung entscheiden, welche Schnittstellen sie öffnen wollen und welche nicht. So haben Kunden die Möglichkeit, gezielt die Bewerbenden darüber zu informieren, was mit deren personenbezogenen Daten passiert.

Weitere datenschutzrechtliche Pflichten ergeben sich aus der Informationspflicht des Arbeitgebers. Wozu ist dieser gemäß Art. 13 und Art. 14 DSGVO verpflichtet?

Lara Jagdmann: Wir möchten an dieser Stelle keine Rechtsberatung leisten. Dies verbietet das Rechtsberatungsgesetz. Aber natürlich dürfen wir über die Fakten informieren, sprich, welche personenbezogenen Daten werden wann, wie und wie lange von unserer Software verarbeitet bzw. wie kann unser Kunde, dies in Zusammenarbeit mit seinem Datenschutzbeauftragten so einstellen, dass es für seine Belange DSGVO-konform ist. Arbeitgeber müssen die Bewerbenden natürlich darüber informieren, wer, wann, zu welchem Zweck, welche Daten wie lange von ihnen verarbeitet. Am Ende muss man sich vorstellen, dass der/die Bewerbende der/die Herrscher:in seiner/ihrer Daten ist. Wenn er/sie seine Daten preisgibt, muss er/sie vorher wissen, was mit seinen/ihren Daten passiert, wer die Daten bekommt etc. Und natürlich sollte er/sie auch darüber informiert werden, dass er/sie die Daten berichtigen und jederzeit wieder löschen lassen kann und an wen er/sie sich mit diesen Fragen wenden kann.

Ganz grundsätzlich kann man sagen, dass es bei der Einhaltung von Datenschutzrichtlinien um einige Grundsätze geht, die viel leichter mit einem elektronischen System einzuhalten sind. Diese Grundsätze sind:

•          Transparenz

•          Zweckbindung

•          Datenminimierung

•          Richtigkeit

•          Speicherbegrenzung

•          Vertraulichkeit

Alle Details dazu sind hier nachzulesen: https://www.dvinci.de/recruitingspot/dsgvo-ohne-system-laesst-sich-die-neue-gesetzgebung-kaum-einhalten/

Worauf müssen Konzerne achten, die eine HR-Software unternehmensübergreifend nutzen möchten?

Lara Jagdmann: Wie oben bereits erwähnt, sollten Unternehmen darauf achten, dass ihr Anbieter die Daten in der EU bzw. in Deutschland speichert. Zudem sollten nur die Daten übermittelt werden, die zur Erbringung der Dienstleistung notwendig sind. Wenn Unternehmen eine HR-Software bzw. ein Bewerbermanagement oder Onboarding übergreifend für mehrere Gesellschaften und/oder auch Standorte nutzen möchten, ist es grundsätzlich hilfreich, wenn die Struktur des Unternehmens klar ist und die Frage beantwortet werden kann, wie die Unternehmen intern arbeiten.

•          Gibt es ein HR-Team, welches sich um alle Standorte und Gesellschaften übergreifend und zentral kümmert? Oder gibt es hier deutliche Trennungen?

•          Gibt es unterschiedliche Abläufe, Prozesse oder pro Unternehmen einen ganz anderen Aufbau davon, wer was darf?

Ein wichtiger Punkt sind auch die Außenauftritte:

•          Wie werden Stellenausschreibungen nach außen dargestellt? Hat jedes Unternehmen eine eigene CI, Farbgebungen? Gibt es sogar eigene Jobbörsen auf den jeweiligen Websites?

All diese Punkte haben Auswirkungen auf die Konfiguration der Software. Es geht hierbei nicht darum, dass alles vorher bis ins Detail klar sein muss, oder dass Dinge im Nachhinein nicht noch angepasst werden können. Es sollten nur von Anfang an die entsprechenden Weichen gestellt werden, die das Umbauen oder Anpassen des Systems hinterher leichter machen, weshalb eine gute Idee davon vorhanden sein sollte, wie die Abläufe gestaltet werden sollen.

Frau Jagdmann, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.