Auch in der Personalabteilung findet die Digitalisierung Einzug. Welche Aufgaben decken moderne Personalsoftwaresysteme ab?
Andreas Zipser: Da im Personalwesen nicht erst seit gestern digitalisiert wird, bilden digitale Personallösungen mittlerweile das gesamte Spektrum ab. Ganz oben stehen die Klassiker: die digitale Personalakte und Bescheinigungsdokumente wie zum Beispiel Zeugnisse. Im aktiven Personalmanagement unterstützt Software heute außerdem beim Recruiting, bei Aus- und Fortbildungen, On- und Offboarding, Analysen sowie weiteren Prozessen rund um das Tagesgeschäft in der Organisation.
Viele der kleineren Aufgaben, die täglich anfallen, erledigen Mitarbeitende heute selbst mittels digitaler Self-Services. Das heißt: Zeiterfassung, Abwesenheitsbuchungen und die Verwaltung alltäglicher Dokumente geschehen über ein digitales Portal und belasten die Personalabteilung nur noch in äußerst geringem Maße. Für große Unternehmen ist Personalmanagement ohne Self-Services gar nicht mehr vorstellbar. Abgerundet wird diese neue Effizienz durch automatisierte digitale Workflows, die zuvor manuelle Prozesse ideal beschleunigen.
Aus vielerlei Gründen sind viele Betriebe gegen eine Software aus der Cloud. Können Sie uns den Unterschied von On-Premises- und Cloud-Systemen erklären?
Andreas Zipser: Ob Cloud oder on-premises – moderne Lösungen verfügen in der Regel über moderne webbasierte Oberflächen. Für die User selbst besteht deshalb kein sofort sichtbarer Unterschied zwischen cloud-basierten Lösungen und Lösungen, die on-premises betrieben werden. Die Umgewöhnungszeit ist praktisch nicht vorhanden.
Unterschiede existieren vor allem in der Betriebsverantwortung: Bei On-Premises-Lösungen verantwortet die betriebseigene IT den einwandfreien Betrieb, die Verfügbarkeit und Sicherheit der Lösungen. Bei Cloud-Lösungen hingegen übernimmt der Anbieter der Lösung diese Verantwortung. Der Kunde wird entlastet und kann sich ganz auf die eigentliche Arbeit mit der Software fokussieren. Das bedeutet auch, dass Softwareaktualisierungen schnellstmöglich eingespielt werden und die Datenintegrität bei solchen Vorgängen ebenfalls Aufgabe des Anbieters bleibt.
Seit dem 25. Mai 2018 ist das Datenschutzrecht maßgeblich durch die europäische Datenschutzgrundverordnung geprägt. Welche datenschutzrechtlichen Anforderungen gelten an HR-Softwares?
Andreas Zipser: Beim Thema Datenschutz – oder spezieller dem Umgang mit personenbezogenen Daten –nimmt die europäische Datenschutzgrundverordnung Unternehmen europaweit einheitlich noch etwas stärker in die Pflicht als es die Regelungen des bereits deutlich länger bestehenden Bundesdatenschutzgesetzes taten. Die Unterschiede liegen in den Details und in den deutlich verschärften Sanktionen bei Verstoß gegen die Bestimmungen.
Weitreichende und damit deutlich erkennbare Veränderungen bestehen in der Informationspflicht der datenverarbeitenden Organisationen zum Umgang mit den erhobenen Daten. Auch muss für viele Datenerhebungen die explizite und dokumentierte Zustimmung der Betroffenen eingeholt werden.
HR-Systeme arbeiten besonders intensiv mit personenbezogenen Daten mit hohem Schutzbedarf, wie zum Beispiel Informationen über den Krankenstand, Fehlzeiten oder Unterhaltsverpflichtungen. Es ergeben sich daraus unter anderem folgende unmittelbare Auswirkungen, die grundsätzlich ebenso für jede andere Software, die personenbezogene Daten verarbeitet, gelten:
• Mitarbeitende müssen über die Verwendung ihrer personenbezogenen Daten detailliert informiert werden.
• Personen – hier also vor allem Mitarbeitende – können jederzeit vollständige Auskunft über die gespeicherten personenbezogenen Informationen verlangen.
• Diese Daten sind auf Aufforderung zu löschen, sofern sie nicht zwingend aus operativen oder juristischen Gründen aufbewahrt werden müssen.
Das heißt auch: Es handelt sich größtenteils um übergreifende Anforderungen, die die reine Funktionsweise DSGVO-konformer HR-Software in den täglichen Aufgaben meist nur wenig beeinträchtigen. Die richtige Lösung mit den richtigen Voraussetzungen für aktuellen Datenschutz ist häufig die halbe Miete. Aufgrund der besonders hohen Sensibilität der Daten im Personalwesen ist zu empfehlen, Datensicherheit beispielsweise durch verschlüsselte Ablagen und Kommunikation zu gewährleisten sowie regelmäßige Security-Audits durchzuführen.
Im Zuge der Implementierung der Softwareanwendungen lauten die Grundsätze “privacy by default” und “privacy by design”. Wie genau sind diese Mottos zu verstehen?
Andreas Zipser: Artikel 25 der DSGVO definiert den „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Folglich sind Systeme so zu gestalten, dass nur solche Daten erhoben werden, die unmittelbar für die Erledigung der definierten Aufgaben erforderlich sind. Diesen Aspekt versteht man als “privacy by design”.
Zugleich sind alle Systeminteraktionen so auszulegen, dass in den Voreinstellungen nur das absolute Minimum an Informationen erhoben wird. Sollen optional mehr Informationen verarbeitet werden, so ist dies nur nach ausdrücklicher und aktiver Zustimmung des Users zulässig – “privacy by default”. Speziell im Bereich der Mitarbeiter-Self-Services und -portale sowie der Bewerber-Self-Services und -portale müssen diese Regeln konsequent umgesetzt werden.
Weitere datenschutzrechtliche Pflichten ergeben sich aus der Informationspflicht des Arbeitgebers. Wozu ist dieser gemäß Art. 13 und Art. 14 DSGVO verpflichtet?
Andreas Zipser: Laut Artikel 13 zur „Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“ muss der Arbeitgeber Datenschutzbeauftragte und Ansprechpersonen für die Verarbeitung von Daten benennen. Der Arbeitgeber muss außerdem Zweck und Umfang der Verarbeitung personenbezogener Daten sowie Art und Dauer der Aufbewahrung detaillieren.
Artikel 14 zur „Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“ hingegen konkretisiert Artikel 13: Alle Rechte der Person – beziehungsweise alle Pflichten des Arbeitgebers – gelten explizit auch dann, wenn personenbezogene Informationen mittelbar, also nicht direkt von der Person, erhoben werden.
Worauf müssen Konzerne achten, die eine HR-Software unternehmensübergreifend nutzen möchten?
Andreas Zipser: Im Sinne der DSGVO ist zunächst jedes Unternehmen isoliert zu betrachten. Sollen die personenbezogenen Informationen unternehmensübergreifend verarbeitet werden – auch Shared Service Center genannt – so muss der Mitarbeiter oder die Mitarbeiterin auf jeden Fall darüber informiert werden und erhält die nötigen Rechte gegenüber der datenverarbeitenden Instanz.
Außerdem muss sichergestellt sein, dass personenbezogene Informationen ausschließlich in dem Unternehmen abgerufen werden können, dem der Mitarbeiter oder die Mitarbeiterin zugeordnet ist – beziehungsweise in dem Unternehmen, mit dem ein Arbeitsverhältnis besteht.
Zusammenfassend lässt sich sagen: Das alles klingt nach viel Arbeit – und ist auch nicht zu unterschätzen, da die Datenschutzmaßnahmen dauerhaft und lückenlos aufrechterhalten werden müssen. Die richtige Lösung von Anbietern wie EASY SOFTWARE übernimmt jedoch meistens hochautomatisiert bereits eine große Strecke auf dem Weg zum datenschutzkonformen digitalen Personalmanagement.
