Auch in der Personalabteilung findet die Digitalisierung Einzug. Welche Aufgaben decken moderne Personalsoftwaresysteme ab?
Ferenc Albrecht: Moderne Personalsoftwaresysteme decken mittlerweile nahezu alle Funktionen- und Aufgabenbereiche einer Personalabteilung ab. Sei es von dem Recruiting zur passgenauen Besetzung einer Vakanz, über das digitale Onboarding eines neuen Mitarbeitenden bis hin zur Talentfindung- und -entwicklung in mittleren und größeren Unternehmen.
Aus vielerlei Gründen sind viele Betriebe gegen eine Software aus der Cloud. Können Sie uns den Unterschied von On-Premise- und Cloud-Systemen erklären?
Ferenc Albrecht: On-Premise-Systeme sind Programme, die auf eigenen Server gehostet werden. So wie man früher die neueste Office Version auf CD-Rom gekauft und auf seinem lokalen Rechner installiert hat. Programme aus der Cloud können hingegen ohne eigenen Server betrieben werden. Die Anwendungen werden in der Cloud gehostet und sind so von überall mit einem Browser aufrufbar. Es gibt dabei allerdings feine Unterschiede. So kann ich als Unternehmen beispielsweise auch selbst Anwendungen in einer so genannten Private Cloud hosten. Häufig denken wir bei Cloud Anwendungen an SaaS-Lösungen, also Software as a Service. So wie wir heute bspw. Office365 nutzen. Wir zahlen ein monatliches Entgelt und der Softwareanbieter stellt Funktion und Erreichbarkeit sicher.
Seit dem 25. Mai 2018 ist das Datenschutzrecht maßgeblich durch die europäische Datenschutzgrundverordnung geprägt. Welche datenschutzrechtlichen Anforderungen gelten an HR-Softwares?
Ferenc Albrecht: Da mittels HR-Software Bewerber:innen und Mitarbeiter:innen Daten verarbeitet werden, fallen diese unter den Schutz der Datenschutzgrundverordnung. Dies beinhaltet unter anderem das Prinzip der Datenminimierung, also nur die Daten zu erfassen, die tatsächlich für das Anliegen erforderlich sind. Auch das Prinzip der Richtigkeit oder der Vertraulichkeit sind wichtige Grundprinzipien der DSGVO. Hier können moderne HR-System sehr gut unterstützen. Im Rahmen des Self-Service kann ein Mitarbeitender Einblick über die über ihn erfasste Daten erhalten. Mittels umfangreicher Rollen- und Berechtigungsstrukturen können Personalprozesse innerhalb des Systems abgebildet werden. Die Zeit, in der Personalunterlagen oder Bewerbungen durch das Unternehmen gereicht wurden, sollten der Vergangenheit angehören.
Im Zuge der Implementierung der Softwareanwendungen lauten die Grundsätze “privacy by default” und “privacy by design”. Wie genau sind diese Mottos zu verstehen?
Ferenc Albrecht: Sowohl bei der Entwicklung als auch bei der Bedienung der Software müssen die Grundsätze des Datenschutzes berücksichtigt werden. So sollten technisch Maßnahmen der Software („by design“) mögliche Verstöße gegen den Datenschutz verhindern. Das gleiche gilt für die Nutzung der Software, welche idealerweise ein hohes Maß an Datenschutzeinstellungen („by default“) an den Nutzer ausliefert.
Weitere datenschutzrechtliche Pflichten ergeben sich aus der Informationspflicht des Arbeitgebers. Wozu ist dieser gemäß Art. 13 und Art. 14 DSGVO verpflichtet?
Ferenc Albrecht: Bei der Beantwortung dieser Frage möchte ich kurz vorweg stellen, dass ich kein Jurist bin. Die beiden Artikel 13 und 14 der DSGVO regeln grob zusammengefasst, welche Informationsansprüche ich als betroffene Person haben, wenn über mich personenbezogenen Daten erfasst werden. Es ist der betroffenen Person u.a. entsprechend mitzuteilen, wer die Daten erfasst und mit welchem Ziel diese auch verarbeitet werden. Es soll eine faire und transparente Verarbeitung der Daten erfolgen.
Worauf müssen Konzerne achten, die eine HR-Software unternehmensübergreifend nutzen möchten?
Ferenc Albrecht: Eine unternehmensübergreifende Nutzung von HR-Software im Sinne einer gemeinsamen Nutzung von HR-Daten setzt grundsätzlich ein betriebliches Interesse voraus. Dies gilt es im Einzelfall abzuwägen. Für die Nutzung muss ggf. eine entsprechende Auftragsdatenverarbeitung vorliegen. Die Mitarbeitenden oder Bewerber müssen ggf. gemäß DSGVO darüber in Kenntnis gesetzt werden (Informationspflicht des Arbeitgebers) bzw. ihre Einwilligung geben. Der Begriff Konzern ist dabei in Artikel 4 der DSGVO als „Unternehmensgruppe“ – eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen, definiert. In jedem Fall ist es empfehlenswert, bei allen Fragestellungen zur Erfassung, Nutzung und Weitergabe von personenbezogenen Daten, diese mit dem eigenen Datenschutzbeauftragten oder einer spezialisierten Anwaltskanzlei bzw. Beratung zu erörtern.
