staffboard: HR-Digitalisierung hat nur zwei Ansätze

Wir sprechen heute mit dem Gründer des Münchner-Software-Unternehmens staffboard, David Hajizadeh, über die Vor- und Nachteile von Cloud-basierten HR-Softwaresystemen.

Auch in der Personalabteilung findet die Digitalisierung Einzug. Welche Aufgaben decken moderne Personalsoftwaresysteme ab?

David Hajizadeh: Wir würden sagen: Es ist höchste Zeit! Höchste Zeit insofern, dass zu viele Personalabteilungen gerade in kleinen und mittleren Unternehmen eher altertümlich unterwegs waren. Sie haben lange genug auf mehr oder weniger analoge und manuelle Weise gearbeitet. Im besten Fall wurden teilweise „IT-gestützte“ Systeme eingesetzt. Damit meinen wir die klassischen Personalunterlagen aka Mitarbeiterakte in ausschließlich ausgedruckter Form in Ordnern oder Hängeregistern, die sich physikalisch ausschließlich in den Betriebsräumen befinden. Progressiv war für manche schon die Organisation und Pflege von Personalstammdaten in Excel und die „digitale“ oder „elektronische“ Personalakte auf dem Laufwerk oder ein Bewerbermanagement über das Outlook-Postfach mit automatischer Eingangsbestätigung. Es ist offenkundig, wie wenig zielführend und nachhaltig es ist, im Jahr 2022 so zu arbeiten.

Grundsätzlich lässt sich bei der HR-Digitalisierung zwischen zwei verschiedenen Ansätzen unterscheiden. Beide haben ihre Vor- und Nachteile:

So gibt es auf bestimmte Bereiche spezialisierte Tools und Lösungen, etwa für das Recruiting & Bewerbermanagement oder die Arbeitszeiterfassung. Diese fokussieren vorrangig bestimmte Kernprozesse, etwa die digitale Abbildung des Recruiting & Bewerbermanagements. Dabei gehen sie entsprechend in die Tiefe und erlauben vielfach sehr umfassende Möglichkeiten und granulare Einstellungen. Aufgrund der Spezialisierung sind diese Lösungen limitiert und können bestimmte, darauf aufbauende Prozesse wie etwa das Onboarding oder die Organisation der Mitarbeiterstammdaten und der digitalen Personalakte nicht bieten.

Demgegenüber stehen Plattformlösungen oder sogenannte Full-Service-Anbieter, die recht breit den kompletten „Lebenszyklus der Mitarbeiter*innen“ abdecken. Dabei sind eine Vielzahl unterschiedlicher Module und Funktionalitäten in einem System bzw. auf einer Benutzeroberfläche. Dies reicht vom Finden (Stellenausschreibungen, Recruiting & Bewerbermanagement etc.) über das Verwalten (Onboarding, Personallisten, Stammdaten, Digitale Personalakte, Abwesenheiten, Zeiterfassung, Lohn & Gehalt, Offboarding etc.) bis hin zum Binden und Entwickeln (Zielvereinbarungen, Feedback etc.) der Mitarbeiter*innen. Hier gibt es in der Regel die Möglichkeit, auch zu einem späteren Zeitpunkt die dann benötigten Module zu nutzen. Zudem bauen viele Module und Prozesse aufeinander auf und bieten eine gewisse Durchgängigkeit der Daten. Aufgrund der Breite der Funktionen in einem System bieten HR Plattformen typischerweise etwas weniger Details im einzelnen HR Prozess als eine spezialisierte Lösung es kann.

Aus vielerlei Gründen sind viele Betriebe gegen eine Software aus der Cloud. Können Sie uns den Unterschied von On-Premise- und Cloud-Systemen erklären?

David Hajizadeh: Diese Aussage können wir nicht pauschal bestätigen. Wir sehen außerordentlich viele Organisationen, die sich aus sehr nachvollziehbaren Gründen bewusst für eine Cloud-Lösung entscheiden. Argumente dafür sind etwa die Vorteile, keine eigene und oft teure Infrastruktur betrieben zu müssen, damit zusammenhängend eine einfachere oder wegfallende Wartung der Systeme, die Verfügbarkeit von Updates und damit auch eine gefühlt viel höhere Datensicherheit etc.

In einer HR-Software werden typischerweise sensible, personenbezogene und -beziehbare Daten verarbeitet. Der Unterschied zwischen On-Premise- und Cloud-Systemen bezieht sich also darauf, wo diese Datenverarbeitung genau stattfindet. Bei einer sogenannten On-Premise-Lösung befindet sich die HR-Software auf der Infrastruktur des eigenen Unternehmens und dementsprechend werden die HR-Daten auch dort verarbeitet. Eine Cloud-Lösung sieht meist ein externes Hosting vor, d.h. die HR-Software liegt beim Anbieter oder in den Rechenzentren eines Hosting-Providers, der als Dienstleister die Server bereitstellt und diese Cloud betreibt.

Eine Entscheidung pro oder contra Cloud erfolgt mittlerweile sehr häufig in enger Abstimmung mit dem eigenen Datenschutzbeauftragten, was aufgrund der Art der verarbeiteten Daten nachvollziehbar und richtig ist.

Dabei ist sicherlich von Bedeutung, um was für eine Cloud-Lösung es sich im Detail handelt. So haben Anbieter, die – wie wir – die HR-Software in der Bundesrepublik Deutschland bei deutschen Cloud-Hosting-Providern sind, die ihre Rechenzentren in Deutschland betreiben, oft einen Vorteil gegenüber Anbietern, deren Daten auf einer nicht-deutschen Infrastruktur liegen.

Übrigens: Sämtliche Studien bestätigen, dass der Markt für Cloud Computing speziell während. Corona stark gewachsen ist und weiter an Bedeutung gewinnen wird (Quellen: u.a. Cloud Monitor 2021 von Bitkom Research, Kroker’s Look @ IT im Blog der Wirtschaftswoche, Parallels SMB Cloud Insights für den deutschen Markt, ). Und das gilt sicherlich auch für den Personalbereich – in anderen Unternehmensfunktionen werden Cloud-Lösungen schon seit langem eingesetzt wie etwa CRM-Systeme oder Buchhaltungssoftware etc.

Seit dem 25. Mai 2018 ist das Datenschutzrecht maßgeblich durch die europäische Datenschutzgrundverordnung geprägt. Welche datenschutzrechtlichen Anforderungen gelten an HR-Softwares?

David Hajizadeh: Die Anforderungen an eine HR-Software aus Sicht des Datenschutzes waren aus unserer Perspektive schon immer sehr hoch. Die Grundlage ist das deutsche Bundesdatenschutzgesetz. Mit Einführung und Umsetzung der EU-DSGVO (Datenschutzgrundverordnung) im Mai 2018 auch auf das nationale Recht ist der Stellenwert sicherlich nochmals gestiegen.

Wie bereits erwähnt werden in einer HR-Software besonders sensible, personenbezogene und -beziehbare Daten verarbeitet. Natürlich kommt es immer darauf an, wie umfänglich eine Organisation seine HR-Software pflegt und welche Daten der Bewerber*innen und Mitarbeiter*innen dort wirklich eingetragen werden. Allerdings kommen in der Regel erst durch umfassende Datensätze die Vorteile einer HR-Software zum Tragen. Die Motivation bei der Einführung einer HR-Software sind also beispielsweise die Konsolidierung sämtlicher Daten in einem oder wenigen Systemen, die digitale Verfügbarkeit und Auswertbarkeit der Daten in Echtzeit, die Aktualität und Möglichkeit der Aktualisierung über einen Employee-Self-Service (d.h. die Mitarbeiter*innen haben Zugriff auf das System, können ihre Personaldaten und Dokumente einsehen und gegebenenfalls Änderungen beantragen oder durchführen) usw.

Vor diesem Hintergrund kommt der Vereinbarung zur Auftragsverarbeitung (kurz: AV-Vereinbarung) eine entscheidende Rolle zu: Das ist insbesondere dann wichtig, wenn Organisationen für bestimmte Teilprozesse oder gesamthaft eine HR-Software einsetzen. Denn diese AV-Vereinbarung beschreibt und regelt, welche Daten in einer HR-Software verarbeitet werden und welche technischen und organisatorischen Maßnahmen dafür existieren.

Im Zuge der Implementierung der Softwareanwendungen lauten die Grundsätze “privacy by default” und “privacy by design”. Wie genau sind diese Mottos zu verstehen?

David Hajizadeh: Diese beiden Leitlinien finden sich in der DSGVO wieder. So ist der Artikel 25 mit „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ überschrieben. Im Detail geht es hier um die Ausgestaltung der sogenannten TOMs, also der bereits erwähnten technischen und organisatorischen Maßnahmen im Zuge der Datenverarbeitung.

Dabei meint der Begriff „Datenschutz durch Technikgestaltung“ den Aspekt „Privacy by Design“: Demnach soll also eine technische Lösung wie eine HR-Software so konzipiert sein, dass entsprechende Maßnahmen zum Schutz der Daten bereits im System integriert sind und je nach Anwendungsfall ausgestaltet werden können. Ein gutes Beispiel dafür sind die Vergabe von Zugriffsrechten zu Benutzerrollen sowie Vorgaben bei der Anmeldung am System (etwa eine Passwort Policy).

„Privacy by Default“ bezieht sich auf die genannten „datenschutzfreundlichen Voreinstellungen“. Konkret: Es gibt gewisse systemische Einstellungen, die die Datenverarbeitung je nach Verarbeitungszweck, Umfang der Daten oder Speicherfrist vorgeben. Zum Beispiel ist hier die automatische Löschung der Bewerbungsunterlagen abgelehnter Bewerber*innen nach einer gewissen Frist zu nennen.

Sinnvollerweise sind in einer HR-Software beide Grundsätze erfüllt und gleichzeitig besteht eine gewisse Flexibilität. So sollten die Administratoren eines Systems z.B. in der Lage sein, je nach Bedarf Rollen- und Rechteeinstellungen anzupassen bzw. zu erweitern. Auch sollten sie nach Möglichkeit die Felder zur Erfassung von Bewerber- und Mitarbeiterdaten flexibel erweitern bzw. unterschiedlichen Nutzergruppen zugänglich machen können, sofern es ein berechtigtes Interesse an der Verarbeitung gibt oder es für den jeweiligen Verarbeitungszweck erforderlich ist.

Weitere datenschutzrechtliche Pflichten ergeben sich aus der Informationspflicht des Arbeitgebers. Wozu ist dieser gemäß Art. 13 und Art. 14 DSGVO verpflichtet?

David Hajizadeh: In diesen beiden Artikeln der DSGVO geht es um die Rechte der Betroffenen, also der Personen, deren Daten verarbeitet werden. Im Falle einer HR-Software sind das typischerweise Bewerber- und Mitarbeiterdaten.

Werden also personenbezogene Daten von Bewerber*innen oder Mitarbeiter*innen verarbeitet, so ist der dafür Verantwortliche (d.h. das Unternehmen) in der Pflicht, die Betroffenen zu informieren, was mit ihren Daten geschieht. Dies umfasst den Zweck der Datenverarbeitung (also warum benötigen wir diese Daten?) sowie die damit verbundenen Rechte für die Betroffenen.

In der staffboard HR Software sind dafür an mehreren Stellen nützliche Voreinstellungen verfügbar. So können unsere Kunden bei den auf ihrer Website ausgeschriebenen Stellen zum Beispiel eine Checkbox zur Zustimmung der Datenverarbeitung einbinden. Bewerber*innen müssen hier bewusst ein Häkchen setzen, um ihre Bewerbung abzusenden und können über einen gesonderten Link Informationen und Rechte zur Datenverarbeitung einsehen. Auch bei der Einführung von staffboard im Unternehmen lassen sich zum Beispiel im Rahmen einer allgemeinen E-Mail aus dem System an die Belegschaft die Informationen und Rechte zur Datenverarbeitung kommunizieren. Beim Onboarding neuer Mitarbeiter*innen können analog dazu Willkommens-E-Mails aus dem System versendet werden, die zur Datenverarbeitung informieren.

Worauf müssen Konzerne achten, die eine HR-Software unternehmensübergreifend nutzen möchten?

David Hajizadeh: Das ist nicht so leicht zu beantworten, da unsere Lösung vorrangig Startups, kleine und mittlere Unternehmen sowie gemeinnützige Organisationen bis etwa 1.000 Mitarbeiter*innen adressiert. Gerade aber, wenn in einer Organisation länderübergreifend und auch außerhalb Europas gearbeitet wird, sollten die Besonderheiten des Arbeitsrechts in den jeweiligen Ländern der Betriebsstäten in der HR-Lösung abbildbar sein. Dies betrifft z.B. die Prozesse im Abwesenheitsmanagement, also die Beantragung von Urlauben und Krankheiten und deren Berechnungen. Hier gibt es lokale Unterschiede (Arbeitstage vs. Wochentage, regionale Feiertage etc.). Eine weitere Herausforderung ist vielleicht die Sprache der HR-Software, wenn die Mitarbeiter*innen an den Auslandsstandorten nicht deutsch und englisch sprechen – welche weiteren Sprachbibliotheken lassen sich ins System integrieren? Ansonsten ist man in Punkto Datenschutz prinzipiell sehr gut aufgestellt, wenn man eine HR-Software einsetzt, die den deutschen Anforderungen genügt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.