Steffen Michel & Thorsten Jordan: Datenschutzrechtliche Anforderungen an Personalsoftware-Systeme

In unserem heutigen Interview mit Steffen Michel, Geschäftsführer von MHM HR, einem Unternehmen für HR-Lösungen & Thorsten Jordan, Geschäftsführer bei ENSECUR, einer spezialisierten Datenschutz-Firma, wollen wir erfahren, welche Anforderungen Personalsoftware-Systeme erfüllen müssen.

Auch in der Personalabteilung findet die Digitalisierung Einzug. Welche Aufgaben decken moderne Personalsoftwaresysteme ab?

Steffen Michel

Steffen Michel: Da gibt es sehr große Unterschiede. Einige große Anbieter verfolgen den Ansatz, ihren Kunden eine vollumfängliche Software-Suite zu liefern, die alle Bereiche des Personalmanagements abdeckt: Recruiting, digitale Personalakte, Learning & Development etc. Das hat für Unternehmen in puncto Aufwand natürlich Vorteile, da sie so nicht für jeden HR-Bereich verschiedene Systeme vergleichen, auswählen und implementieren müssen. Dabei sollten Verantwortliche aber bedenken, dass auch die großen Software-Anbieter Schwerpunkte setzen müssen, ergo nicht in jedem HR-Bereich Experte sein können. Sie sollten sich also immer die Fragen stellen, ob es wirklich sinnvoll ist, alle Systeme des Full-Service-Anbieters ohne Wenn und Aber zu übernehmen – oder ob sie nicht doch in dem ein oder anderen Bereich auf einen spezialisierten Anbieter setzen sollten. Gerade im Recruiting passiert aufgrund des Fachkräftemangels gerade enorm viel. Unternehmen müssen neue Wege beschreiten, um qualifizierte Talente für sich zu gewinnen. Hier kann ein spezialisierter Dienstleister, der sich seit Jahren intensiv mit den Markttrends auseinandersetzt und seine Technologie dementsprechend weiterentwickelt, sicherlich noch einmal neue, bzw. andere Möglichkeiten aufzeigen.

Aus vielerlei Gründen sind viele Betriebe gegen eine Software aus der Cloud. Können Sie uns den Unterschied von On-Premise- und Cloud-Systemen erklären?

Steffen Michel: Im Prinzip geht es um die Frage, wo Daten – in diesem Fall sensible Personaldaten – gespeichert werden. Bei On-Premises liegen sie auf den Servern im unternehmenseigenen Rechenzentrum. Die Daten verlassen den Betrieb also zu keinem Zeitpunkt. Wenn eine Firma hingegen die Dienste eines Cloud-Anbieters in Anspruch nimmt, werden die Daten auf einen Server des Providers übertragen und befinden sich damit außerhalb des Unternehmens. In beiden Fällen hat die Datensicherheit natürlich oberste Priorität, lässt sich jedoch nicht per se am Speicherort festmachen. In vielen IT-Abteilungen herrscht Personalnot, sodass es für die Verantwortlichen schwer wird, das unternehmenseigene Rechenzentrum ausreichend vor Cyberangriffen zu schützen. In diesem Fall kann ein spezialisierter Dienstleister ein höheres Sicherheitsniveau bieten. Wenn sich ein Unternehmen für eine Cloud-Lösung entscheidet, empfehlen wir, darauf zu achten, dass sich die Server des Anbieters ausschließlich innerhalb der Bundesrepublik befinden. Denn hier gelten die strengen Vorschriften der DSGVO und des Bundesdatenschutzgesetzes.

Seit dem 25. Mai 2018 ist das Datenschutzrecht maßgeblich durch die europäische Datenschutzgrundverordnung geprägt. Welche datenschutzrechtlichen Anforderungen gelten an HR-Softwares?

Thorsten Jordan: Das Ziel der DSGVO war, das Datenschutzrecht auf europäischer Ebene zu harmonisieren. Effektiv hat sich dadurch in Deutschland aber gar nicht so viel verändert, da wir bereits vorher durch das Bundesdatenschutzgesetz sehr strenge Vorgaben hatten. Jetzt arbeiten die DSGVO und das Bundesdatenschutzgesetz sozusagen Hand in Hand: In der DSGVO gibt es in zahlreichen Artikel sogenannte Öffnungsklauseln. Sie regeln, dass die einzelnen EU-Mitgliedsstaaten bestimmt Vorgaben der DSGVO im Detail noch genauer definieren können. Das machen wir in Deutschland durch das Bundesdatenschutzgesetz.

Thorsten Jordan

HR-Daten haben in diesem Zusammenhang natürlich eine Sonderstellung inne, da sie personenbezogen und zudem besonders sensibel sind. Ohne Einwilligung der betroffenen Person dürfen sie etwa nicht an Dritte weitergegeben werden. Was passiert nun aber, wenn ein Unternehmen das Recruiting über einen Dienstleister abwickelt? Hier kommt die sogenannte Auftragsverarbeitung, kurz AV, ins Spiel. Sie regelt genau, welche Daten eine andere Stelle (Auftragsverarbeiter) verarbeiten darf und welche Rechte und Pflichten damit einhergehen. Durch eine AV wird ein Dienstleister also eng an das auftraggebende Unternehmen gebunden, sodass eine zusätzliche Einwilligung der betroffenen Person, deren Daten verarbeitet wird, nicht mehr notwendig ist. Auch diese Regelung existierte in Deutschland bereits vor Inkrafttreten der DSGVO. Neu ist seit Mai 2018, dass bei datenschutzrechtlichen Verfehlungen nicht mehr der Auftraggeber allein haftet, sondern beide Parteien – also Auftraggeber und Dienstleister – gemeinsam.

Im Zuge der Implementierung der Softwareanwendungen lauten die Grundsätze “privacy by default” und “privacy by design”. Wie genau sind diese Mottos zu verstehen?

Thorsten Jordan: Die beiden Grundsätze sind sozusagen als Umsetzungen des Artikels 25 der DSGVO zu verstehen. Dieser schreibt vor, dass Verantwortliche Daten durch geeignete technische und organisatorische Maßnahmen nach dem aktuellen Stand der Technik schützen müssen. Privacy by Design steht dabei für „Datenschutz durch Technikgestaltung“. Schutzmaßnahmen müssen laut diesem Grundsatz bereits in die jeweilige Software-Applikation integriert sein – etwa indem sich User authentifizieren müssen, bevor sie auf sensible HR-Daten zugreifen können. Privacy by Default steht demgegenüber für „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Die Werkseinstellung der Software soll also bereits so ausgestaltet sein, dass sie geltende Datenschutzvorgaben unterstützt – etwa indem es nur bestimmte Eingabefelder anzeigt. So nimmt das System die Entscheidung vorweg, ob bestimmte Daten überhaupt ohne zusätzliche Einwilligung erhoben werden dürfen. Bei vielen Funktionen arbeiten die beiden Grundsätze auch Hand in Hand. Ein guter Dienstleister kennt die Vorgaben, setzt sie elegant und nutzerfreundlich in seinem System um und unterstützt Kunden rund um das Thema Datenschutz.

Weitere datenschutzrechtliche Pflichten ergeben sich aus der Informationspflicht des Arbeitgebers. Wozu ist dieser gemäß Art. 13 und Art. 14 DSGVO verpflichtet?

Thorsten Jordan: Artikel 13 und 14 der DSGVO stärken die Betroffenenrechte. Zuvor galt lediglich ein passives Auskunftsrecht. Unternehmen mussten Bewerbern beispielsweise nur auf Anfrage mitteilen, was mit ihren Daten geschieht. Seit Mai 2018 hat sich das sozusagen umgekehrt und Unternehmen stehen jetzt in der Bringschuld. Sie sind dazu verpflichtet, Bewerber im Zeitraum der Datenerhebung aktiv darüber zu informieren, für welche Zwecke sie Daten speichern, und welche Rechte die Betroffenen haben – etwa das Recht auf Löschung der Daten. Bei MHM HR empfehlen wir unseren Kunden, dies über einen dynamischen Link auf der Homepage umzusetzen. Bewerber erhalten so etwa in der automatischen Eingangsbestätigung einen Link auf einen separaten Bereich der Unternehmens-Website, in dem Informationen und Rechte zur Datenverarbeitung ausführlich beschrieben werden.

Worauf müssen Konzerne achten, die eine HR-Software unternehmensübergreifend nutzen möchten?

Steffen Michel: In Konzernen sind zwei oder mehrere rechtlich selbstständige Unternehmen unter einem Dach vereint. Um Synergien bestmöglich zu nutzen, werden HR-Services meist zentral, also von einem der eigenständigen Unternehmen innerhalb der Konzernstruktur für alle anderen erbracht. Daher verhält es sich hier im Prinzip wie bei dem oben beschriebenen Unternehmen-Dienstleister-Verhältnis und sollte durch eine Vereinbarung zur Auftragsverarbeitung zwischen den einzelnen Organisationen geregelt werden.

Vielen Dank, Herr Michel & Herr Jordan für den interessanten Einblick in HR-Software-Systeme.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.