Lars Börgeling: Datenschutzrecht spielt im Bereich Human Resources eine maßgebliche Rolle

Lars Börgeling ist Director Pre-Sales DACH & Canada bei dem HR-Softwareanbieter Cegid. Mit ihm sprechen wir über moderne HR-Softwares, strategische Personalentwicklung sowie Einsatz von Cloud-Systemen.

Lars Börgeling

Auch in der Personalabteilung findet die Digitalisierung Einzug. Welche Aufgaben decken moderne Personalsoftwaresysteme ab?

Lars Börgeling: Eine moderne HR-Software muss ebenso vielseitig sein, wie das Arbeitsfeld eines HR-Experten: Vom Recruiting über das Personalmanagement bis hin zu arbeitsrechtlichen Fragen sind HR-Abteilungen täglich mit einer Vielzahl an administrativen Tätigkeiten konfrontiert, die manuell kaum noch zu bewältigen sind.  Eine moderne Software minimiert nicht nur diesen alltäglichen Aufwand, indem sie Routineaufgaben automatisiert bearbeitet. Sie gibt den Mitarbeitenden zusätzlich auch die richtigen Werkzeuge an die Hand, um ihre eigene Produktivität und Effizienz zu steigern. In jedem Fall sollte die Software eine konsolidierte, zentrale Personaldatenbank für alle Mitarbeitenden und KPIs bieten. Dabei ist auf einen integrierten Datenschutz, höchste IT-Sicherheitsstandards und DSGVO-Konformität zu achten. Mithilfe der Software können dann die Begabungen und Eignungen der Mitarbeitenden systematisch erfasst und ansprechend abgebildet werden. So können Führungskräfte datengetriebene Personalentscheidungen treffen und die strategische Personalentwicklung vorantreiben. Da die Mitarbeiterzufriedenheit direkt mit der Nachvollziehbarkeit von Personalentscheidungen zusammenhängt, ist es wichtig mithilfe der Software Transparenz für die Mitarbeitenden zu schaffen. Das heißt: Bestenfalls können Mitarbeitende in ihrem persönlichen Profil direkt Nachweise und Dokumente hochladen, ihre Daten aktualisieren, Homeoffice beantragen oder auch Karriere- und Weiterbildungsmöglichkeiten auffinden und wahrnehmen. So begleitet die Software direkt die gesamte Employee Experience. Entsprechend sollte die Benutzeroberfläche für alle Mitarbeitenden ansprechend und intuitiv gestaltet sein.

Aus vielerlei Gründen sind viele Betriebe gegen eine Software aus der Cloud. Können Sie uns den Unterschied von On-Premise- und Cloud-Systemen erklären?

Lars Börgeling: On-Premise kommt aus dem Englischen und meint so viel wie: „in den eigenen Räumlichkeiten“. Das bedeutet, dass eine Software auf den eigenen Unternehmensservern installiert wird und die unternehmenseigene IT sämtliche Verantwortlichkeiten für die Funktion trägt. Bei einer Cloudlösung hingegen wird die Software von einem externen Anbieter als Software-as-a-Service (SaaS) zur Verfügung gestellt. Der Vorteil: Das Unternehmen muss selbst keine eigene Hardware anschaffen. Stattdessen wird der externe Server des Cloud-Anbieters genutzt. Der Anbieter kümmert sich dann um dessen Wartung und Instandhaltung, um die Beseitigung von Bugs oder das Einspielen relevanter IT Security Patches sowie die Datensicherung. In der Tat stehen einige Unternehmen einer cloudbasierten Software noch immer kritisch gegenüber. Oft wird angenommen, dass die Cloud aus IT-Sicht nicht sicher sei oder On-Premise-Systeme besser die individuellen Unternehmensprozesse unterstützen. Ein Wechsel zu einer SaaS-Lösung bedeutet tatsächlich sich von individuellen Prozessen zu lösen und stattdessen Standardprozesse einzuführen. Genau dieser Schritt fällt einigen Betrieben nicht immer leicht. In jedem Fall sind jedoch cloudbasierten Lösungen und SaaS die Zukunft. Sie bringen für Organisationen auch gewaltige Vorteile mit sich: Eine Cloudlösung kann im Vergleich zu einer On-Premise-Lösung schnell umgesetzt und unternehmensweit ausgerollt werden – auch global. Gerade jetzt, wenn Unternehmen agil auf viele Veränderungen reagieren müssen, ist das ein entscheidender Vorteil. Einige Unternehmen standen beispielsweise zu Anfang der Corona-Pandemie vor dem Dilemma, kein einheitliches HR-System und somit keine normierte Mitarbeiterdatenbank zur haben. Nun waren sie zu einem schnellen Handeln gezwungen. SaaS-Lösungen brauchen jedoch nur wenige Wochen, um mehrere zehntausende Mitarbeitende in einem Minidatenstamm zu konsolidieren und Unternehmen in einer einheitlichen Datenbank zur Verfügung zu stellen. Das Cloud-System konnte damit seine Effizienz deutlich unter Beweis stellen. Die meisten cloudbasierten Softwares erfüllen auch alle notwendigen Sicherheitsstandards. Belegt werden sie durch eine Vielfalt von Sicherheitszertifikaten. Unternehmen, die verschiedene HR-Softwares miteinander vergleichen, sollten daher vielmehr auf den Sitz der Rechenzentren der SaaS-Anbieter achten. Auch sie müssen strenge Sicherheits-, Geheimhaltungs-, Qualitäts- und Verfügbarkeitskriterien erfüllen.

Seit dem 25. Mai 2018 ist das Datenschutzrecht maßgeblich durch die europäische Datenschutzgrundverordnung geprägt. Welche datenschutzrechtlichen Anforderungen gelten an HR-Softwares?

Lars Börgeling: Datenschutzrecht spielt im Bereich Human Resources eine maßgebliche Rolle. Personalabteilungen arbeiten täglich mit sensiblen Daten von Mitarbeitenden und Bewerbenden. Die Aufgabe einer HR-Software liegt darin, die technischen Voraussetzungen für die Einhaltung aller datenschutzrechtlichen Anforderungen zu schaffen und zu erfüllen. Dazu zählen unter anderem die Grundsätze privacy by default & privacy by design: Das fristgerechte Löschen von Mitarbeiter- und Bewerberdaten, das Auskunftsrecht, das Recht auf Berichtung der personenbezogenen Daten und die Möglichkeit zur Implementierung von Datenschutzhinweisen für Nutzer. Empfehlenswert als Standardniveau für den Datenschutz bei einer Softwarelösung ist immer das jeweils strengste Niveau.

Im Zuge der Implementierung der Softwareanwendungen lauten die Grundsätze “privacy by default” und “privacy by design”. Wie genau sind diese Mottos zu verstehen?

Lars Börgeling: Privacy by design bedeutet, dass eine Software so entwickelt und aufgesetzt wird, dass alle relevanten Datenschutzmaßnahmen von Anfang an technisch berücksichtigt werden. Das Softwareentwicklungsverfahren umfasst daher unter anderem Schulungen für Mitarbeitende und Dienstleister zu Sicherheitsfragen sowohl bezüglich der Arbeitsmittel (PC, Telefon usw.) als auch für die Entwicklungspraktiken und die Produktion. Codes werden auf Herz und Nieren überprüft und Tools angewendet, die kontrollieren, ob empfohlene Methoden auch wirklich Anwendung finden. Zur Gewährleistung von Sicherheit und Datenschutz finden zudem bewährte Praktiken für das Software-Design Anwendung: OWASP (Open Web Application Security Project)-Empfehlungen werden einbezogen, Mechanismen zur Rechteverwaltung für Admins eingebaut uvm.

Privacy by default meint den Datenschutz durch datenschutzfreundliche Voreinstellungen. Das heißt: Datenschutzrelevante Systemvoreinstellungen müssen in der Software so geschützt werden, dass Nutzer diese nicht mehr ändern können.  Dieses Prinzip kann beispielsweise mithilfe von spezifischen User-Rollen, Rechten und Autorisierungen umgesetzt werden, sodass Nutzer ausschließlich auf Daten und Funktionen in ihrem Zuständigkeits- und Aufgabenbereich zugreifen können.

Weitere datenschutzrechtliche Pflichten ergeben sich aus der Informationspflicht des Arbeitgebers. Wozu ist dieser gemäß Art. 13 und Art. 14 DSGVO verpflichtet?

Lars Börgeling: Laut diesen Artikeln haben Personen das Recht, über die Erhebung und Verarbeitung ihrer personenbezogenen Daten informiert zu werden. Das bedeutet: Die Personen müssen beispielsweise über den Namen und die Kontaktdaten des Datenschutzbeauftragten informiert werden, über den Zweck und die Rechtsgrundlage der Datenverarbeitung, den Empfänger der Daten sowie die Speicherdauer und wonach diese festgelegt wurde.

Arbeitgeber stehen somit in der Pflicht mittels der HR-Software ihren Mitarbeitenden und Bewerbenden den Datenverarbeitungszweck konkret mitzuteilen – und zwar spätestens zum Zeitpunkt der erstmaligen Datenerhebung. Das heißt: Eine HR-Software muss technisch so konzipiert sein, dass beispielsweise die Eingabe von Daten in einem Online-Recruiting-Tool oder das Hochladen von Bewerberunterlagen technisch erst dann möglich ist, wenn der Bewerbende die Möglichkeit hatte, die Datenschutzinformationen wahrzunehmen.

Worauf müssen Konzerne achten, die eine HR-Software unternehmensübergreifend nutzen möchten?

Lars Börgeling: Entscheidend vor der Implementierung einer HR-Software ist das Aufsetzen eines einheitlichen Governance-Konzepts. Ohne die Etablierung von unternehmensweiten, einheitlichen Prozessen und Verantwortlichkeiten wird das Rollout der Software zum einen erschwert, zum anderen lassen sich sonst die durch die Einführung der Software festgelegten KPIs nicht vergleichen. Entscheidend ist auch die Bereitstellung von ausreichenden internen und externen Ressourcen, welche die HR-Software in ihrem Rollout begleiten und später im laufenden Betrieb administrieren. Sollte ein Unternehmen mit verschiedenen Standorten oder Tochtergesellschaften global aktiv sein, müssen die lokalen Gesetzgebungen bezüglich des Datenschutzes von Mitarbeitenden- und Bewerbenden-Daten in der HR-Software geprüft werden.

Herr Börgeling, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.