HR-Software und Datenschutz nach der DSGVO

11. März 2020

Datenschutz Verstehen – HR-Software und Datenschutz nach der DSGVO

Die zentrale Verwaltung von Personaldaten und Aufgaben im Zusammenhang mit dem Personalwesen ist ein wichtiges Anliegen von vielen Personalleitern und Mitarbeitern im Bereich Human Resources (HR). Gleichzeitig birgt diese zentrale Verarbeitung von personenbezogenen Daten von Mitarbeitern und Bewerbern einige datenschutzrechtliche Herausforderungen. Unternehmen, die eine HR-Software nutzen oder in Zukunft nutzen möchten, müssen die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) einhalten. In unserem Blogbeitrag erfahren Sie, welche datenschutzrechtlichen Aspekte besonders bei dem Einsatz von HR-Software eingehalten werden müssen und welche Anbieter von HR-Software datenschutzkonform eingesetzt werden können. Ebenfalls erwartet Sie ein Experteninterview zum Thema Einführung von HR-Software.

Inhalt:

Was ist eine HR-Software?
Welche Vorteile hat eine HR-Software?
Worauf müssen Unternehmen datenschutzrechtlich bei der Auswahl einer HR-Software achten?
Datenschutzkonforme Anbieter für HR-Software
Experteninterview HR-Software einführen
Auftragsverarbeitung bei der HR-Software
Berechtigungskonzept HR-Software
Löschkonzept HR-Software
Technisch-organisatorische Maßnahmen bei HR-Software
Digitale Personalakte und Datenschutz
Digitale Lohnabrechnungen und Datenschutz
Mögliche Folgen wenn Datenschutz in HR-Software-Lösungen nicht eingehalten wird

Was ist eine HR-Software?

Die Abkürzung HR steht für den Begriff Human Resources und umschreibt das Personalwesen in einem Unternehmen. Begrifflich wird die Bedeutung von Mitarbeitern als zentrale und wichtigste Ressource eines Unternehmens unterstrichen. Mit einer Software für diesen Bereich sollen alle zentralen Aufgaben des Human Resource Managements an einer Stelle gebündelt werden. In diesem Zusammenhang werden z.B. Aufgaben wie die Personalbedarfsplanung oder Personalbeschaffung in einer zentralen Software bearbeitet. Zentrale Eckpunkte im Bereich der Bewerberverwaltung sind z.B. Applicant-Tracking-Systeme (ATS) für das Recruiting und das Talent-Relationship-Management (TRM) für das Management von interessanten Kandidaten.

Darüber hinaus enthalten viele HR-Software-Systeme die Möglichkeit, Stellenausschreibungen zu gestalten und Bewerbungen zentral zu speichern und zu verwalten. In diesem Zusammenhang sind Hilfestellungen für das Onboarding eines neuen Mitarbeiters ein essentieller Teil einer HR-Software.

U.a. folgende Aufgaben aus dem Personalwesen können in einer HR-Software zentral verwaltet werden:

Recruiting
Bewerberverwaltung
E-Learning
Personalcontrolling
Weiterbildungsverwaltung
Personalentwicklung
Verwaltung der Personaldaten
Personalmarketing
Personalabrechnungen
Personalmanagement

Welche Vorteile hat eine HR-Software?

Ein großer Vorteil einer HR-Software ist die zentrale und einheitliche Verwaltung von nahezu allen Aufgaben und Daten, die für das Personalwesen von Relevanz sind. Die Aufgaben können innerhalb eines Systems koordiniert und automatisiert werden. Diese Prozesse der Automatisierung und Systematisierung wirken sich positiv auf die Kosten im Personalwesen aus. Einsparungen können zudem im Bereich des Zeitmanagements von HR-Mitarbeitern erzielt werden, da viele Aufgaben aufgrund automatisierter Funktionen einer HR-Software automatisiert abgewickelt werden können. Auf diese Weise werden die eigenen Ressourcen geschont und können für andere Aufgaben eingesetzt werden. Aufgrund der zentralen Verwaltung der Daten kann zudem eine gewisse Aktualität der Daten gewährleistet werden, da diese nicht über mehrere Programme und Tools verteilt sind. Ein weiterer Vorteil ist das Thema Verfügbarkeit: Die Daten in der HR-Software stehen in einem Sammelpunkt den Mitarbeitern des HR-Teams zur Verfügung. Um die für Sie passende HR-Software zu finden, empfehlen wir Ihnen einen Vergleich auf der Seite www.hr-software-vergleich.de.

Jetzt kostenlosen Vergleich starten

Worauf müssen Unternehmen datenschutzrechtlich bei der Auswahl einer HR-Software achten?

Aus datenschutzrechtlicher Perspektive müssen Unternehmen bei der Auswahl einer geeigneten HR-Software diverse Faktoren berücksichtigen. Abhängig von der gewählten Software und der Frage, ob es sich um eine On Premis oder Cloud-Lösung handelt, enthält die DSGVO gesetzliche Vorgaben für die Auswahl von Dienstleistern jeglicher Art, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten. Wenn z.B. eine Cloud-Lösung gewählt wird, werden die personenbezogenen Daten innerhalb der HR-Software auf den Servern des jeweiligen Anbieters gespeichert, weshalb eine Auftragsverarbeitung gem. Art. 28 DSGVO vorliegt und aus diesem Grund ein Auftragsverarbeitungsvertrag mit dem jeweiligen Dienstleister abgeschlossen werden muss. Für gewisse Verarbeitungen, wie z.B. die Veröffentlichung von Mitarbeiterfotos auf der Unternehmenswebsite, ist eine informierte Einwilligung seitens der betroffenen Personen erforderlich. Auch diese können innerhalb der HR-Software gespeichert und für Dokumentationszwecke archiviert werden.

Datenschutzkonforme Anbieter für HR-Software

Die Keyed GmbH stellt für eine Vielzahl an Unternehmen den externen Datenschutzbeauftragten, vor diesem Hintergrund werden täglich Dienstleister aus dem Bereich der HR-Software überprüft. Gerade die technischen und organisatorischen Maßnahmen, welche bei dem Abschluss eines Auftragsverarbeitungs-Vertrages mit dem Dienstleister geschlossen werden, werden oft die Stärken und Schwächen einer HR-Software transparent. Nachfolgend listen wir Ihnen Anbieter für HR-Software auf, welche unsere Prüfungen erfolgreich bestanden haben.

rexx systems GmbH

Die Software-Lösungen in den Bereichen Recruiting, Talent Management und Human Resources überzeugen durch herausragende Effizienzsteigerung und zuverlässige Technik. Die rexx Suite sorgt durch Workflows und Vernetzung für die optimale Unterstützung und Zusammenarbeit der HR Abteilung, Manager und Mitarbeiter – ob bei der Durchführung regelmäßiger Tätigkeiten oder der Unterstützung komplexer und individueller Prozesse. Eine ideale Lösung, um datenschutzkonforme Prozesse im Unternehmen einzuführen. Als TOP100 Innovator überzeugt rexx mittlerweile rund 2.000 Unternehmen.

Durch Keyed erfolgreich geprüft

Rechenzentrum ist nach ISO/IEC 27001 zertifiziert

Rechenzentrum ist nach ISO 9001 zertifiziert

Konfigurierbares Rollen- und Berechtigungskonzept

Serverhosting in Deutschland

Hervorragendes Schutzniveau gem. Art. 32 DSGVO (technische und organisatorische Maßnahmen)

Hervorragende Vertragsgestaltung bei der Auftragsverarbeitung

Recruitee B.V.

Recruitee ist eine benutzerfreundliche Recruiting-Software, die sowohl für Recruiter/innen als auch für Personalverantwortliche entwickelt wurde. Mit Recruitee kannst du Daten zur kontinuierlichen Optimierung jeden Aspekts deines Rekrutierungsprozesses verwenden. Von der Reduzierung der Einstellungskosten bis hin zur Perfektionierung deines Workflows hilft dir Recruitee, die besten Talente zu gewinnen. Die preisgekrönte Software von Recruitee wird von erfolgreichen Unternehmen wie Lacoste, VICE, Dunkin‘ Donuts, Hotjar, Engie und Karl Lagerfeld verwendet.

Rollen- und Berechtigungskonzept

Konfigurierbares Löschkonzept

Serverhosting in der EU

Angemessenes Schutzniveau gem. Art. 32 DSGVO

konforme Vertragsgestaltung bei der Auftragsverarbeitung

Experten-Interview HR-Software

In unserem Interview mit unserem unabhängigen Experten für HR-Software, der COHR Consulting GmbH, erfahren Sie, wie Sie als Unternehmen eine HR-Software einführen. COHR Consulting ist das digitale Schnellboot der OP&V, die seit über 50 Jahren mit Personalmanagement vertraut ist. Wir fragen für Sie nach.

Was sind die ersten Schritte um eine HR-Software einzuführen?

Ausgangspunkt sollte immer das Bestreben sein, bestehende Prozesse zu optimieren, bzw. zu digitalisieren. Schon vor der Auswahl einer potenziellen Software sollte überlegt werden, welche heute stattfindenden Prozesse optimiert und digital abgebildet werden können. Hierauf sollte dann auch der Fokus gelegt werden. Sobald diese Prozesse gut in einem System abgebildet sind, kann über Erweiterungen entsprechend der Möglichkeiten des Systems nachgedacht werden. Hierbei sind nicht nur Prozesse (beispielsweise ein potenzielles Onboarding oder ein automatisiertes Abwesenheitsmanagement) potenzielle Ziele sondern auch die Digitalisierung von Daten (Mitarbeiterdaten, Stellendaten, Bewerberdaten, etc.) oder Auswertungen (Kennzahlen, Listen, etc.).

Wie digitalisiere ich analoge HR-Prozesse?

Unternehmen sollten zuerst die HR Standardprozesse analysieren. COHR analysiert im Rahmen des HR DIGI CHECKS aktuell stattfindenden HR Standardprozesse, sowie sämtliche Touchpoints entlang des Mitarbeiterlebenszyklus und prüft sie auf ihr Digitalisierungspotenzial. Daraus hervorgehend ermittelt COHR Consulting Handlungsemfehlungen, hinsichtlich kurz- / mittel- und langfristiger HR Digitalisierungspläne.

Am Ende des Tages wird ein HR Prozess dadurch digital, dass Daten und Kommunikationswege einheitlich über digitale Systeme abgebildet werden. Es ist also darauf zu achten, dass bei allen Schritten einer Prozesskette der gleiche Grad an Digitalisierung erreicht wird. Wenn z.B. ein Formular zum Probezeitende vom Vorgesetzten digital ausgefüllt und verschickt werden kann, das Informationsschreiben an den Mitarbeiter dann aber nicht vom System generiert, sondern von einem Kollegen händisch erstellt werden muss, dann wurde hier kein konstanter Digitalisierungsgrad erreicht. Für eine erfolgreiche Digitalisierung ist anschließende Konsequenz entscheidend. Händisch ausgefüllte Formulare zum Probezeitende dürfen dann von der Personalabteilung nicht mehr angenommen werden.

Was sollten HR-Verantwortliche unbedingt vermeiden?

Das Einbeziehen der Mitarbeiter bei der Prozessgestaltung stellt sicher, dass neue Prozesse und Systeme nicht von Beginn an abgelehnt werden. Letztlich sind die Prozessbeteiligten die Experten, die das meiste Wissen zu den Abläufen haben und über Erfolg oder Misserfolg entscheiden. Hierbei sollte auch auf eine korrekte und an den Bedürfnissen der Beteiligten orientierte Priorisierung geachtet werden, um sicherzustellen das nicht der Eindruck entsteht, die „wahren Probleme“ würden übersehen. Ebenfalls wichtig ist, die Digitalisierung in einem solchen Tempo voranzutreiben, dass die betroffenen Mitarbeiter nicht überfordert oder auf der digitalen Reise verloren werden. Gerade bei alt eingesessenen Kollegen kann auch schnell eine „Angst“ vor neuen Systemen entstehen. Hier müssten daher Fragen zur Digitalisierungsbereitschaft vorab gut geklärt werden. Kommunikation ist also das A&O. Die übrigens funktioniert auf dem analogen Wege auch heute noch am besten.

Welchen Stellenwert wird HR-Software in Zukunft für Unternehmen haben?

Schon heute können Prozesse mittels Software effizienter gestaltet werden. Wie bei jedem anderen Softwarebereich auch, wird sich dieser Effizienzvorteil in der Zukunft noch erhöhen. Problematisch bei vielen Unternehmen ist aktuell, dass dieser Effizienzgewinn nicht gesehen wird, da er relativ schwer messbar ist. Die Personalabteilung wird in vielen Unternehmen als notwendiges Übel angesehen, mit dem kein Krieg gewonnen wird. Unternehmen die allerdings frühzeitig auf intelligente digitale Lösungen setzen, werden feststellen, dass sie hierdurch einen Wettbewerbsvorteil u.a. am Arbeitsmarkt bekommen. Gerade in Zeiten des Fachkräftemangels kann z.B. ein schlanker digitaler Bewerbungsprozess zu einem deutlich höheren Bewerbereingang führen. Dadurch, dass HR-Software in den nächsten Jahren mehr und mehr zum Standard werden wird, wird der Wettbewerbsnachteil bei Verzicht auf gute HR-Digitalisierung immer mehr zu spüren sein.

Auftragsverarbeitung bei der HR-Software

Wenn es sich um eine On Premis Lösung handelt, die Software also lokal auf den Servern der jeweiligen HR-Abteilung gespeichert ist und auch die personenbezogenen Daten an diesem Ort gespeichert werden, könnte dennoch eine Auftragsverarbeitung i.S.v. Art. 28 DSGVO vorliegen. Dies ist nämlich dann der Fall, wenn der Anbieter der HR-Software mittels Fernwartung auf die HR-Software zugreift, um z.B. Support-Leistungen vorzunehmen. Da während einer Fernwartung personenbezogene Daten eingesehen werden können und die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) bereits diese Einsichtsmöglichkeit aufgrund der Definition der Auftragsverarbeitung in Art. 4 Nr. 2 DSGVO (Auslesen, Abfragen, Verwenden von personenbezogenen Daten) als Auftragsverarbeitung qualifizieren, liegt auch in dieser Konstellation eine Auftragsverarbeitung vor. Deshalb muss auch hier im Ergebnis ein Auftragsverarbeitungsvertrag abgeschlossen werden, soweit der Anbieter der Software einen Zugriff auf die personenbezogenen Daten in der HR-Software hat.

Berechtigungskonzept HR-Software

Bei der Nutzung von HR-Software spielt das Thema Berechtigungskonzept eine wichtige Rolle. In der Regel werden in einer HR-Software viele sensible personenbezogene Daten, wie z.B. Krankheitstage und Gehaltsdaten, gespeichert. Umso wichtiger ist es daher, ein Konzept zu etablieren, wonach nur berechtigte Personen einen Zugang zu den personenbezogenen Daten haben. Es muss bei der Erstellung eines Berechtigungskonzeptes genau untersucht werden, welche Mitarbeiter bei der Erfüllung ihrer täglichen Aufgaben einen Zugang zu den personenbezogenen Daten in einer HR-Software benötigen. In diesem Zusammenhang muss zudem auch der Umfang der Berechtigung festgestellt werden.

Löschkonzept HR-Software

Personenbezogene Daten dürfen nicht für immer gespeichert und verarbeitet werden. Für die Dauer der Speicherung von personenbezogenen Daten existieren gesetzliche Regelungen. Diese Aufbewahrungsfristen müssen eingehalten werden, da ansonsten ein Verstoß gegen die Vorgaben der DSGVO droht. In einigen Vorschriften der DSGVO, wie z.B. in Art. 5 Abs. 1 lit. e), Art. 17 DSGVO, findet die Vorgabe der fristgerechten Löschung von personenbezogenen Daten eine ausdrückliche Erwähnung. Um diese zu gewährleisten, müssen Löschkonzepte etabliert werden. Schwierigkeiten bei der Erstellung von Löschkonzepten bereiten die unterschiedlichen Kategorien von personenbezogenen Daten, da die Aufbewahrungsdauer für personenbezogene Daten in der Regel von den jeweiligen Kategorien der personenbezogenen Daten abhängt. So kann z.B. eine andere Aufbewahrungsdauer für die Speicherung von Stammdaten eines Mitarbeiters als für Schulungsunterlagen dieser Person gelten.

Technisch-organisatorische Maßnahmen bei HR-Software

Neben einem Berechtigungs- und Löschkonzept müssen weitere technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO eingehalten werden, um die jeweilige HR-Software datenschutzkonform zu nutzen. Insbesondere wenn es sich bei der gewählten Software um einen Cloud-Anbieter handelt, muss dieser Anbieter die Einhaltung der technisch-organisatorischen Maßnahmen nach den Vorgaben der Art. 32, 25 DSGVO einhalten. Bei On Premis Lösungen müssen der Anbieter der HR-Software und die nutzenden Unternehmen gewährleisten, dass die Vorgaben hinsichtlich der technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO eingerichtet werden.

Digitale Personalakte und Datenschutz

Viele der Anbieter für HR-Software bieten die Möglichkeiten, analoge Personalakten in die Software zu implementieren. Auf diese Weise sollen dann nur noch sog. digitale Personalakten geführt werden. Sämtliche Unterlagen, die eigentlich in der analogen Personalakte aufbewahrt werden, werden durch die Integration in die HR-Software komplett digital erfasst und aufbewahrt. Zeugnisse, Lebensläufe, Bewerbungen, Arbeitsverträge und andere für die Personalakte relevanten Unterlagen werden auf diese Weise papierlos und digital archiviert. Darüber hinaus können auch Mitarbeitergespräche, definierte Zielvorgaben und weitere Dokumentationen von Teamleitern im Rahmen der digitalen Personalakte angefertigt und gespeichert werden.

Digitale Lohnabrechnungen und Datenschutz

Mittels eines zusätzlichen Moduls oder einer Schnittstelle in der jeweiligen HR-Software können digitale Lohnabrechnungslösungen regelmäßig integriert werden. Auf diese Weise wird die Lohnbuchhaltung ebenfalls entweder innerhalb der HR-Software oder mittels eines zusätzlichen Tools abgewickelt. Auch hier sind häufig automatisierte Prozesse, wie z.B. die Ermittlung von leistungsgerechten Gehältern für Mitarbeiter, inkl. Bonusvergütungen, inkludiert. In der Regel berücksichtigen digitale Software-Lösungen für Lohnabrechung auch rechtliche Vorgaben aus dem Sozialversicherungs- sowie Abgaben- und Steuerrecht vor, die frühere Abrechnungsperioden betreffen und rechnet vorherige Perioden erneut ab.

Mögliche Folgen wenn Datenschutz in HR-Software-Lösungen nicht eingehalten wird

Falls die gesetzlichen Vorgaben aus der DSGVO nicht eingehalten werden, drohen Unternehmen, die eine derartige HR-Software nicht datenschutzkonform nutzen, Bußgelder nach der DSGVO. Gem. 83. Abs. 4 bzw. Abs. 5 DSGVO können Verstöße gegen die gesetzlichen Vorgaben der DSGVO mit einem Bußgeld von bis zu 10 Mio. EUR bzw. bis 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher der Beträge höher ist. In unserem neuen eBook zum Thema Personalwesen aus der Reihe „Datenschutz verstehen” erfahren Sie mehr zum Thema Datenschutz im Bereich HR.

Nils Möllers

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz