Datenschutz Verstehen – HR-Software und Datenschutz nach der DSGVO
Die zentrale Verwaltung von Personaldaten und Aufgaben im Zusammenhang mit dem Personalwesen ist ein wichtiges Anliegen von vielen Personalleitern und Mitarbeitern im Bereich Human Resources (HR). Gleichzeitig birgt diese zentrale Verarbeitung von personenbezogenen Daten von Mitarbeitern und Bewerbern einige datenschutzrechtliche Herausforderungen. Unternehmen, die eine HR-Software nutzen oder in Zukunft nutzen möchten, müssen die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) einhalten. In unserem Blogbeitrag erfahren Sie, welche datenschutzrechtlichen Aspekte besonders bei dem Einsatz von HR-Software eingehalten werden müssen und welche Anbieter von HR-Software datenschutzkonform eingesetzt werden können. Ebenfalls erwartet Sie ein Experteninterview zum Thema Einführung von HR-Software.
Inhalt:
- Was ist eine HR-Software?
- Welche Vorteile hat eine HR-Software?
- Worauf müssen Unternehmen datenschutzrechtlich bei der Auswahl einer HR-Software achten?
- Datenschutzkonforme Anbieter für HR-Software
- Experteninterview HR-Software einführen
- Auftragsverarbeitung bei der HR-Software
- Berechtigungskonzept HR-Software
- Löschkonzept HR-Software
- Technisch-organisatorische Maßnahmen bei HR-Software
- Digitale Personalakte und Datenschutz
- Digitale Lohnabrechnungen und Datenschutz
- Mögliche Folgen wenn Datenschutz in HR-Software-Lösungen nicht eingehalten wird
Was ist eine HR-Software?
Die Abkürzung HR steht für den Begriff Human Resources und umschreibt das Personalwesen in einem Unternehmen. Begrifflich wird die Bedeutung von Mitarbeitern als zentrale und wichtigste Ressource eines Unternehmens unterstrichen. Mit einer Software für diesen Bereich sollen alle zentralen Aufgaben des Human Resource Managements an einer Stelle gebündelt werden. In diesem Zusammenhang werden z.B. Aufgaben wie die Personalbedarfsplanung oder Personalbeschaffung in einer zentralen Software bearbeitet. Zentrale Eckpunkte im Bereich der Bewerberverwaltung sind z.B. Applicant-Tracking-Systeme (ATS) für das Recruiting und das Talent-Relationship-Management (TRM) für das Management von interessanten Kandidaten.
Darüber hinaus enthalten viele HR-Software-Systeme die Möglichkeit, Stellenausschreibungen zu gestalten und Bewerbungen zentral zu speichern und zu verwalten. In diesem Zusammenhang sind Hilfestellungen für das Onboarding eines neuen Mitarbeiters ein essentieller Teil einer HR-Software.
U.a. folgende Aufgaben aus dem Personalwesen können in einer HR-Software zentral verwaltet werden:
- Recruiting
- Bewerberverwaltung
- E-Learning
- Personalcontrolling
- Weiterbildungsverwaltung
- Personalentwicklung
- Verwaltung der Personaldaten
- Personalmarketing
- Personalabrechnungen
- Personalmanagement
Welche Vorteile hat eine HR-Software?
Ein großer Vorteil einer HR-Software ist die zentrale und einheitliche Verwaltung von nahezu allen Aufgaben und Daten, die für das Personalwesen von Relevanz sind. Die Aufgaben können innerhalb eines Systems koordiniert und automatisiert werden. Diese Prozesse der Automatisierung und Systematisierung wirken sich positiv auf die Kosten im Personalwesen aus. Einsparungen können zudem im Bereich des Zeitmanagements von HR-Mitarbeitern erzielt werden, da viele Aufgaben aufgrund automatisierter Funktionen einer HR-Software automatisiert abgewickelt werden können. Auf diese Weise werden die eigenen Ressourcen geschont und können für andere Aufgaben eingesetzt werden. Aufgrund der zentralen Verwaltung der Daten kann zudem eine gewisse Aktualität der Daten gewährleistet werden, da diese nicht über mehrere Programme und Tools verteilt sind. Ein weiterer Vorteil ist das Thema Verfügbarkeit: Die Daten in der HR-Software stehen in einem Sammelpunkt den Mitarbeitern des HR-Teams zur Verfügung. Um die für Sie passende HR-Software zu finden, empfehlen wir Ihnen einen Vergleich auf der Seite www.hr-software-vergleich.de.
Worauf müssen Unternehmen datenschutzrechtlich bei der Auswahl einer HR-Software achten?
Aus datenschutzrechtlicher Perspektive müssen Unternehmen bei der Auswahl einer geeigneten HR-Software diverse Faktoren berücksichtigen. Abhängig von der gewählten Software und der Frage, ob es sich um eine On Premis oder Cloud-Lösung handelt, enthält die DSGVO gesetzliche Vorgaben für die Auswahl von Dienstleistern jeglicher Art, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten. Wenn z.B. eine Cloud-Lösung gewählt wird, werden die personenbezogenen Daten innerhalb der HR-Software auf den Servern des jeweiligen Anbieters gespeichert, weshalb eine Auftragsverarbeitung gem. Art. 28 DSGVO vorliegt und aus diesem Grund ein Auftragsverarbeitungsvertrag mit dem jeweiligen Dienstleister abgeschlossen werden muss. Für gewisse Verarbeitungen, wie z.B. die Veröffentlichung von Mitarbeiterfotos auf der Unternehmenswebsite, ist eine informierte Einwilligung seitens der betroffenen Personen erforderlich. Auch diese können innerhalb der HR-Software gespeichert und für Dokumentationszwecke archiviert werden.
Datenschutzkonforme Anbieter für HR-Software
Die Keyed GmbH stellt für eine Vielzahl an Unternehmen den externen Datenschutzbeauftragten, vor diesem Hintergrund werden täglich Dienstleister aus dem Bereich der HR-Software überprüft. Gerade die technischen und organisatorischen Maßnahmen, welche bei dem Abschluss eines Auftragsverarbeitungs-Vertrages mit dem Dienstleister geschlossen werden, werden oft die Stärken und Schwächen einer HR-Software transparent. Nachfolgend listen wir Ihnen Anbieter für HR-Software auf, welche unsere Prüfungen erfolgreich bestanden haben.
rexx systems GmbH
Die Software-Lösungen in den Bereichen Recruiting, Talent Management und Human Resources überzeugen durch herausragende Effizienzsteigerung und zuverlässige Technik. Die rexx Suite sorgt durch Workflows und Vernetzung für die optimale Unterstützung und Zusammenarbeit der HR Abteilung, Manager und Mitarbeiter – ob bei der Durchführung regelmäßiger Tätigkeiten oder der Unterstützung komplexer und individueller Prozesse. Eine ideale Lösung, um datenschutzkonforme Prozesse im Unternehmen einzuführen. Als TOP100 Innovator überzeugt rexx mittlerweile rund 2.000 Unternehmen.
Recruitee B.V.
Recruitee ist eine benutzerfreundliche Recruiting-Software, die sowohl für Recruiter/innen als auch für Personalverantwortliche entwickelt wurde. Mit Recruitee kannst du Daten zur kontinuierlichen Optimierung jeden Aspekts deines Rekrutierungsprozesses verwenden. Von der Reduzierung der Einstellungskosten bis hin zur Perfektionierung deines Workflows hilft dir Recruitee, die besten Talente zu gewinnen. Die preisgekrönte Software von Recruitee wird von erfolgreichen Unternehmen wie Lacoste, VICE, Dunkin’ Donuts, Hotjar, Engie und Karl Lagerfeld verwendet.
Experten-Interview HR-Software
In unserem Interview mit unserem unabhängigen Experten für HR-Software, der COHR Consulting GmbH, erfahren Sie, wie Sie als Unternehmen eine HR-Software einführen. COHR Consulting ist das digitale Schnellboot der OP&V, die seit über 50 Jahren mit Personalmanagement vertraut ist. Wir fragen für Sie nach.
Auftragsverarbeitung bei der HR-Software
Wenn es sich um eine On Premis Lösung handelt, die Software also lokal auf den Servern der jeweiligen HR-Abteilung gespeichert ist und auch die personenbezogenen Daten an diesem Ort gespeichert werden, könnte dennoch eine Auftragsverarbeitung i.S.v. Art. 28 DSGVO vorliegen. Dies ist nämlich dann der Fall, wenn der Anbieter der HR-Software mittels Fernwartung auf die HR-Software zugreift, um z.B. Support-Leistungen vorzunehmen. Da während einer Fernwartung personenbezogene Daten eingesehen werden können und die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) bereits diese Einsichtsmöglichkeit aufgrund der Definition der Auftragsverarbeitung in Art. 4 Nr. 2 DSGVO (Auslesen, Abfragen, Verwenden von personenbezogenen Daten) als Auftragsverarbeitung qualifizieren, liegt auch in dieser Konstellation eine Auftragsverarbeitung vor. Deshalb muss auch hier im Ergebnis ein Auftragsverarbeitungsvertrag abgeschlossen werden, soweit der Anbieter der Software einen Zugriff auf die personenbezogenen Daten in der HR-Software hat.
Berechtigungskonzept HR-Software
Bei der Nutzung von HR-Software spielt das Thema Berechtigungskonzept eine wichtige Rolle. In der Regel werden in einer HR-Software viele sensible personenbezogene Daten, wie z.B. Krankheitstage und Gehaltsdaten, gespeichert. Umso wichtiger ist es daher, ein Konzept zu etablieren, wonach nur berechtigte Personen einen Zugang zu den personenbezogenen Daten haben. Es muss bei der Erstellung eines Berechtigungskonzeptes genau untersucht werden, welche Mitarbeiter bei der Erfüllung ihrer täglichen Aufgaben einen Zugang zu den personenbezogenen Daten in einer HR-Software benötigen. In diesem Zusammenhang muss zudem auch der Umfang der Berechtigung festgestellt werden.
Löschkonzept HR-Software
Personenbezogene Daten dürfen nicht für immer gespeichert und verarbeitet werden. Für die Dauer der Speicherung von personenbezogenen Daten existieren gesetzliche Regelungen. Diese Aufbewahrungsfristen müssen eingehalten werden, da ansonsten ein Verstoß gegen die Vorgaben der DSGVO droht. In einigen Vorschriften der DSGVO, wie z.B. in Art. 5 Abs. 1 lit. e), Art. 17 DSGVO, findet die Vorgabe der fristgerechten Löschung von personenbezogenen Daten eine ausdrückliche Erwähnung. Um diese zu gewährleisten, müssen Löschkonzepte etabliert werden. Schwierigkeiten bei der Erstellung von Löschkonzepten bereiten die unterschiedlichen Kategorien von personenbezogenen Daten, da die Aufbewahrungsdauer für personenbezogene Daten in der Regel von den jeweiligen Kategorien der personenbezogenen Daten abhängt. So kann z.B. eine andere Aufbewahrungsdauer für die Speicherung von Stammdaten eines Mitarbeiters als für Schulungsunterlagen dieser Person gelten.
Technisch-organisatorische Maßnahmen bei HR-Software
Neben einem Berechtigungs- und Löschkonzept müssen weitere technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO eingehalten werden, um die jeweilige HR-Software datenschutzkonform zu nutzen. Insbesondere wenn es sich bei der gewählten Software um einen Cloud-Anbieter handelt, muss dieser Anbieter die Einhaltung der technisch-organisatorischen Maßnahmen nach den Vorgaben der Art. 32, 25 DSGVO einhalten. Bei On Premis Lösungen müssen der Anbieter der HR-Software und die nutzenden Unternehmen gewährleisten, dass die Vorgaben hinsichtlich der technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO eingerichtet werden.
Digitale Personalakte und Datenschutz
Viele der Anbieter für HR-Software bieten die Möglichkeiten, analoge Personalakten in die Software zu implementieren. Auf diese Weise sollen dann nur noch sog. digitale Personalakten geführt werden. Sämtliche Unterlagen, die eigentlich in der analogen Personalakte aufbewahrt werden, werden durch die Integration in die HR-Software komplett digital erfasst und aufbewahrt. Zeugnisse, Lebensläufe, Bewerbungen, Arbeitsverträge und andere für die Personalakte relevanten Unterlagen werden auf diese Weise papierlos und digital archiviert. Darüber hinaus können auch Mitarbeitergespräche, definierte Zielvorgaben und weitere Dokumentationen von Teamleitern im Rahmen der digitalen Personalakte angefertigt und gespeichert werden.
Digitale Lohnabrechnungen und Datenschutz
Mittels eines zusätzlichen Moduls oder einer Schnittstelle in der jeweiligen HR-Software können digitale Lohnabrechnungslösungen regelmäßig integriert werden. Auf diese Weise wird die Lohnbuchhaltung ebenfalls entweder innerhalb der HR-Software oder mittels eines zusätzlichen Tools abgewickelt. Auch hier sind häufig automatisierte Prozesse, wie z.B. die Ermittlung von leistungsgerechten Gehältern für Mitarbeiter, inkl. Bonusvergütungen, inkludiert. In der Regel berücksichtigen digitale Software-Lösungen für Lohnabrechung auch rechtliche Vorgaben aus dem Sozialversicherungs- sowie Abgaben- und Steuerrecht vor, die frühere Abrechnungsperioden betreffen und rechnet vorherige Perioden erneut ab.
Mögliche Folgen wenn Datenschutz in HR-Software-Lösungen nicht eingehalten wird
Falls die gesetzlichen Vorgaben aus der DSGVO nicht eingehalten werden, drohen Unternehmen, die eine derartige HR-Software nicht datenschutzkonform nutzen, Bußgelder nach der DSGVO. Gem. 83. Abs. 4 bzw. Abs. 5 DSGVO können Verstöße gegen die gesetzlichen Vorgaben der DSGVO mit einem Bußgeld von bis zu 10 Mio. EUR bzw. bis 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher der Beträge höher ist. In unserem neuen eBook zum Thema Personalwesen aus der Reihe „Datenschutz verstehen” erfahren Sie mehr zum Thema Datenschutz im Bereich HR.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.