Compliance Management | Was kann HR-Software beitragen?

# Compliance Management

Die Ablage von Daten ist im Personalwesen ein essenzielles Thema. Ich hinterfragte, in wie fern HR-Software unterstützen kann, gesetzeskonform zu agieren und sensible Daten zu schützen.

Wie gehen Ihre Kunden mit Compliance um?

Mag. Matthias Dietrich (rexx systems): Hier sind der Informationsstand und initiale Zugang sehr unterschiedlich. Wir arbeiten stets mit unseren Kunden zusammen und beraten sie auch bei diesem Thema. Ein zentraler Punkt ist aber, dass eine gesetzeskonforme Verwaltung digitaler Personalakten nur im Zusammenspiel zwischen Software und Benutzer möglich ist.

Mag. Gregor Gutzelnig (workflow EDV): Generell steigt das Verständnis dafür, dass sensible Personaldaten von Mitarbeitern in Systemen verwaltet werden, welche die gesetzlichen Anforderungen hinsichtlich der Speicherung dieser Daten erfüllen. In manchen Bereichen dominieren aber nach wie vor herkömmliche Ablagesysteme wie Ordnerstrukturen im Filesystem, Personallisten auf Papier oder Excel bzw. der gute alte Ringbuchordner plus dazugehörige Schränke. Viele sind sich bewusst, dass diese Formen der Ablage der Daten nicht ideal sind.
Wir hatten bei einem Kunden vor der Einführung unseres Personalmanagementsystems Webdesk HR-Expert die Situation, dass ein Personalakt oft in unterschiedlichen Abteilungen im Haus unterwegs war und niemand genau sagen konnte, wo der Personalakt momentan ist, ohne große Nachforschungen anzustellen.

Daniel Vogler B.A., CME (tisoware): Wir nehmen bei unseren Kunden eine zunehmende Sensibilisierung für das Thema Compliance im Zusammenhang mit dem Management von personenbezogenen Daten wahr. Die Unterstützung der Unternehmen durch Softwarelösungen, welche die gesetzeskonforme Ablage von Daten im Personalmanagement und die Steuerung von Zugriffen auf dieselben sicherstellen, ist ein wichtiger Baustein. Daneben sind natürlich auch die Mitarbeiter auf Compliance-relevante Umstände hin zu sensibilisieren.

Wie kann Ihre Software Ihre Kunden bzgl. Compliance Management unterstützen?

Mag. Gregor Gutzelnig (workflow EDV): In unserem Personalmanagementsystem Webdesk HR-Expert können nur berechtigte Personen auf Personaldaten zugreifen. Durch ein Protokollierungssystem können jederzeit auch Zugriffe auf Personaldaten ausgewertet werden. Ein Gruppen- und Rollenkonzept stellt sicher, dass Personen die nur auf einen Teilbereich der Daten Zugriff haben, auch nur diese Daten einsehen können.
Dokumente wie Zeugnisse, Bewerbungsunterlagen oder ähnliches werden standardmäßig durch unsere Software in einem Dokumentenmanagementsystem abgelegt. Dieser Schritt ist essentiell, da so auch auf Dokumentenebene jegliche Form der Compliance sichergestellt werden kann.

Reinhold Immler (JoinVision): Die Verarbeitung unserer Daten erfolgt ausschließlich in einem Datenschutz-zertifizierten Rechenzentrum in Deutschland. Zusätzlich bieten wir unseren Kunden die Möglichkeit, sensible persönliche Daten zu abstrahieren und in Folge für die weitere Bearbeitung zu anonymisieren. Die weitere Verarbeitung beim Kunden wird dadurch unkritisch.

Mag. Matthias Dietrich (rexx systems): rexx HR bietet zahlreiche Funktionen, um unsere Kunden beim Thema Compliance zu unterstützen. Dazu zählen automatische Erinnerungssysteme, flexibel definierbare Workflows, umfangreiche Berechtigungseinstellungen, automatisierbare Datenreduzierungs- & Löschroutinen, moderne Verschlüsselungstechnologien uvm.

Wo sind die Grenzen Ihres Produktes hinsichtlich Datenschutz?

Mag. Matthias Dietrich (rexx systems): Wie schon weiter oben angesprochen kann die Software alleine nie alle Datenschutzanforderungen gewährleisten, denn es kommt immer auch darauf an, wie die Software eingestellt und verwendet wird. So kann z.B. die Definition von Benutzerrollen und Berechtigungsprofilen oder die Einstellung von Workflows und Remindern kann immer nur in Abstimmung mit dem Kunden und seinen individuellen Anforderungen erfolgen. Dabei sollte das Thema Datenschutz aber immer im Auge behalten werden.
Zusätzlich gibt es auch einige Aspekte in der Anwendung der Software wie z.B. das korrekte Ablegen bzw. Kategorisieren von Daten. So kann es z.B. kein System verhindern, dass ein berechtigter User ein Dokument in der Falschen Akte oder im falschen Ordner ablegt.
Die dritte Komponente ist das der Umgang der Benutzer mit Passwörtern und personenbezogenen Daten, die aus dem System exportiert oder ausgedruckt wurden. Hier steht und fällt der Datenschutz natürlich mit dem „Faktor Mensch“.

Mag. Gregor Gutzelnig (workflow EDV): Die Grenzen unserer Software hinsichtlich Datenschutz beginnen dort, wo man sich nur durch kriminelle Energie oder Fahrlässigkeit von Mitarbeitern Zutritt verschaffen kann. Wenn ein Personalverantwortlicher mit Zugriffsberechtigung auf das System einem befreundeten Mitarbeiter oder einer firmenexternen Person vertrauliche Daten übergibt, kann man das schwer durch Software Systeme verhindern. Hier ist es wichtig, dass firmenintern Revisionsprozesse sauber definiert sind.

Lässt sich das Thema Compliance im Personalmanagement auf den Bereich Software eingrenzen?

Daniel Vogler B.A., CME (tisoware): Eindeutig nein, denn viele Dokumente und schützenswerte Informationen sind in den Personalabteilungen nach wie vor in Papierform im Umlauf, sodass eine ausschließliche Implementierung von Compliance innerhalb von HR-Software häufig zu kurz greift. Wir empfehlen daher unseren Kunden darüber hinaus sensible Bereiche und die darin verarbeiteten schutzwürdigen Informationen mit einer elektronischen Zutrittskontrolle zu schützen. Eine solche Lösung ist optimalerweise in die Zeitwirtschaft voll integriert, sodass keinerlei Zusatzaufwand für die Pflege von Stammdaten und Berechtigungen anfällt.

Was ist aus Ihrer Sicht von Datenverarbeitungsdiensten vor dem aktuellen Urteil zu Safe Harbor zu halten, die ihre Services über Cloud-Dienste anbieten?

Reinhold Immler (JoinVision): War es aus unserer Sicht bereits vor diesem Urteil ein absolutes No-Go, derartige Services für sensible Daten – vor allem aus Bewerbungsunterlagen – zu nutzen, so ist dies nach dem Fall von Safe Harbor auf keinen Fall mehr akzeptabel. Ohne Abwicklung dieser Services in entsprechend zertifizierten europäischen Datenverarbeitungszentren, begibt sich jeder europäischer Anbieter auf Glatteis.

Die Gesprächspartner

Compliance Management | Was kann HR-Software beitragen?