Eine erfolgreiche HR-Softwareauswahl – Shortlist beginnt nicht mit der Durchführung der schönsten Demo, sondern mit einer rein inhaltlichen und langfristig belastbaren Shortlist und einer fairen, transparenten Bewertung. In diesem Leitfaden erhältst du eine erprobte Methodik, ein vollständiges Kriterien-Set (Muss/Soll/Kann), ein Punktesystem, klare KPIs und eine fertige Excel-Vorlage, mit der du in wenigen Stunden vom „Bauchgefühl“ zu objektiven Entscheidungen gelangst. Für tiefer gehende Themen verweisen wir auf neue Beiträge in unserem HR-Blog – dort findest du Best Practices zu Demos, Datenschutz, Integrationen, People Analytics und mehr.
Inhaltsverzeichnis
- Warum eine saubere Shortlist Gold wert ist
- Vorbereitung & Stakeholder-Alignment
- Framework: Ziele → Muss/Soll/Kann → Shortlist
- Vendor Briefing Pack (RFP-lite)
- Kriterienkatalog: Fachlich, technisch, rechtlich, wirtschaftlich
- Gewichtung & Scores: So vergleichst du fair
- Demos & PoV: Nachweise statt Folien
- Datenmigration & Qualität
- Service, Support & SLAs
- Internationalisierung, Lokalisierung & Payroll
- Barrierefreiheit & UX
- Performance & Skalierung
- Download: Shortlist- & Bewertungsmatrix (Excel)
- Praxisbeispiel: Von Longlist zu Entscheidung
- Risiken minimieren: Bias, Scope-Creep, Schnittstellen
- KPI-Deck & Reporting: Messen statt meinen
- Governance, RACI & Decision-Logs
- Vorlagen & Artefakte
- FAQ
- Glossar (Kurz & knackig)
- Weiterführende Artikel & Nächste Schritte
HR-Softwareauswahl – Shortlist: Warum eine saubere Shortlist Gold wert ist
Eine gute Shortlist reduziert Komplexität, verhindert politische Endlosdiskussionen und schützt das Projekt vor Fehlentscheidungen. Statt zehn Anbieter halbherzig anzuschauen, fokussierst du dich auf drei bis fünf Kandidaten, die nachweislich zu deinen Anforderungen passen. So investiert dein Team Zeit dort, wo sie Rendite bringt: in realitätsnahe Tests, belastbare Nachweise und klare Entscheidungen.
Der Effekt ist messbar: Jeder zusätzliche Anbieter erhöht Koordinations- und Bewertungsaufwand exponentiell (mehr Termine, mehr Dokumente, mehr Meinungen). Eine Shortlist zwingt zu Priorisierung und Evidenz. Sie verschiebt den Dialog weg von subjektiven Eindrücken („gefällt mir“) hin zu prüfbaren Ergebnissen („funktioniert bei uns – hier ist der Export, hier ist der Log“). Das reduziert Entscheidungszeit, minimiert Reibungsverluste zwischen HR, IT, Payroll und Legal und begrenzt das Risiko, sich aufgrund von Roadmap- oder Demo-Versprechen zu binden.
| Vergleichs-Setup | Typischer Teamaufwand (Kalendertage) | Qualität der Nachweise | Risiko „Bauchentscheidung“ |
|---|---|---|---|
| 10 Anbieter, unscharfe Kriterien | 40–60 | niedrig–mittel (Folien/Demos) | hoch |
| 5 Anbieter, klare Muss/Soll & Gatekeeper | 25–35 | mittel (Teil-PoCs) | mittel |
| 3–4 Anbieter, Shortlist mit PoV & Nachweispflicht | 18–24 | hoch (Exports, API-Traces, Logs) | niedrig |
Für die Shortlist nutzt du ein strukturiertes Raster: Unternehmensziele, Muss/Soll/Kann, kritische Integrationen (z. B. DATEV, SSO/SCIM, Webhooks), Datenschutz-Fit und TCO-Realität. Die Reihenfolge ist wichtig: Ziele → Anforderungen → Nachweise → Bewertung → Entscheidung. Alles andere – etwa hübsche Oberflächen – wiegt erst später und nur, wenn Outcomes stimmen.
- Outcome-Fokus: Jede Anforderung muss auf ein Ziel einzahlen (Zeit, Qualität, Risiko, Kosten). Beispiel: „First-time-right Pre-Payroll ≥ 99 %“ → erfordert Delta+Idempotenz, nicht nur „Export vorhanden“.
- Evidenzpflicht: Ohne Beleg kein Punkt. Erlaubte Belege definieren (z. B. CSV/JSON-Export, API-/Webhook-Trace, Audit-Log). Verhindert Roadmap-Versprechen.
- Gatekeeper: Muss-Kriterien und Integrations-KOs trennen früh „nice“ von „fit“. Beispiel: „SCIM-Deprovisionierung ≤ 60 Min“ oder „DSAR-Voll-Export über alle Module“.
Praxislink: Ein schlankes, evidenzbasiertes Vorgehen samt PoC-Drehbuch zeigen wir in HR-Software-Demo richtig nutzen und der Checkliste 2025 (inkl. Matrix).
Vorbereitung & Stakeholder-Alignment
Die sauberste HR-Softwareauswahl-Shortlist hilft wenig, wenn Ziele, Rollen und Daten nicht geklärt sind. Investiere 3–5 gut moderierte Sessions für Alignment – es spart später Wochen.
- Kick-off (Zielbild & KPIs): Ein gemeinsames Blatt, max. 10 Zeilen. Beispiele: „First-time-right ≥ 99 %“, „Time-to-Onboard ≤ 10 Tage“, „Genehmigungen Urlaub ≤ 24 h“, „DSAR-SLA ≤ 30 Tage“.
- Scope & No-Gos: In Scope: Pre-Payroll, Onboarding, Abwesenheit; Out of Scope: vollständige ERP-Ablösung, Eigenentwicklung. Dokumentiere dies im Decision Log.
- Daten & Schnittstellen: Quellen (ATS, Zeiterfassung), Ziele (Payroll, BI), Identität (SSO/SCIM), Events (Webhooks). Definiere pro Integration einen Owner und eine Definition of Ready (z. B. Testdaten, Endpunkte, Auth, Erfolgskriterien).
- Rollen & RACI: Wer entscheidet (Sponsor), wer bewertet (HR Ops/IT/Payroll/Legal), wer liefert Nachweise (Vendor), wer prüft Security/DSGVO (DSB/InfoSec). Verankere das in einem öffentlich zugänglichen, versionierten Dokument.
- Entscheidungslogik: Scores (0–3), Gewichtung (0–5), Gatekeeper je Muss-Kriterium, Tiebreaker (Risiko, TCO). Einigt euch auf vorab definierte KO-Schwellen.
Hilfreiche Artefakte: zentrales DMS (Ordnerstruktur pro Anbieter & Kriterium), Entscheidungstagebuch (kurze Einträge: Datum, Entscheidung, Grund, Belege), und ein knappes Projekt-Wiki mit Glossar (SoR, Delta, Idempotenz, DSAR, SCIM etc.). Für die Moderation komplexer Stakeholder-Runden siehe auch Kollaborative HR-Softwareauswahl.
Framework: Ziele → Muss/Soll/Kann → Shortlist
Ausgangspunkt sind Outcomes: Welche Kennzahlen sollen sich verbessern? Häufige Zielbilder: „First-time-right Pre-Payroll ≥ 99 %“, „Time-to-Onboard ≤ 10 Tage (Median)“, „Self-Service ≥ 70 %“, „Integrationsfehler/Woche ≤ 3 (kritisch = 0)“. Daraus leitest du Muss/Soll/Kann je End-to-End-Szene ab (Hire→Onboarding, Change, Zeit→Payroll, Leave, Reporting). Nur Anbieter, die in diesen Szenen belastbar liefern, kommen auf die Shortlist.
Belegpflicht (Definition of Evidence): Ein Kriterium gilt nur als erfüllt, wenn ein vereinbarter Beleg vorliegt. Zulässige Belege: (a) Live-Demo mit identischen Testdaten, (b) Exportdatei (CSV/JSON) inkl. Feldkatalog, (c) API-/Webhook-Trace mit correlation_id, (d) Audit-Log von High-Risk-Events, (e) unterschriebener DPA/TOM-Ausschnitt oder Zertifikat mit passendem Scope.
Tipp: Schreibe zu jedem Muss-Kriterium eine Akzeptanzformulierung mit Beispieldatensatz: „Erfüllt, wenn bei Retro M-2→M-0 ein Delta-Export mit dedupe_key event_id erzeugt wird und die Payroll-Quittung accepted:true liefert.“
| Szene | Muss-Kriterium | Akzeptanzformulierung | Beleg |
|---|---|---|---|
| Hire→Onboarding | SCIM Deprovisioning | Deaktivierung ≤ 60 Min nach Austritt; Gruppen entfernen | SCIM-Log + Audit |
| Change→Payroll | Delta & Idempotenz | Wiederholter Export erzeugt keine Doppelbuchung | CSV + Importquittung |
| DSGVO | DSAR-Voll-Export | Eine ZIP pro Person, alle Module, maschinenlesbar | ZIP + Log |
Vendor Briefing Pack (RFP-lite)
Schlank, klar, vergleichbar – so bekommst du gute Antworten. Schicke allen Kandidaten dasselbe Paket und begrenze Antworten auf wenige, prüfbare Artefakte:
- 1. Zielbild & KPIs (1 Seite): messbare Outcomes, Gatekeeper, Projektmeilensteine.
- 2. Szenen-Drehbuch (5–7 Use-Cases): identische Testdaten (Person, Vertrag, Kostenstelle, Abwesenheit, Retro-Case).
- 3. Integrations-Facts: SSO (SAML/OIDC), SCIM-Scope (CUD, Gruppen), Webhook-Events, Export-Formate (CSV/JSON), Raten/Limitierungen.
- 4. Security/Privacy Mini-Fragebogen: AVV/DPA, TOMs, Subprozessoren, Datenstandorte, Audit-Trail-Beispiele, DSAR & Löschläufe.
- 5. Bewertungslogik: Score 0–3, Gewichtung, Gatekeeper, PoV-Ablauf & Akzeptanzkriterien.
- 6. Zeit & Rollen: Deadlines, Ansprechpartner, PoV-Slots, Zugänge (Sandbox), NDA/Credentials-Prozess.
| Artefakt vom Anbieter | Erlaubtes Format | Wird bewertet? | Kommentar |
|---|---|---|---|
| Export-Beispiel „Pre-Payroll Delta“ | CSV + Feldkatalog (PDF) | Ja (Muss) | Mit dedupe_key & Quittung |
| DSAR-Voll-Export | ZIP (CSV/JSON + PDF) | Ja (Muss) | Alle Module, maschinenlesbar |
| SCIM-Provisioning-Flow | Sequence-Diagramm + Logs | Ja (Soll) | Deprovision ≤ 60 Min |
| Marketing-Broschüre | Nein | Kein Bewertungsinput |
Praxislink: Ein RFP-lite mit identischem PoC-Drehbuch skizzieren wir in Wie geht HR-Softwareauswahl?.
HR-Softwareauswahl – Shortlist: fachlich-technische Kriterien
Ein tragfähiger Katalog ist schlank und vollständig zugleich. Schlank bedeutet: nur Kriterien mit echtem Entscheidungsbezug. Vollständig bedeutet: sämtliche relevanten Dimensionen sind abgedeckt – fachlich, technisch, rechtlich und wirtschaftlich.
Fachliche Kriterien (HR-Funktionen)
Prüfe nicht „Felder & Schalter“, sondern Szenen. So erkennst du, ob Prozesse Ende-zu-Ende funktionieren – und nicht nur isolierte Masken.
- Core HR & Digitale Personalakte: Pflichtfelder, Validierungen, Dublettencheck; Versionierung von Dokumenten; nachvollziehbare Änderungsverläufe (effective-dated).
- Onboarding: Ereignis „Hire“ triggert E-Sign, SCIM-Provisionierung, Rollen-Sets, Hardware-/Access-Requests, Willkommens-Kommunikation; Status-Dashboards für HR/IT/Manager.
- Zeit & Abwesenheit: Kontingente, Feiertage, Zuschlagslogik; Pre-Payroll-Plausibilisierung (Ampel) und Korrekturschleifen; mobile App.
- Payroll-Export/Hub: Cutoffs, Vier-Augen-Prinzip, Delta-Exports (z. B. DATEV), Fehlerreports, Idempotenz, Quittungen.
- Recruiting/ATS: Multiposting, strukturierte Screening-Kriterien, DSGVO-Talentpool (Einwilligung), Angebots-/Genehmigungsworkflows.
- People Analytics & Reporting: Standard-KPIs, Self-Service-Dashboards, CSV/JSON-Exports, klares Datenmodell (Feldkataloge).
- Mobile & Offline: Push-Benachrichtigungen (Genehmigungen, Tasks), Offline-Puffer (Zeitbuchungen), E-Sign unterwegs.
- Workflows: No/Low-Code-Regeln, Eskalationen, SLA-Uhren, Delegation/Vertretung, Urlaubsvertretung per Zeitraum.
Technische Kriterien (Integrationen & Daten)
- Identity: SSO (SAML/OIDC), MFA-Pflicht; SCIM (Create/Update/Deactivate), Gruppen/Teams/Orgs; JIT-Provisioning; Rezertifizierung.
- Events: signierte Webhooks (
hire.created,employment.changed,absence.approved), Retry/Backoff, Idempotenzschlüssel, Dead-Letter-Queue. - APIs & Exporte: Filter/Paging/Rate-Limits; Delta-Logik; Import/Export-Logs; Feldkataloge mit Typen/Semantik.
- Payroll/DATEV: Export-Layouts, Idempotenz, Quittungen; Versionsmanagement der Schnittstellen.
- Datenmodell: Entitäten/Beziehungen dokumentiert, Slowly Changing Dimensions (SCD), Referenz-IDs, valid_from/to.
- Observability: Health-Checks, Audit-Events, MTTD/MTTR, Status-Page, korrelierbare Logs (
correlation_id).
Recht & Sicherheit (DSGVO, Audit, Betriebsrat)
- DSGVO-Grundlagen: AVV/TOMs, Subprozessorliste, Datenstandorte, Lösch-/Sperrkonzepte, DSAR-Exports (maschinenlesbar). Ergänzend: HR-Software & DSGVO.
- Audit-Trail: High-Risk-Events (Gehalt, Bankdaten, Rollen), unveränderlicher Log, Exportfähigkeit.
- Mitbestimmung: Leistungs-/Verhaltensdatenschutz, Betriebsrats-Abstimmungen, Transparenz bei Monitoring/Logging.
- Aufbewahrung/Archiv: Fristen je Kategorie, Legal Holds, Exit-Fitness (vollständige, dokumentierte Exporte).
- Zugänglichkeit: WCAG-Konformität, Kontraste, Tastaturnavigation, Screen-Reader-Labels (siehe Abschnitt Barrierefreiheit).
Wirtschaftlichkeit (Preis & TCO)
- Lizenzlogik: PEPM-Preise, Mindestabnahmen, Laufzeit, Sandbox-Gebühren.
- Implementierung: Partneraufwand (Konfiguration, Daten, Integrationen), Lokalisierungen, Hypercare.
- Service & Support: Reaktions-/Lösungszeiten, dedizierter CSM, Kanäle, Community/Docs.
- Exit & Portabilität: Exportrechte, Formate, Kündigungsfristen, Archiv-Optionen.
- Skalierung: Performance-SLOs, Multi-Entity, Länderskalierung.
Beispiel-Matrix (Mini)
| Kriterium | Stufe | Gewicht | Score A/B/C | Nachweis |
|---|---|---|---|---|
| SCIM CUD + Gruppen-Entzug | Muss | 5 | 3 / 3 / 1 | SCIM-Trace |
| Signierte Webhooks | Muss | 5 | 2 / 3 / 1 | Webhook-Log |
| Pre-Payroll Ampel | Muss | 5 | 3 / 3 / 2 | Screenshot + Regelkatalog |
HR-Softwareauswahl – Shortlist: Gewichtung & Scores
Ohne Gewichtung gewinnt oft der lauteste Wunsch – nicht der größte Nutzen. Daher bewertest du jede Anforderung mit Einfluss auf das Zielbild (0–5) und vergibst pro Anbieter einen Erfüllungsgrad (0–3). Das Produkt aus Gewicht × Score ergibt die gewichteten Punkte. Muss-Kriterien wirken zusätzlich als Gatekeeper: Werden sie verfehlt, scheidet ein Anbieter unabhängig von Punkten aus.
- Score 0: nicht vorhanden / nicht belegt
- Score 1: Workaround / extern nötig / unvollständig
- Score 2: vorhanden, aber Lücken im Prozess/Nachweis
- Score 3: voll erfüllt und belegt (Demo/PoV/Exports/Logs)
Calibration-Tipp: Scort gemeinsam zwei Kriterien, bis alle dasselbe Verständnis haben, dann erst den Rest. Dokumentiere Beispiele für 0/1/2/3 (Gold-Standard). Tiebreaker: Bei Punktgleichheit entscheidet Risiko (Gatekeeper-Historie) und TCO (36 Monate). Einen Leitfaden zur Gewichtung und Score-Kalibrierung findest du auch in der Checkliste 2025.
Demos & PoV: Nachweise statt Folien
Demos sind Inspiration, Proof-of-Value (PoV) ist Entscheidung. Plane 2–4 Wochen für einen PoV mit identischen Testdaten und klaren Akzeptanzkriterien. Jede Szene endet mit einem Beleg: Screenshot, Exportdatei, API-/Webhook-Trace, Audit-Log oder Rechte-Review-Protokoll.
| PoV-Woche | Fokus | Deliverables | Abnahme |
|---|---|---|---|
| W1 | Daten & Identity | Testusers, SCIM-Flow, Rollenmatrix | SCIM-Logs, Rezertifizierungs-Plan |
| W2 | Onboarding & Zeit | Hire→E-Sign→Provisioning, Abwesenheit | Status-Dashboards, Regeln, Mobile-Flow |
| W3 | Change→Pre-Payroll | Delta-Export + Quittung, Retro-Case | Idempotenz-Beleg, Fehler-Handling |
| W4 | DSGVO & Reporting | DSAR-Export, Löschlauf, CSV/JSON-KPI | Audit-Trail, SLA-Nachweise |
Guides & Vorlagen: Demos richtig nutzen, API & Integrationen, People-Analytics: von Rohdaten zu Entscheidungen.
Datenmigration & Qualität
Schlechte Stammdaten ruinieren jede schöne Lösung. Plane Migration als eigenes Mini-Projekt mit drei Schleifen (10→100→1000 Datensätze) und definiere klare Qualitätsindikatoren.
- Datenquellen: HR-Alt, ATS, Zeiterfassung, Fileshares. Duplizierte Personen (Name/DoB) deduplizieren (Hash-Vergleich), veraltete Felder konsolidieren.
- Mapping: Feldkatalog (Quelle→Ziel) mit Typ, Pflicht, Semantik, valid_from/to, SoR, Maskierung. Standardwerte und plausible Defaults definieren.
- Test-Imports: 10→100→1000 Datensätze, Fehlerberichte kategorisieren (P0–P3), Wiederholbarkeit sicherstellen (gleicher Input = gleicher Output).
- Qualitäts-KPIs: Pflichtfelder-Vollständigkeit ≥ 99 %, Dublettenquote ≤ 0,5 %, Fehler pro Lauf ≤ 0,2 %, First-time-right ≥ 98 %.
- Exit-Proben: Rückwärts-Export (Portabilität) vor Go-Live testen, inklusive Feldkatalog und Referenz-IDs.
| Risiko | Symptom | Gegenmaßnahme | Beleg |
|---|---|---|---|
| Fehlende Stichtage | Retro-Ketten/Payroll-Chaos | effective-dated Mapping | Vor/Nach-Vergleich |
| Dubletten | Doppelte User/Exports | Hash-Dedupe + Regeln | Dedupe-Report |
| Inkonsistente SoR | ERP≠HCM (Kostenstelle) | SoR-Tabelle + Checks | SoR-Audit |
Service, Support & SLAs
Die schönste Plattform hilft wenig, wenn du bei Problemen allein bist. Fordere klare SLAs und prüfe Historie (Status-Page, Incident-Reports).
- Severity-Levels & Zeiten: Sev1 (Produktion down) – Reaktion ≤ 1 h, Lösung ≤ 8 h; Sev2 – ≤ 4 h/≤ 24 h; Sev3 – ≤ 1 Tag/≤ 5 Tage.
- Release-Management: Sandbox, Release-Notes, Backward-Compatibility, Feature-Flags, Regression-Fenster vor Payroll.
- Dokumentation & Community: API-Docs mit Beispielen, Changelogs, How-tos, Foren, dedizierter CSM.
- Resilienz: RPO/RTO, Backup-Politik, DR-Tests, Status-Page mit Historie, Kommunikationsplan.
| SLA-Bestandteil | Minimal akzeptabel | Good Practice |
|---|---|---|
| Reaktions-/Lösungszeiten | Sev1 ≤ 2 h/≤ 12 h | Sev1 ≤ 1 h/≤ 8 h, Credits |
| Change-Fenster | Ankündigung 7 Tage | Sandbox ≥ 2 Wochen, Freeze vor Payroll |
| Incident-Kommunikation | Mail-Updates | Status-Page, ETA, Root-Cause-Report |
Internationalisierung, Lokalisierung & Payroll
Mehrere Länder bedeuten: Feiertage, Sprachen, Währungen, lokale Payroll-Schnittstellen und Mitbestimmung. Prüfe vor der Shortlist, ob der Anbieter deine Kernländer „by design“ oder nur „per Partner“ abdeckt.
- Lokalisierung: UI-Sprachen, Zahl-/Datumsformate, Feiertagskalender, lokale Regelwerke (z. B. Mutterschutz, 13./14. Gehalt).
- Payroll-Anbindung: Landesspezifische Exporte (z. B. DE: DATEV), Cutoffs, Retro-Regeln, Quittungsformate, Partnerökosystem.
- Rechte & Mandantenfähigkeit: Standort-Scoped Rollen, Datenresidenz, regionale Admins, DSGVO/DPF/SCC-Setup.
| Land | Payroll-Connector | Reifegrad | Hinweis |
|---|---|---|---|
| DE | DATEV-Export | Produktisiert | Delta + Idempotenz Pflicht |
| FR | lokale Partner | Partner-basiert | Service-Abhängigkeit klären |
| US | ADP/Workforce Now | Produktisiert | DPF/Privacy-Shield-Nachfolger |
Barrierefreiheit & UX
Accessibility ist Pflicht und Nutzenstifter – mehr Adoption, weniger Fehler. Fordere konkrete Nachweise und teste live.
- WCAG-Checks: Tastaturbedienbarkeit, Kontraste, Alternativtexte, fokus-sichtbare Navigation, ARIA-Labels.
- Formulare: klare Fehlermeldungen, Hilfetexte, Labels verknüpft, Auto-Save, Datum/IBAN-Validierungen.
- Self-Service: Mobile-First-Design, gut sichtbare Primäraktionen (Genehmigen/Anfragen), Guided Flows.
| UX-Kriterium | Messpunkt | Grenzwert |
|---|---|---|
| Genehmigungszeit (Mobile) | Median | < 30 Sek. |
| Fehlerquote Formular | % pro 100 Einreichungen | < 2 % |
| Keyboard-Coverage | End-to-End Flow | 100 % |
Vertiefung: Wie UX-Details Adoption und Support-Tickets beeinflussen, zeigen wir praxisnah in HR-Software vs. Excel.
Performance & Skalierung
Realität schlägt Labordemo. Definiere Performance-SLOs und simuliere Lastspitzen (Payroll-Cutoff, Quartalswechsel, Massenänderungen).
- Antwortzeiten: P95/P99 je Kernpfad (Listen, Suche, Export, Genehmigung). Beispiel-SLO: P95 Export < 20 Sek. für 5.000 Datensätze.
- Reporting-Last: Batch-Fenster, Export-Limits (Pagination), Queue-Verhalten; kein „Timeout bei > 10k Datensätzen“.
- Skalierung: Multi-Entity, viele Standorte, Spitzen (Onboarding-Welle, Stichtagswechsel). Prüfe horizontale Skalierungsstory des Anbieters.
- API-Limits: Rate-Limits dokumentiert, Retry-Strategien, Backoff, Fehlercodes (4xx/5xx) mit Semantik.
| Test | Datensatz | Zielfenster | Bestanden, wenn … |
|---|---|---|---|
| Massen-Export | 10.000 Personen | < 5 Min | kein Timeout, vollständige Quittung |
| Webhook-Sturm | 1.000 Events/min | kontinuierlich | keine Event-Drops, saubere Retries |
| Genehmigen (Mobile) | 50 gleichzeitige Manager | P95 < 2 Sek. | ohne Fehlversuche |
Weiterlesen: Technische Tiefen und Observability-Kriterien bündeln wir im Beitrag API & Integrationen: Best Practices.
Download: Shortlist- & Bewertungsmatrix (Excel)
Damit du direkt starten kannst, stellen wir eine editierbare Excel-Vorlage bereit. Enthalten sind: Kriterien (mit Muss/Soll/Kann & Gewicht), Scorecard (0–3), Shortlist (Summen & Muss-Abdeckung), ein PoV-Plan mit Szenen/Akzeptanzkriterien, Risiko-Heatmap, RACI und Decision-Log. Ergänze eure Anforderungen, vergebe Gewichte und trage pro Anbieter die Scores ein – die Rangfolge bildet sich automatisch.
Praxisbeispiel: Von Longlist zu Entscheidung
Ausgangslage, Zielbild, harte Gatekeeper
Ein produzierender Mittelständler (300 MA, 3 Standorte, DACH) priorisiert zwei harte Outcomes: „First-time-right Pre-Payroll ≥ 99 %“ und „Time-to-Onboard ≤ 10 Tage (Median)“. Daraus werden Muss-Kriterien abgeleitet, die in die HR-Softwareauswahl-Shortlist einfließen:
- Delta & Idempotenz: Payroll-Export muss nur Änderungen liefern (
delta=true) und Doppelerfassungen zuverlässig verhindern (dedupe_key). - SCIM CUD + Deprovision: Create/Update/Deactivate inkl. Gruppenentzug ≤ 60 Min nach Austritt.
- Pre-Payroll Ampel: Validierungslogik mit Blockern (P0) und Warnungen (P1–P3), Vier-Augen-Freigabe.
- DSAR-Voll-Export: Ein ZIP/Person über alle Module, maschinenlesbar (CSV/JSON) mit Audit-Beleg.
Von Longlist (7) zur Shortlist (3) – Filter & Nachweise
Die Longlist wird mit einem RFP-lite (5 Seiten) adressiert. Gefordert sind Belege statt Behauptungen (Export-Samples, SCIM-Logs, Webhook-Signaturen, DSAR-ZIP). Drei Anbieter liefern vollständig & fristgerecht → Shortlist A/B/C.
PoV-Setup (2 Wochen, identische Testdaten)
| PoV-Woche | Fokus | Testdaten & Szenen | Abnahmebedingungen (akzeptiert, wenn …) |
|---|---|---|---|
| W1 | Identity & Onboarding | 5 Hires (mid-month), 2 Abteilungen, 3 Rollen | SCIM create/update/deactivate liefert 200, Gruppen korrekt, Deprovision ≤ 60 Min |
| W2 | Change→Pre-Payroll | 4 Gehaltswechsel (mit/ohne Retro), 3 Kostenstellen-Wechsel, 2 Elternzeiten | Delta-Export mit dedupe_key, Payroll-Quittung „accepted:true“, erneuter Export erzeugt keine Dublette |
Standardisierte Testdaten (Auszug)
| person_id | hire_date | emp_type | cost_center | base_salary | change_date | change_type |
|---|---|---|---|---|---|---|
| P-1001 | 2025-05-16 | FT | 100-MFG | 42000 | 2025-06-15 | salary+5% |
| P-1002 | 2025-05-21 | FT | 200-QS | 38000 | 2025-07-01 | costcenter→200-QS2 |
| P-1003 | 2025-05-10 | PT | 100-MFG | 24000 | 2025-06-30 | retro-allowance |
Beispielformat Payroll-Delta (CSV-Snippet)
event_id,person_id,effective_date,field,old_value,new_value,source,signature evt-b9a3,P-1001,2025-06-15,base_salary,42000,44100,HCM,0x5f2c… evt-c1d7,P-1002,2025-07-01,cost_center,200-QS,200-QS2,HCM,0x9a11… Webhook-Signatur (Header-Beleg)
X-HCM-Event: employment.changed X-Signature-SHA256: a1d4… (HMAC über Body + Timestamp) X-Correlation-Id: pov-mfg-2025-w2 SCIM-Deprovision (HTTP-Trace, verkürzt)
PATCH /scim/v2/Users/9b2a… { "Operations": [{ "op":"replace","path":"active","value":false }] } --> 200 OK {"id":"9b2a…","active":false,"groups_removed":["payroll-exporters","vpn-prod"]} Scorecard – gewichtete Punkte mit Gatekeeper
| Kriterium | Gewicht | A | B | C | Beleg | Gate? |
|---|---|---|---|---|---|---|
| Delta & Idempotenz (Payroll) | 5 | 2 | 3 | 1 | CSV+Quittung | Ja |
| SCIM CUD + Deprovision ≤60 Min | 5 | 2 | 3 | 2 | SCIM-Logs | Ja |
| Pre-Payroll Ampel + 4-Augen | 4 | 3 | 3 | 2 | Screenshot+Regeln | — |
| DSAR-Voll-Export | 4 | 2 | 3 | 2 | ZIP+Log | Ja |
| Mobile-Genehmigungen (P95<2s) | 2 | 3 | 2 | 2 | Messung | — |
| Gewichtete Summe | 35 | 45 | 29 | Max: 51 | ||
Interpretation: A punktet in UX, fällt jedoch bei zwei Gatekeepern von 3 auf 2 zurück (Risiko). B liefert vollständige Nachweise in den Muss-Kriterien und gewinnt klar. C ist preislich attraktiv, verfehlt jedoch Muss-Abdeckung (73 %) und scheidet aus.
Artefakt-Set für die Entscheidung (prüffähig)
- Decision-Log: Datum, Beschluss, Gründe, Links zu Evidenzen.
- PoV-Ordnerstruktur:
/identity(SCIM-Logs),/payroll(CSV, Quittungen),/dsar(ZIP+Protokoll),/webhooks(Signaturen),/mobile(Latenz-Messungen). - Akzeptanzprotokolle: Szene, Kriterium, „erfüllt/fehlend“, Evidenz-Link, Freigabe.
- Risiko-Register: Rest-Risiken mit Gegenmaßnahmen & Owner (z. B. SCIM-Gruppen-Mapping-Lücke → Mapping-Review vor Cutover, Owner: IAM).
Cutover-Probe (Mini-Simulation)
Vor der Vertragsunterzeichnung wird eine Mini-Cutover-Probe gefahren: Freeze-Fenster simulieren, letzte Deltas erzeugen, Payroll-Quittung ziehen, SCIM-Deprovision testen. Ergebnis wird im Decision-Log verankert. Dieses Vorgehen beschleunigt den echten Go-Live spürbar und reduziert Hypercare.
Ergebnis & Lessons Learned
B gewinnt – transparent dokumentiert über KPI-Ziele, Scores, Evidenz und Decision-Log. Einführung startet mit klarem Scope, definierten Schnittstellen und messbaren Zielen. Nach 12 Wochen: First-time-right 99,2 %, Onboarding-Median 8 Tage, Mobile-Genehmigungen P95 1,6 s, Supporttickets −41 %. Wesentliche Lernpunkte:
- Evidenz schlägt Eindruck: Gleiches Drehbuch + Logs/Exports verhindern Demo-Illusionen. Lesetipp: HR-Software-Demos richtig nutzen.
- Gatekeeper früh definieren: Muss-Kriterien (Delta/Idempotenz, DSAR, SCIM) als harte Stopps sparen Wochen.
- Identity zuerst: SCIM-Gruppen-Mapping und Deprovisioning sind Betriebssicherheit; vor Payroll priorisieren. Vertiefung: HR-Software & DSGVO.
- PoV-Zeitsinvest zahlt sich aus: Zwei Wochen PoV sparen drei Monate Hypercare.
Mehr zum Evidenz-basierten Vorgehen, Shortlist-Scoring und PoV-Drehbüchern in: Wie geht HR-Softwareauswahl? und der Checkliste 2025 inkl. Matrix.
Risiken minimieren: Bias, Scope-Creep, Schnittstellen
1) Demo-Bias systematisch entschärfen
- Gleiches Drehbuch, gleiche Daten, gleiche Zeit: Jede Abweichung wird als Nicht-Bewertbar markiert. Punkte nur bei voll reproduzierbaren Ergebnissen.
- Evidenzpflicht: Punkte zählen ausschließlich mit Artefakt (CSV/JSON, SCIM-/Webhook-Trace, Audit-Log, Screenshot der Ampel mit Regelreferenz).
- Double-Blind-Bewertung: Fach- und Tech-Reviewer scoren unabhängig; der Moderator gleicht nur Definitionen ab (Kalibrierung).
2) Scope-Creep mit „Impact-Tor“ stoppen
- Change-Schleuse: Neue Wünsche müssen vor Aufnahme belegen, welchen KPI sie verbessern (Impact-Score ≥ 2). Ohne Impact-Beleg kein Einzug in die Kriterienliste.
- Gold-Plating verhindern: „Nice UI“ ohne Outcome-Bezug wird als PoV-Notiz erfasst, aber nicht bewertet.
- Gatekeeper schützen: Muss-Kriterien sind nicht verhandelbar; bei Zielkonflikt gewinnt das Zielbild (z. B. First-time-right vor „Schönere Kachel“).
3) Schnittstellen real testen – nicht beschreiben
Identity: SCIM Create/Update/Deactivate + Gruppenentzug; Mapping-Tabelle versionieren. Events: signierte Webhooks mit Retries/Backoff; X-Correlation-Id erzwingen. Exporte: Delta + Idempotenz + Importquittung. Ohne diese Belege kein „erfüllt“.
„Red-List“ vor jedem Payroll-Export
- Pflichtfelder erfüllt? (Bank/IBAN, Kostenstelle, Beschäftigungsgrad)
- Offene Korrekturen? (P0/P1 Defects)
- Widerspruchsfreie Regeln? (Stichtag, Retro-Fenster, Rundungslogik)
- Letzte Quittung archiviert? (Import-ID, Zeitstempel, Hash)
manifest.json – minimaler Liefernachweis
{ "batch_id":"payroll-2025-07-M0", "created_at":"2025-07-01T18:55:00Z", "records": 48, "digest_sha256":"0x5f2c…", "dedupe_keys":["evt-b9a3","evt-c1d7",…] } Fehlerklassen & Owner
| Klasse | Beispiel | Owner | MTTD Ziel | MTTR Ziel |
|---|---|---|---|---|
| F1 Daten | IBAN fehlt | HR Ops | < 15 min | < 4 h |
| F2 Integration | Webhook 5xx | IT/Integration | < 5 min (Alert) | < 8 h |
| F3 Security | Unsignierter Hook | InfoSec | < 1 min | < 2 h (Block) |
Technische Vertiefung: API & Integrationen – Best Practices, Datenschutz-Fokus: HR-Software & DSGVO, Auswahlmethodik: Wie geht HR-Softwareauswahl?.
KPI-Deck & Reporting: Messen statt meinen
Ein schlankes KPI-Deck (8–12 Kennzahlen) reicht, wenn jede Kennzahl eine Definition, einen Owner, eine Formel, eine Quelle und eine Zielschwelle hat. Reporting ist kein Zusatz, sondern Bestandteil des PoV.
Prozess-KPIs (Auswahl)
| KPI | Definition/Formel | Owner | Ziel | Quelle | Refresh |
|---|---|---|---|---|---|
| Entscheidungszeit | Tage von Kick-off bis Beschluss | PMO | < 45 | Decision-Log | wöch. |
| Muss-Abdeckung | % Muss-Kriterien mit Score 3 | HR Ops | ≥ 95 % | Scorecard | PoV |
| DSGVO-Artefakte | % vollständige DPA/TOM/DSAR-Nachweise | DSB | 100 % | DMS | wöch. |
Qualitäts-KPIs (Kern des Zielbilds)
| KPI | Definition/Formel | Owner | Ziel | Quelle | Alert |
|---|---|---|---|---|---|
| First-time-right Pre-Payroll | 1 − (Fehlerfälle / Gesamtfälle) | Payroll Lead | ≥ 99 % | Pre-Payroll Ampel + Quittungen | < 98.5 % |
| Export-Fehlerquote | Fehlerhafte Exporte / Exporte | IT/Integration | < 0.5 % | DLQ + manifest.json | > 1 % |
| Integrations-Fehler/Woche | Anzahl F2-Events | IT/Integration | ≤ 3 (kritisch 0) | SIEM/Logs | > 3 |
| Datenvollständigkeit | % Pflichtfelder gefüllt | HR Data Steward | ≥ 99 % | HCM-Reports | < 98 % |
| Dublettenquote | Duplikate / Personen | HR Data Steward | ≤ 0.5 % | Dedupe-Report | > 1 % |
Adoption-KPIs (Nutzung & Nutzen)
| KPI | Definition/Formel | Owner | Ziel | Quelle |
|---|---|---|---|---|
| Self-Service-Quote | Self-Service Vorgänge / Gesamt | HR Ops | ≥ 70 % | HCM-Usage |
| Mobile-Genehmigungen P95 | P95 Latenz in s | IT | < 2.0 s | APM/Logs |
| Ticketreduktion | (Tickets t-1 − t)/t-1 | Support | −30 % in 6 Mon. | Helpdesk |
Definitionen & Datenfluss (operativ belastbar)
- Lineage: Jeder KPI verlinkt auf Query/Report, Quellsystem und Refresh-Plan (Staging→KPI). Beispiel Query (Pseudocode):
SELECT 1 - (SUM(CASE WHEN status='error' THEN 1 ELSE 0 END)::float / COUNT(*)) AS first_time_right FROM pre_payroll_runs WHERE run_date BETWEEN :start AND :end; - Alarmierung: KPI-Schwellen triggern Alerts (Teams/Slack/E-Mail) mit Owner & Runbook.
- Review-Kadenz: Weekly KPI-Standup (15 Min), Monatsreview im Steering (30 Min) mit Trend & Maßnahmen.
Wie du KPIs von „Rohdaten“ zu Entscheidungen führst, zeigen wir ausführlich in People Analytics & Reporting. Flankierend empfehlenswert: Demos richtig nutzen und die Checkliste 2025 für sauberes Scoring.
Governance, RACI & Decision-Logs
Gute Entscheidungen brauchen Klarheit, nicht nur Daten. RACI legt fest, wer entscheidet (Accountable), wer liefert (Responsible), wer berät (Consulted) und wer informiert wird (Informed). Ein Decision-Log dokumentiert Alternativen, Bewertungen, Risiken und Beschlüsse – so bleibt das Projekt jederzeit auditierbar.
- Sponsor: Zielbild, Priorisierung, Budget, Eskalation.
- PO HR / HRIS: Kriterien, Bewertungsmatrix, Abnahmen.
- IT/Security: Architektur, SSO/MFA/SCIM, Webhooks, Monitoring.
- Payroll/Time: Regeln, Pre-Payroll, Exporte.
- DSB/Betriebsrat: Datenschutz, Mitbestimmung, TOMs.
- Finance/Legal: TCO, Vertragslogik, Exit/Export-Rechte.
HR-Softwareauswahl – Shortlist: Vorlagen & Artefakte
- Kriterienkatalog (Excel): Muss/Soll/Kann, Gewicht, Gatekeeper, KPI-Bezug, Evidenzen.
- Bewertungsmatrix: Score 0–3 mit Nachweislink, gewichtete Punkte, Muss-Erfüllung, Gatekeeper-Ampel.
- PoV-Plan: Szenen, Akzeptanzkriterien, Testdaten, Evidenzen, Ergebnis.
- Risiko-Heatmap: Wahrscheinlichkeit × Impact, Maßnahmen, Status.
- RACI & Decision-Log: Rollen, Beschlüsse, Begründungen, Audit-Trail.
FAQ
Wie viele Anbieter gehören auf die Shortlist?
Meist 3–5. Genug für Wettbewerb, wenig genug für Tiefe.
Wie lange dauert ein PoV?
Typisch 2–4 Wochen – mit identischen Testdaten und klaren Akzeptanzkriterien.
Wer bewertet „Design/UX“?
UX zählt – aber nur nach Muss-Erfüllung. Nutze kurze Usability-Tests mit Endanwendern.
Was tun bei Gleichstand?
Tiebreaker: Gatekeeper-Historie (Risiko), TCO, Support-Qualität, Roadmap-Transparenz.
Glossar (Kurz & knackig)
- SCIM: Standard für User-Provisionierung (Create/Update/Deactivate).
- Webhook: Push-Event aus der App (mit Signatur, Retries).
- PoV: Proof-of-Value – kurzer, evidenzbasierter Test.
- Gatekeeper: Muss-Kriterium, dessen Nichterfüllung zum Ausschluss führt.
- Delta-Export: Export nur der Änderungen seit letztem Cutoff.
Weiterführende Artikel & Nächste Schritte
Du willst tiefer einsteigen? Diese Beiträge bauen direkt auf – alle mit praxistauglichen Checklisten und Beispielen:
- HR-Software-Demo richtig nutzen – Demoskript, Do/Don’ts, PoV-Blueprint.
- HR-Software & Datenschutz – DSGVO-konform – AVV/TOMs, Subprozessoren, DSAR, Audit-Trail.
- HR-Software API & Integrationen – SSO/OIDC/SAML, SCIM, Webhooks, Delta-Exporte.
- People Analytics & Reporting – Von Rohdaten zu Entscheidungen.
- Onboarding, Stammdaten & Digitale Personalakte – End-to-End-Prozesse sauber aufsetzen.
- Zeit, Abwesenheit & Einsatzplanung – Regeln, Zuschläge, Payroll-Deltas.
Du bevorzugst einen Turbo-Start? Mit unserer Matching-Engine generierst du in Minuten eine passgenaue Shortlist. Im Selection-Portal arbeitest du kollaborativ: Kriterienmatrix, Demo-/PoV-Vorlagen, KPI-Deck, Risiko-Heatmap und Decision-Log an einem Ort. Starte mit dem Leitfaden HR-Software-Auswahl – und nutze nach Bedarf zusätzlich find-your-software.de (allgemeine Softwareauswahl) sowie ERP-Einblicke im ERP-Blog.
