HR-Software & Datenschutz – DSGVO-konform (2025)

  • 13. August 2025
  • Updated: 8. Oktober 2025
  • Dr. Marcel Panzer
Blog Data Security

Finde deine HR-Software, in nur 2 Minuten

Unsere KI analysiert automatisch dein Unternehmen und erstellt einen personalisierten Vergleich geeigneter HR-Systeme.
Sofort – Ergebnis in Minuten
Unabhängig – neutraler Vergleich
Anonym – keine personenbezogenen Daten

Please enter a URL.

Invalid URL format.

The URL does not contain the expected content.

Keine URL parat? Teste jetzt das Matching mit: https://mechatronix.illuminai.de
Wir verarbeiten personenbezogene Daten gemäß DSGVO und BDSG. Details finden Sie in unserer Datenschutzerklärung.

Einleitung: HR-Software & Datenschutz – praxisnah DSGVO-konform

HR-Software & Datenschutz gehören untrennbar zusammen: Personalstammdaten, Verträge, Gehalts- und Gesundheitsangaben zählen zu den sensibelsten Informationen im Unternehmen. Die DSGVO gibt dazu klare Leitplanken vor – von den Grundsätzen in Art. 5 DSGVO (EUR-Lex) über vertragliche Pflichten nach Art. 28 bis zu Meldepflichten bei Datenpannen (72-Stunden-Regel). Was juristisch klingt, lässt sich technisch und organisatorisch greifbar umsetzen – und genau das zeigt dieser Leitfaden: verständlich, umsetzbar, auditfest. Wenn du dich parallel mit der Systemauswahl beschäftigst, findest du den Gesamtfahrplan kompakt im Leitfaden zur HR-Software-Auswahl.

Zur Vertiefung im Umfeld HR-Architektur und Systemeinführung empfehlen wir u. a. die Beiträge HR-Software-Demo richtig nutzen, Einführung: Die ersten 100 Tage, KMU vs. Konzerne sowie ERP-nahe Perspektiven im Find-Your-ERP-Blog.

Inhaltsverzeichnis

DSGVO-Grundsätze (Art. 5): Was sie in HR-Software praktisch bedeuten

Die DSGVO startet mit sieben Prinzipien: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit und Rechenschaftspflicht (GDPR-info, EUR-Lex). In HR-Software werden sie durch Formulare, Feldlogiken, Workflows und Protokolle konkret – also Konfiguration statt Paragrafen.

  • Zweckbindung: Felder strikt auf Prozesszwecke zuschneiden (Recruiting ≠ Beschäftigung). Pflicht/Optional sauber trennen; Freitext minimieren.
  • Datenminimierung: Rollen-Sichten (RBAC) nach „Need-to-know“; Feld-Maskierung für heikle Attribute (z. B. Gehalt/IBAN).
  • Richtigkeit: Self-Service mit Genehmigung, Änderungs-Historie, Pflichtnachweisen (z. B. Meldebescheinigungen).
  • Speicherbegrenzung: Retention-Regeln je Objekt (Person, Vertrag, Dokumente, Logs) inklusive automatischer Löschläufe mit Beleg.
  • Integrität/Vertraulichkeit: TLS 1.2+, Verschlüsselung „at rest“, SSO/MFA, IP-Restriktionen für Admin-Rollen, Export-Ablaufzeiten.
  • Rechenschaftspflicht: Artefakte systematisch ablegen (DPA/TOMs, DPIA, DSAR-Protokolle, Rechte-Reviews, Release-Logs).
Prinzip HCM-Konfiguration Audit-Beleg KPI/Indikator
Zweckbindung Formularvarianten pro Prozess, Pflichtfeld-Regeln Formulardefinition, Änderungslog ∅ Feldanzahl/Prozess, Freitextquote
Datenminimierung RBAC, Feldmasken, View-Policies Rollenmatrix, Rezertifizierungsprotokoll Zugriffsfehler, Rechte-Drift
Speicherbegrenzung Retention-Jobs, Löschfreigaben Lösch-Protokoll, Legal-Hold-Register Löschquote, Ausnahmen
Integrität/Vertraulichkeit SSO/MFA, KMS, Admin-Logging Zertifikate, Pen-Test-Bericht MTTD/MTTR Security-Events
Rechenschaftspflicht DMS-Ablage, Ticket-Verknüpfungen Artefakt-Register Vollständigkeit Artefakte

Rollen & Verantwortlichkeiten (Art. 28): Controller, Processor & Subprozessoren

Typisch in HR-SaaS: Dein Unternehmen ist Verantwortlicher (Controller), der Anbieter Auftragsverarbeiter (Processor). Der Anbieter liefert „ausreichende Garantien“, du definierst Zweck & Mittel – und bleibst verantwortlich für Rechtsgrundlagen, Information, DSAR, Löschung (EDPB Leitlinie 07/2020).

  • Controller: Verzeichnis (Art. 30), Rechtsgrundlagen (Art. 6), Information der Beschäftigten, DPIA-Prüfung, Auswahl/Aufsicht der Prozessoren.
  • Processor: Verarbeitung nur auf Weisung, TOMs, Subprozessor-Transparenz, Unterstützung bei DSAR/Vorfällen (Art. 28 Abs. 3).
Aktivität Owner Artefakt Review-Zyklus
AV-Vertrag & Subprozessoren Legal/DSB DPA inkl. TOMs, Subprozessorliste jährlich/bei Änderung
Rezertifizierung Rollen IT-Sec/IAM Rollenmatrix, SoD-Report quartalsweise
DSAR-Prozess HR Ops/DSB Playbook, Vorlagen, Fristenmonitor monatlich KPI-Review

Auftragsverarbeitungsvertrag (DPA): Must-haves, TOMs & Exit-Fitness

Der AV-Vertrag nach Art. 28 DSGVO fixiert Zweck, Art, Dauer, Datenkategorien, Betroffene und die technischen/organisatorischen Maßnahmen (TOMs). Seriöse Anbieter liefern DPA-Vorlage, Audit-/Informationsrechte, Subprozessorliste und Incident-Support. Prüfe, ob deine Muss-Prozesse gespiegelt sind: DSAR-Fristen, DPIA-Unterstützung, Reaktionszeiten, Exit & Datenrückgabe (maschinenlesbar). Für internationale Transfers: SCC-Q&A.

Thema Minimalanforderung Good Practice Nachweis
TOMs Verschlüsselung, RBAC, Logging BYOK/KMS, Geo-Key-Residency Security-Whitepaper, ISO 27001
Subprozessoren Liste + Vorab-Info Opt-out/Exit-Option Aktuelle URL/Liste
Auditrechte „Angemessene“ Audits Type-2-Berichte (C5/SOC 2) Berichte, Zeitraum
Incidents Benachrichtigung ohne Verzug 24/7-Hotline, Playbooks SLA, Eskalationsmatrix
Exit Rückgabe/Löschung Standardisierte Exporte + Hand-off Export-Samples

DPIA/Folgenabschätzung: Trigger, Scoring, Nachweise

Eine DPIA ist nötig, wenn „voraussichtlich ein hohes Risiko“ vorliegt – etwa bei großen Mengen sensibler Daten, systematischer Bewertung/Scoring oder umfangreicher Überwachung. Orientierung: WP248rev.01. In HR relevant: Gesundheitsdaten, Schwerbehindertenangaben, Standortdaten aus Zeit-Apps, KI-gestützte Bewertungen in Recruiting/Performance.

  • Scoring-Raster: Eintrittswahrscheinlichkeit (1–5) × Schwere (1–5) → Risiko; ab Schwelle X Maßnahmenpflicht/DSB-Einbindung.
  • Maßnahmenkatalog: Pseudonymisierung, stärkere RBAC, Data Masking, DSGVO-konforme Profiling-Hinweise, menschliche Aufsicht, Bias-Kontrollen.
  • Artefakte: Prozessdiagramm, Datenlandkarte, Subprozessoren & Länder, TIA (bei Transfers), Rest-Risiko + Review-Zyklus.

Betroffenenrechte (DSAR): Von der Anfrage zum prüfbaren Abschluss

Beschäftigte haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Übertragbarkeit (vgl. GDPR-Info). Dein HCM muss Suchen, Exporte, Korrekturen mit Historie und Löschung mit Fristen/Audit unterstützen – inklusive Dokumentation und SLA-Tracking.

Schritt Systemfunktion Owner SLA Beleg
Anfrageeingang Portal/Ticket, ID-Prüfung HR Ops 24 h Bestätigung Ticket + ID-Check
Datenzusammenstellung Personensuche, modulübergreifend HR + System-Owner 7–14 Tage Export-Log
Antwort/Export CSV/JSON/PDF, sicherer Link HR Ops/DSB 30 Tage (Art. 12) Nachweis Zustellung
Löschung (berechtigt) Retention-Job, Legal Hold HR + Legal +14 Tage Löschbeleg

Praxis-Tipp: Quartalsweise „Fire-Drill“ mit Dummy-DSAR, inkl. Export-Lesbarkeit (Plain-Language), Vollständigkeit (auch Notizen/Anhänge) und Metadaten (Zeitstempel, Bearbeiter).

Technische & organisatorische Maßnahmen: Verschlüsselung, RBAC, SCIM/SSO, Monitoring

Sicherheit ist ein Verbundsystem: Governance (ISMS nach ISO/IEC 27001), Cloud-Kontrollen (BSI C5), Technik (KMS/HSM, MFA, SCIM), Betrieb (SIEM, Patching), Notfallmanagement. Ergänzend sinnvoll: SOC-Berichte (AICPA-Rahmen, AICPA).

  • Transport & Speicherung: TLS 1.2+, HSTS, AES-256 at rest, Key-Rotation, Customer Managed Keys (BYOK/KMS), getrennte Schlüssel je Mandant.
  • Identität & Zugriff: SSO (SAML/OIDC), MFA-Pflicht, RBAC, SoD-Regeln, quartalsweise Rezertifizierung, zeitlich limitiertes „Break-Glass“.
  • Eventing/Monitoring: SIEM-Integration, Alerts (Impossible Travel, Massen-Export, Admin-Änderung), Korrelation per correlation_id.
  • Schwachstellen: CVSS-basiertes Patchen, regelmäßige Pen-Tests, Abnahme im Change-Advisory-Board.
Audit-Log-Mindestfelder Beispielwert Warum relevant?
timestamp (UTC) 2025-10-08T10:12:33Z Revisionssicher, Zeitzonenunabhängig
actor / role j.schmidt / HRBP Wer hat gehandelt?
action UPDATE_PERSON_BANK Klare Semantik
object / object_id person / 9b2a-… Worauf bezogen?
before / after masked Nachvollziehbarkeit, Minimalprinzip
ip / client 192.0.2.15 / web Anomalie-Erkennung
correlation_id payroll-export-2025-09 End-to-End-Tracing

Drittlandtransfers: SCC, EU-US Data Privacy Framework & TIA

Bei Verarbeitung außerhalb des EWR brauchst du eine Rechtsgrundlage: Standardvertragsklauseln (SCC) (Beschluss EU 2021/914) oder – für die USA – das EU-US Data Privacy Framework (EU 2023/1795, DPF). Ergänze stets ein Transfer Impact Assessment und technische Maßnahmen (z. B. Verschlüsselung mit EU-Schlüsselhaltung).

  • SCC-Module & Anhänge: Controller–Processor, Processor–Processor; TOMs/Empfänger/Flüsse konkret dokumentieren.
  • DPF-Check: US-Partner im DPF-Verzeichnis verifizieren.
  • Subprozessoren-Transparenz: Länderangaben, Support-Standorte, Änderungsbenachrichtigung abonnieren.

Datenpannen: 72-Stunden-Regel, Playbooks & Drill

Bei Verletzungen des Schutzes personenbezogener Daten muss die Aufsichtsbehörde „unverzüglich und möglichst binnen 72 Stunden“ informiert werden – inkl. Ursachen, Umfang, Folgen, Maßnahmen (EDPB-Leitfaden, Guidelines 9/2022).

Vorfalltyp Beispiel Sofortmaßnahme Meldung Prävention
Vertraulichkeit Payroll-CSV an falschen Empfänger Link sperren, Rückruf, Empfänger informieren Behörde + ggf. Betroffene DLP, 2-Personen-Prinzip, Wasserzeichen
Integrität Unbefugte HR-Änderung Account sperren, Changes revertieren Behörde (risikobasiert) MFA, SoD, Admin-Logging
Verfügbarkeit Ransomware beim Anbieter DR-Plan, Notfallprozesse Behörde (bei Risiko) Backups, DR-Tests, Provider-SLA

Drill: 2× pro Jahr Szenarien „falscher Export“ & „kompromittierter HR-Admin“. Metriken: Zeit bis Erkennung, Zeit bis Containment, Vollständigkeit der Dokumentation.

Retention & Löschung: Regeln, Backups, Legal Holds

Speicherbegrenzung erfordert Retention Schedules je Datenkategorie (arbeits-/steuerrechtlich variierend), automatisierte Löschläufe, Freigaben und revisionsfähige Belege. Backups dürfen Löschung nicht konterkarieren; Protokolle müssen minimal sein, aber Audit & Forensik ermöglichen (DSGVO: Art. 5, 17, 30).

Kategorie Beispielobjekte Retention Rechtsgrundlage Hinweis
Bewerber CV, Notizen 6–24 Monate (Einwilligung/AGG) Art. 6(1)(a)/(f) Talentpool nur mit Einwilligung
Personalakte Verträge, Änderungen i. d. R. 10 Jahre Aufbewahrungspflichten Landesspezifika beachten
Payroll Lohn, SV-Meldungen 6–10 Jahre Steuer-/Sozialrecht je Land differenziert
Logs Admin-/Zugriffslogs 90–365 Tage Art. 5(1)(e) Minimalprinzip, Zweckbindung

Backup-Regel: Rolling Retention, dokumentierte Restore-Verantwortung, kein Produktiv-Restore ohne Zweck & Legal/DSB-Freigabe.

Datenkatalog & Datenlandkarte: So wird Art. 30 gelebte Praxis

Statt statischer Tabellen empfiehlt sich ein Datenkatalog mit Objekt- und Feldsicht: Objekt (Person, Vertrag, Stelle, Abwesenheit), Feldname, Typ, Pflicht, Semantik, System of Record, valid_from/to, Retention, Empfänger, Rechtsgrundlage. Der Katalog ist Dreh- und Angelpunkt für DPIA, DSAR, Löschung und Integrationen.

Feld Objekt Pflicht SoR valid_from/to Retention Empfänger
cost_center_code employment ja ERP ja 10y Payroll, BI
manager_id position ja HCM ja 6y IAM, Org-Chart
bank_iban person ja HCM ja 6y Payroll

Hinweis: Den Katalog als lebendes Dokument führen und mit der Rollenmatrix (RBAC) sowie dem Integrations-Runbook verlinken.

Zugriffsmodelle, SoD & Rezertifizierung: vom Rollenplan zur Kontrolle

Definiere System of Record je Feld (z. B. Kostenstelle im ERP, Manager/Org im HCM), versioniere die Rollenmatrix und führe quartalsweise Access-Reviews durch. Separation of Duties (SoD) verhindert riskante Kombinationen (z. B. Lohnarten anlegen und Zahlungen freigeben).

Rolle Kritische Rechte SoD-Konflikt Gegenmaßnahme
Payroll Admin Lohnarten ändern, Export auslösen Export + Zahlung 2-Personen-Prinzip, Finance-Freigabe
HRBP Gehalt ändern, Boni erfassen Self-Approval Manager-/HR-Freigabe, Limit
IT-Admin Rollen zuweisen, SCIM Admin + Audit-Löschung Read-only Audit, getrennte Admins

Rezertifizierung: Quartalsweise Review per Identity-Tool (SCIM-Quelle=HCM), Abweichungen als Tickets; ungenutzte Rechte automatisch entziehen.

Integrationssicherheit: Delta, Idempotenz, Protokolle & Observability

Gerade bei Payroll- und ERP-Schnittstellen entscheidet die Integrationsdisziplin über DSGVO-Konformität und Ruhe im Monatsabschluss. Best Practices:

  • Datenvertrag: Felder, Pflicht, Codes, Semantik, valid_from/to, Idempotenzschlüssel (event_id) verbindlich dokumentieren.
  • Delta-Exports & Idempotenz: Nur Änderungen übertragen; dedupe per event_id; manifest.json je Paket; Importquittungen archivieren.
  • Red-List vor Export: Pflichtfelder erfüllt? Offene Korrekturen? Widersprüche in Regeln? Wenn ja: kein Export.
  • Regression-Suite: 30–50 Flows automatisieren (Eintritt, Versetzung, Austritt, Elternzeit, Ausland, Retro, Zuschläge).
  • Observability: End-to-End-Tracing (Korrelation), Fehlerklassen/Owner, MTTD/MTTR messen, Dead-Letter-Queues mit klarer Abarbeitung.
Integration Daten Richtung Technik Kontrolle
HCM → Payroll Stammdaten, Entgelte, Abwesenheiten Outbound CSV/REST Delta + Idempotenz, Quittung
HCM ↔ ERP Kostenstellen, Org, Buchungen Bidi API/SFTP SoR-Check, Stichtage
HCM ↔ IAM User, Rollen Bidi SCIM/SAML/OIDC Rezertifizierung, SoD

Mehr Integrations-Praxis findest du im Auswahl-Leitfaden sowie im ERP-Kontext auf dem Find-Your-ERP-Blog.

Vendor Due Diligence: Fragenkatalog & Artefakte

Prüfe vor Vertragsabschluss systematisch: Zertifikate, Architektur, Subprozessoren, Standorte, DSAR-Funktionen, Löschkonzepte, Support, Incident-Prozesse. Nutze Demos/PoCs, um Belege einzusammeln – nicht nur Aussagen. Standards: ISO 27001, BSI C5, SCC-Q&A.

Bereich Frage Geforderter Nachweis
Zertifikate Welche Zertifikate inkl. Scope/Zeitraum? ISO 27001, C5 (Type 2), ggf. SOC 2
Identität & Zugriff SSO/MFA Pflicht? SCIM vorhanden? Admin-Policy, SCIM-Doku
DSAR Wie exportiert ihr alle Daten einer Person? Live-Demo + Export-Sample
Löschung Automatische Retention & Backup-Umgang? Löschlog, Backup-Policy
Subprozessoren Welche/wo? Änderungsverfahren? Aktuelle Liste + Benachrichtigung
Incidents Notifikationszeit, Playbooks? SLA, Runbooks

Für kollaboratives Team-Scoring und Shortlists: find-your-software.de. ERP/BI-Flanken mit find-your-erp.de klären; ESG/HR-Nachhaltigkeit via find-your-esg.de. Weitere Praxisartikel im Find-Your-HR-Blog.

4-Schritte-Check: DSGVO operativ verankern

Mit diesem Ablauf ziehst du Datenschutz in die HR-Software – statt ihn daneben zu dokumentieren. Jeder Schritt erzeugt prüffähige Ergebnisse.

  1. Inventarisieren & begründen: Verzeichnis der Verarbeitung, Datenfelder, Zwecke, Rechtsgrundlagen – Prinzipien aus Art. 5 abbilden (EUR-Lex).
  2. Absichern & vertraglich fixieren: DPA/TOMs, Subprozessoren, internationaler Transfer (SCC/DPF) (SCC, DPF-Beschluss).
  3. Umsetzen & testen: RBAC, SSO/MFA, Verschlüsselung, Löschläufe, DSAR-Exports; Incident-Drills (72 h) (EDPB 9/2022).
  4. Messen & verbessern: KPIs (DSAR-Durchlaufzeit, Löschquote, Rechte-Reviews), jährliche Zertifikatsprüfung (ISO 27001, C5).

Methodische Unterstützung in Auswahl & Demos: HR-Software-Auswahl, Demos richtig nutzen, Checkliste 2025 mit Matrix.

Fallbeispiele & Anti-Pattern aus Projekten

Fallstudie 1 – DSAR-Welle nach Standortschließung (2.300 MA, Industrie): 68 DSARs in 4 Wochen. Erfolgsfaktoren: DSAR-Portal, Antwortbausteine, Such-Playbook (Person, Dokumente, Notizen, Anhänge), Exportvorlagen, Fristenmonitor. Ergebnis: 100 % fristgerecht, 0 Beschwerden. Lernpunkt: Ein DSAR-Owner je Land verhindert Eskalationen.

Fallstudie 2 – Löschung scheitert am Backup (Konzern, DACH): Fachlich gelöschte Bewerberdaten tauchten nach Notfall-Restore wieder auf. Maßnahmen: Backup-Policy mit „Rolling Retention“, Restore-Freigabe nur mit dokumentiertem Zweck, Verschlüsselung sensibler Kategorien, Restore-Register im Audit.

Fallstudie 3 – Incident „Payroll an falschen Verteiler“ (Mittelstand): Export via E-Mail an veralteten Verteiler. Reaktion in 2 h: Links deaktiviert, Empfänger kontaktiert, Behörde informiert. Prävention: DLP-Regeln, sichere Download-Links (Ablauf), 2-Personen-Prinzip für Exporte, Red-List-Check im HCM.

Fallstudie 4 – SCIM-Fehler führt zu Rechte-Drift (Retail, 7.000 MA): Inaktives Outbound-Mapping verhinderte Rollenentzug bei Abteilungwechsel. Folgekosten: 12 unerlaubte Datenzugriffe. Fix: SCIM-Mapping-Tests im Release-Zyklus, quartalsweise Rezertifizierung, Alarm bei >30 Tagen Inaktivität.

  • Anti-Pattern Freitext: Unstrukturierte Notizen erschweren DSAR/Löschung. Gegenmittel: Pflichtauswahlfelder, Freitextlimit, klare Richtlinie.
  • Anti-Pattern „Export auf Vorrat“: CSV-Ablagen in Teamshares. Gegenmittel: gesicherte File-Exchanges, zeitlich beschränkte Links, Export-Löschpolicy.
  • Anti-Pattern „Soft Cutoff“: Daten ändern sich nach Payroll-Export. Gegenmittel: harte Cutoffs, Deltas, Idempotenz, Vier-Augen-Freigaben.

Weitere vertiefende Artikel: HR-Software vs. Excel, Arbeitszeitkonten & Überstunden, E-Signatures in HR, sowie ERP-nahe Auswahlfeinheiten im ERP-Blog.

Mit Find-Your-HR schneller zur sicheren Wahl

Unsere KI-Matching-Engine bringt deine HR-Anforderungen mit dem Markt zusammen und erstellt binnen Minuten eine datenbasierte Shortlist – inklusive Datenschutz-Kriterien: DSAR-Fähigkeiten, Retention-Automation, Subprozessor-Transparenz, SSO/MFA/SCIM, Zertifikate (ISO 27001/C5) und Exit-Fitness (Exportformate). Im Selection-Portal bewertest du Anbieter kollaborativ, trackst Nachweise (DPA/TOMs), vergleichst Integrationen (SSO/IDP, Payroll, ERP) und überführst die Entscheidung nahtlos in PoC-Szenarien. Für Demos und Team-Scoring findest du Vorlagen in Demos richtig nutzen und der Checkliste 2025.

Starte hier: Leitfaden zur HR-Software-Auswahl – anbieterneutral, praxisnah und mit klarer Brücke zu Shortlists, PoC-Drehbüchern und Audit-Artefakten.

FAQ zu HR-Software & Datenschutz (DSGVO)

Benötigen wir für eine HR-Software zwingend einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO)?

Ja. Sobald ein externer Anbieter personenbezogene HR-Daten in deinem Auftrag verarbeitet, ist ein AV-Vertrag nach Art. 28 DSGVO zwingend. Er muss Zweck, Dauer, Datenkategorien, TOMs (u. a. Verschlüsselung, RBAC, Logging), Subprozessoren, Audit- und Informationsrechte sowie Exit- und Löschregeln regeln. Prüfe zusätzlich internationale Übermittlungen (SCC/DPF) und fordere Nachweise wie ISO/IEC 27001 oder BSI C5 an.

Müssen wir eine Datenschutz-Folgenabschätzung (DPIA) für unsere HCM-Einführung durchführen?

Eine DPIA ist erforderlich, wenn ein hohes Risiko für Rechte und Freiheiten besteht – z. B. bei umfangreicher Verarbeitung sensibler Daten (Gesundheit, Gewerkschaft), Profiling/Scoring (z. B. Performance, Recruiting-KI) oder standortbasierter Verarbeitung (Zeit-Apps). Vorgehen: Prozess abbilden, Datenfelder und Empfänger dokumentieren, Risiken bewerten, Maßnahmen (z. B. stärkere RBAC, Data Masking, menschliche Aufsicht) festlegen, Review-Zyklus definieren.

Wie erfüllen wir Betroffenenrechte (DSAR) in der HR-Software fristgerecht?

Setze ein DSAR-Playbook auf: Eingang & Identitätsprüfung, systemweite Personensuche, vollständiger Datenexport (maschinenlesbar), Antwortschreiben und Nachweise. Technisch brauchst du Volltextsuche, Exportfunktionen (CSV/JSON/PDF), Änderungs-Historien und Löschjobs mit Protokoll. Organisatorisch helfen SLAs (Bestätigung < 24 h, Abschluss < 30 Tagen) und quartalsweise Test-Drills.

Wie setzen wir Speicherbegrenzung praktisch um – trotz Backups und Logs?

Definiere Retention-Regeln je Datenkategorie (z. B. Bewerberdaten 6–24 Monate, Personalakten i. d. R. 10 Jahre), automatisiere Löschläufe mit Freigaben und Belegen, und führe ein Restore-Register ein. Backups mit Rolling Retention dürfen nur zu legitimen Zwecken wiederhergestellt werden; Logs werden nach Minimalprinzip gespeichert, bleiben aber für Audit und Forensik ausreichend.

Welche Sicherheitsmaßnahmen sind für HR-SaaS Pflicht – und welche sind Kür?

Pflicht: TLS 1.2+, Verschlüsselung „at rest“, SSO (SAML/OIDC), MFA, feingranulare RBAC, Admin-Logging, Schwachstellenmanagement und Incident-Prozesse (72-Stunden-Regel). Kür: Customer Managed Keys (BYOK/KMS), Geo-Key-Residency, SCIM-Provisioning mit Rezertifizierung, SIEM-Anbindung mit Anomalie-Alerts (z. B. Impossible Travel, Massen-Exporte).

Wie prüfen wir Drittlandtransfers rechtssicher ab?

Für Übermittlungen außerhalb des EWR nutze Standardvertragsklauseln (SCC, EU 2021/914) oder – für die USA – das EU-US Data Privacy Framework (DPF). Führe ein Transfer Impact Assessment durch, dokumentiere Subprozessoren und Länder, und ergänze technische Maßnahmen (z. B. Ende-zu-Ende-Verschlüsselung mit EU-Schlüsselhaltung). Überwache Änderungen per Benachrichtigung des Anbieters.

Weiterführende, hochwertige Quellen

Für eine sichere, effiziente Systemauswahl mit belastbaren Datenschutzkriterien lohnt der Start im Leitfaden zur HR-Software-Auswahl – praxisnah, anbieterneutral und mit direkter Brücke zu Shortlists und PoC-Drehbüchern.

::contentReference[oaicite:0]{index=0}
Bild von Dr. Marcel Panzer

Dr. Marcel Panzer

Durch zahlreiche erfolgreich abgeschlossene Auswahlprojekte hat Marcel Geschäftsprozesse in Start-ups, mittelständischen Unternehmen und Konzernen digitalisiert. Er entwickelte mehrere KI-Tools und promovierte im Bereich Deep Learning / Reinforcement Learning, wobei er klassische Heuristiken mit State-of-the-Art-Algorithmen verknüpfte. So verbindet er technische Exzellenz mit praxisnaher Software-Expertise, um Unternehmen schnell die am besten passende Software zu finden.

Hier weiterlesen