Skip to main content

Trennung von IT-/Systemrechten und operativen Tätigkeiten / Rolle Administration

Jana Aßmann
Supporter
Forum|alt.badge.img+2

Liebe Community,

in den Mitarbeitendenrollen gibt es eine vordefinierte und nicht veränderliche Rolle “Administration”. Eigner dieser Rolle haben systemweite funktionale Rechte als auch komplette Datenrechte. Über diese Rolle kann das gesamte System konfiguriert werden, das Abonnement eingesehen und verändert werden und die Authentifizierung eingerichtet werden sowie Schnittstellen zu anderen Systemen.

Wenn ich es richtig interpretiere (Doku), kann aber nur über diese Administrationsrolle bestimmte operative Aufgaben ausgeführt werden. Dazu gehören:

  • Genehmigungsprozesse einrichten
  • Unternehmens-Shortcuts verwalten
  • Mitarbeitendenrollen verwalten
  • Individuelle Berichte freigeben
  • Genehmigungen für Änderungen von Mitarbeitendendaten einrichten und beobachten
  • Erinnerungen an die Prüfung der vorbereitenden Lohnbuchhaltung erhalten
  • Status aller offenen Unterschriftenanfragen verfolgen
  • Datenimporte durchführen

Das kann doch nicht sein, oder? Wie habt ihr das Problem gelöst oder habe ich evtl. etwas übersehen?

Es gibt doch mittlerweile Standards (ISO/IEC 27001) und strenge Compliance-Anforderungen, die eine klare Trennung von Aufgaben und Rollen vorschreiben aus guten Gründen. IT-/Systemverantwortliche haben in der Regel andere Kompetenzen und Verantwortlichkeiten als Fachbereichsmitarbeiter (HR, Verwaltung).

Ich kann doch nicht die Adminrolle meiner HR-Mitarbeiterin geben, damit sie prüfen kann, ob bspw. alle angeforderten Unterschriften vorliegen. Oder andersrum meinen IT-Dienstleister, der das SSO-Verfahren im Zusammenspiel mit Microsoft Entra einrichtet, kompletten Datenzugriff auf die Belegschaft geben mit allen HR-Daten.

Vielen Dank für euer Feedback!

Jana

War dieser Beitrag hilfreich für Dich?

4 Antworten

Andrea B.
Community Star
Forum|alt.badge.img+20
  • Andrea B.Community Star
  • Community Star
  • 261 Kommentare
  • 26. Februar 2025

@Jana Aßmann 

Vielleicht bin ich hier etwas unbedarfter. Der Admin kann alles, sonst wäre es kein Admin. Damit sieht der Admin auch alles. Es gibt Verschwiegenheitserklärungen, Datenschutzerklärungen und vieles mehr. 

Über die Zugriffsrechte, müsstest du der HR mehr Kompetenzen geben können. Ein ITler kann doch sowieso an alles, was sich im Rahmen der EDV bewegt ran und kann alles sehen. Wenn ihr euch dazu entscheidet dem ITler die Admin Funktion zu geben, sieht er nicht mehr und nicht weniger als sonst auch. 

Bei uns hat der ITler gar keine Admin Funktion. Wir sind aber auch ein eher kleiner Betrieb mit < 50 MA. 

Ich bin HR und Admin. Ich habe die Implementierung gemacht, das war kein Problem. Auch wir haben einen externen Dienstleister, er genieß unser volles Vertrauen und wir haben es vertraglich geregelt, dass hier kein Datenschutzleg entsteht. Wenn ich fachliche Unterstützung brauche, hole ich den externen ITler mit an den (virtuellen) Tisch. 

Eine klare Trennung kann bei uns gar nicht vorgenommen werden, dafür sind wir schlicht zu klein. Bei uns haben viele MA Tätigkeiten, die man gar nicht abgrenzen kann. Wenn ich alles aufschreiben würde, wäre meine Stellenbeschreibung sehr viele Seiten lang ;-) 

Allein die DATEV Integration. Hier macht der ITler die DATEV Updates. Hier würde, wenn er will, auch sensible Daten sehen. 

Wie gesagt, vielleicht sehe ich es zu einfach. 

LG

 

Andrea
Elena
SarahHen
2 Menschen gefällt dies
  • Elena
    Elena
  • SarahHen
    SarahHen
Jana Aßmann
Supporter
Forum|alt.badge.img+2
  • Jana AßmannSupporter
  • Autor
  • Supporter
  • 12 Kommentare
  • 26. Februar 2025

Hallo ​@Andrea B.,

vielen Dank für dein Feedback. 

Tatsächlich sind wir etwas größer aufgestellt und haben ein HR-Team mit unterschiedlichen Rollen und Erfahrungsgraden. Z.B. gehört es zum Aufgabenbereich einer jungen HR-Assistentin Vertragsunterlagen zu generieren und in den Unterschriftenprozess zu bringen. Ob die Unterschriften geleistet wurden, kann sie nicht über den dafür existierenden Monitor verfolgen. Dazu bräuchte sie die vollumfänglichen Admin-Rechte.
Dadurch würde sie aber alles einsehen können, sogar Systemänderungen vornehmen können. Das ist so leider nicht gut gelöst.

Auch unterliegen wir bestimmten Compliance-Vorgaben, die wir im HR-System leider nachweislich nicht einhalten können. Das wird relevanter, je größer man wird und auch für manche Lieferanten-Anbahnungen zur Voraussetzung bestimmte Vorgaben / Zertifizierungen einzuhalten bei Datenschutz- und Sicherheitsbelangen.

Deine Perspektive kann ich aber auch gut nachvollziehen.

Alles Gute,
Jana

Andrea B.
Community Star
Forum|alt.badge.img+20
  • Andrea B.Community Star
  • Community Star
  • 261 Kommentare
  • 26. Februar 2025

@Jana Aßmann 

 

hast du mal mit den Zugriffsrechten “gespielt”? vielleicht bringt dich das weiter. Bzw. dein HR Team .

 

 

Andrea
Jana Aßmann
Supporter
Forum|alt.badge.img+2
  • Jana AßmannSupporter
  • Autor
  • Supporter
  • 12 Kommentare
  • 26. Februar 2025

@Andrea B. 
Ja, hier haben wir schon vieles ausprobiert, aber finden einfach keine Lösung. Und dann habe ich ja die Personio-Doku gefunden, die die Möglichkeiten der Zugriffsrechte dazu beschreibt:
“Admins in Personio haben exklusiven Zugriff auf bestimmte Bereiche und können Aufgaben ausführen wie: Genehmigungsprozesse einrichten, Status aller offenen Unterschriftenanfragen verfolgen, … ”.

Damit wird m.E. beschrieben, dass nur jemand mit Admin-Rechten die dort beschriebenen Aufgaben erledigen kann 😔

Deine Antwort


Nutzungsbedingungen für die Personio Voyager Community