Trennung von IT-/Systemrechten und operativen Tätigkeiten / Rolle Administration

​@Jana Aßmann 

Vielleicht bin ich hier etwas unbedarfter. Der Admin kann alles, sonst wäre es kein Admin. Damit sieht der Admin auch alles. Es gibt Verschwiegenheitserklärungen, Datenschutzerklärungen und vieles mehr. 

Über die Zugriffsrechte, müsstest du der HR mehr Kompetenzen geben können. Ein ITler kann doch sowieso an alles, was sich im Rahmen der EDV bewegt ran und kann alles sehen. Wenn ihr euch dazu entscheidet dem ITler die Admin Funktion zu geben, sieht er nicht mehr und nicht weniger als sonst auch. 

Bei uns hat der ITler gar keine Admin Funktion. Wir sind aber auch ein eher kleiner Betrieb mit < 50 MA. 

Ich bin HR und Admin. Ich habe die Implementierung gemacht, das war kein Problem. Auch wir haben einen externen Dienstleister, er genieß unser volles Vertrauen und wir haben es vertraglich geregelt, dass hier kein Datenschutzleg entsteht. Wenn ich fachliche Unterstützung brauche, hole ich den externen ITler mit an den (virtuellen) Tisch. 

Eine klare Trennung kann bei uns gar nicht vorgenommen werden, dafür sind wir schlicht zu klein. Bei uns haben viele MA Tätigkeiten, die man gar nicht abgrenzen kann. Wenn ich alles aufschreiben würde, wäre meine Stellenbeschreibung sehr viele Seiten lang ;-) 

Allein die DATEV Integration. Hier macht der ITler die DATEV Updates. Hier würde, wenn er will, auch sensible Daten sehen. 

Wie gesagt, vielleicht sehe ich es zu einfach. 

LG

Hallo ​@Andrea B.,

vielen Dank für dein Feedback. 

Tatsächlich sind wir etwas größer aufgestellt und haben ein HR-Team mit unterschiedlichen Rollen und Erfahrungsgraden. Z.B. gehört es zum Aufgabenbereich einer jungen HR-Assistentin Vertragsunterlagen zu generieren und in den Unterschriftenprozess zu bringen. Ob die Unterschriften geleistet wurden, kann sie nicht über den dafür existierenden Monitor verfolgen. Dazu bräuchte sie die vollumfänglichen Admin-Rechte.
Dadurch würde sie aber alles einsehen können, sogar Systemänderungen vornehmen können. Das ist so leider nicht gut gelöst.

Auch unterliegen wir bestimmten Compliance-Vorgaben, die wir im HR-System leider nachweislich nicht einhalten können. Das wird relevanter, je größer man wird und auch für manche Lieferanten-Anbahnungen zur Voraussetzung bestimmte Vorgaben / Zertifizierungen einzuhalten bei Datenschutz- und Sicherheitsbelangen.

Deine Perspektive kann ich aber auch gut nachvollziehen.

Alles Gute,
Jana

​@Jana Aßmann 

hast du mal mit den Zugriffsrechten “gespielt”? vielleicht bringt dich das weiter. Bzw. dein HR Team .

​@Andrea B. 
Ja, hier haben wir schon vieles ausprobiert, aber finden einfach keine Lösung. Und dann habe ich ja die Personio-Doku gefunden, die die Möglichkeiten der Zugriffsrechte dazu beschreibt:
“Admins in Personio haben exklusiven Zugriff auf bestimmte Bereiche und können Aufgaben ausführen wie: Genehmigungsprozesse einrichten, Status aller offenen Unterschriftenanfragen verfolgen, … ”.

Damit wird m.E. beschrieben, dass nur jemand mit Admin-Rechten die dort beschriebenen Aufgaben erledigen kann 😔

Hallo,

Die gleichen Probleme sind bei uns mittlerweile auch aufgetreten und mittlerweile kann sehr viel in Personio nur noch der Admin machen.

Aber diesen Vollzugriff (auch auf alle Gehaltsdaten) dürfen nicht alle Mitarbeiter haben, hier greift ja u.a. auch der Datenschutz.

Für keinen anderen Mitarbeiter ist es nun möglich, selbst einen einfachen Report zu erstellen, auch wenn hier nur das Datum geändert wird. Das hat uns eine Mitarbeiterin von Personio bestätigt.

Habt Ihr hier mittlerweile Lösungen gefunden? 
Danke für ein Feedback.

Könntet ihr nicht die Rechte umdrehen? Die Person, die alles sehen soll (vielleicht aus HR) nimmt die Admin Rolle ein und ihr erstellt für die IT eine eigene Rolle mit abgespeckteren Rechten? So habe ich es gelöst und konnte so die entsprechenden Zugriffe gut steuern.

Ja, das hatten wir versucht, aber es hat nicht funktioniert. Die HR Person hat Admin und ich habe eine separate Rolle. Das hat prima funktioniert. Mittlerweile haben wir alle Payroll-Daten eingespielt und nutzen dies auch für die Lohnabrechnung (Export/Import). Allerdings können viele Funktionen nicht mehr freigegeben werden, sonst hat man kompletten Zugriff auf alle Daten. Bsp. Reports.Personio konnte uns nicht weiterhelfen.

Das von mir oben beschriebene Problem, dass operative Funktionen nicht trennbar sind von System-Administration, besteht leider weiterhin. Es ist m.E. eines der wichtigsten Themen, die Personio angehen müsste, aber leider ist hier nichts passiert. 

Wer die Admin-Rolle hat, kann sensible generelle Systemkonfigurationen ändern, bis hin zum Authentifizierungs-Verfahren und Lizensierung. Das kann nicht einfach jedem HR-Mitarbeitenden zugeordnet werden.

Ich stimme zu, dass die Admin-Rolle speziell ist und nur bestimmte Personen autorisiert werden sollte.

Jedoch gibt es immer auch andere Personen, die Daten kontrollieren, erfassen, anlegen und aufbereiten müssen. Und dies ist der Standard, den Personio hier leider wieder nicht abbildet. Bzw. die Standards gab es für bestimmte Berechtigungen aber mit den Updates sind diese nicht mehr möglich.

Vielen Dank für die Feedbacks und noch eine schöne Woche.