Kategorien
Digital Consultancy & Business (DE) Featured-Post-Transformation-DE

Pflichtenheft HR-Informationssystem (Schweiz): Aufbau eines offenen, konformen und reversiblen HR-Systems

Auteur n°4 – Mariami

Von Mariami Minadze

Project Manager

Ansichten: 3

Zusammenfassung – Angesichts des Risikos von Anbieterbindung, teuren Integrationen und gekapselten Daten muss ein SIRH-Pflichtenheft in der Schweiz einen modularen Funktionsumfang (Core HR, Zeit/Abwesenheiten, ATS, LMS, Workflows, Reporting) definieren, API-first-Interoperabilität (REST/GraphQL, SCIM, SSO) und LPD/DSGVO-Konformität mit souveränem Hosting garantieren. Es sieht ein MVP mit schnellem ROI sowie einen Plan für technische und vertragliche Reversibilität mit SLA, Export ohne Strafzahlungen und Escrow-Klauseln vor.
Lösung: RACI-Governance einführen, offene Formate standardisieren und das Projekt per User Stories steuern, um Ihr SIRH-Projekt abzusichern.

In einem Umfeld, in dem Projekte für HR-Informationssysteme ein zentraler Leistungshebel für Schweizer Unternehmen mit mehr als 50 Mitarbeitenden sind, besteht die Herausforderung darin, ein belastbares Pflichtenheft zu erstellen, das Offenheit, Interoperabilität und Reversibilität garantiert und die Risiken von Anbieter-Abhängigkeit, kostspieligen Integrationen und „gefangenen“ Daten minimiert.

Durch eine präzise Strukturierung der Anforderungen rund um die Module Core HR, Zeit-/Abwesenheitsmanagement, Spesenabrechnung, Bewerbermanagementsystem, Lernmanagementsystem und Reporting wird sichergestellt, dass Build-versus-Buy-Entscheidungen effizient getroffen und nachhaltige Grundlagen für die künftige Entwicklung gelegt werden. Dieser Artikel erläutert die wichtigsten Elemente, die in Ihr Pflichtenheft für ein HR-Informationssystem in der Schweiz gehören, um Ihre Daten und Verträge zu kontrollieren und gleichzeitig eine MVP-Roadmap mit schnellem ROI zu planen.

Definition eines offenen und modularen Funktionsumfangs

Das Pflichtenheft muss alle geschäftskritischen Bausteine abdecken, ohne auf ein monolithisches System zu setzen. Jedes Modul – Core HR, Zeit-/Abwesenheitsmanagement, Spesenabrechnung, Bewerbermanagementsystem, Lernmanagementsystem, Bewertungswesen, Workflows und Reporting – sollte autonom oder integriert funktionieren können.

Der Funktionsumfang des Core HR umfasst die Verwaltung von Mitarbeitenden, Verträgen, Stellen und Organigrammen. Er dient als zentrales Referenzsystem für sämtliche HR-Daten, auf das alle anderen Module für Kohärenz und Verlässlichkeit zugreifen.

Die Funktionen für Zeit- und Abwesenheitsmanagement beinhalten die Erfassung von Arbeitszeiten, gesetzlichen Ferien sowie Abwesenheiten wegen Krankheit oder Weiterbildung mit flexiblen Genehmigungsregeln. Dieses Modul muss in der Lage sein, mit einem Zeiterfassungsterminal oder einem externen Stempelsystem zu kommunizieren.

Die Spesenabrechnung sollte eine schnelle mobile Eingabe, einen genehmigungsbasierten Workflow entsprechend dem Organigramm und einen automatisierten Export in die Buchhaltung bieten. Schnelligkeit und Benutzerfreundlichkeit fördern die Akzeptanz bei den Mitarbeitenden.

Core HR und Zeitmanagement

Das Core HR muss die Historisierung vertraglicher Daten, die Verwaltung von Zugriffsrechten und die Nachvollziehbarkeit von Änderungen ermöglichen. Jede Änderung (Beförderung, Austritt, interne Versetzung) muss zeitgestempelt und auditierbar sein.

Für die Arbeitszeiterfassung ist ein konfigurierbares Modul mit Schweizer Rechtsgrundlagen (Teilzeit, Überstunden, Ausgleichsruhe) unerlässlich. Darüber hinaus muss es projektbezogene indirekte Stunden erfassen können.

Eine einfache Integration mit externen Zeiterfassungsterminals stellt die Synchronisation der Anwesenheiten und die Echtzeit-Erfassung der verfügbaren Mitarbeitenden vor Ort oder im Homeoffice sicher.

Recruiting und Weiterbildung

Das Bewerbermanagementsystem muss den gesamten Lebenszyklus eines Kandidaten abbilden – von der Stellenausschreibung bis zur Integration – und dabei Berichte über Rekrutierungsdauer und Kandidatenquellen generieren.

Das Lernmanagementsystem für die Weiterbildung muss E-Learning-Inhalte unterstützen, Präsenzveranstaltungen planen und Kompetenznachweise verfolgen. Workflows für obligatorische Schulungen sollten automatisiert ablaufen.

Die Verbindung zwischen Bewerbermanagementsystem und Lernmanagementsystem ermöglicht es, interne Entwicklungswege schnell zu identifizieren und so die Employability und Zufriedenheit der Mitarbeitenden zu fördern.

Workflows, Signaturen und Reporting

Die Genehmigungsworkflows – Einstellung, Austritt, Ferienantrag oder Spesenanfrage – müssen fach- und hierarchiebezogen konfigurierbar sein und automatisierte Benachrichtigungen versenden.

Die elektronische Signatur sollte nativ integriert sein und die europäischen sowie schweizerischen Standards (eIDAS-Zertifikate, SuisseID) mit Zeitstempel und Nachvollziehbarkeit erfüllen.

Das analytische Reporting muss Self-Service-Dashboards bereitstellen, die als CSV oder JSON exportierbar sind. Wichtige KPIs umfassen Fluktuationsrate, durchschnittliche Rekrutierungsdauer und Abwesenheitsquote.

Beispiel: Ein Finanzdienstleister in der Romandie hat ein modulares Pflichtenheft erstellt, zuerst Core HR und Zeitmanagement eingeführt und anschließend das Bewerbermanagementsystem ergänzt. Dieser schrittweise Ansatz reduzierte die Integrationskomplexität um 30 % und beschleunigte die Implementierung in den Fachbereichen.

Gewährleistung von Interoperabilität und Datenportabilität

Eine API-First-Architektur und offene Standards sind unerlässlich, um Vendor Lock-in zu vermeiden und künftige Weiterentwicklungen zu erleichtern. Provisioning-Mechanismen, SSO-Protokolle und offene Exportformate sorgen für einen reibungslosen Datenaustausch zwischen den Systemen.

Ein Schwerpunkt auf API-First erfordert RESTful- oder GraphQL-Endpunkte für alle HR-Entitäten – von Mitarbeitenden bis zu Spesenbuchungen. Jeder Dienst sollte seine Endpunkte mit OpenAPI dokumentieren.

Das SCIM-Protokoll sichert das automatisierte Provisioning und Deprovisioning von Benutzerkonten in Active Directory oder Azure AD. Webhooks ermöglichen Echtzeitreaktionen auf HR-Ereignisse (Einstellung, Austritt, Versetzung).

Single Sign-On via SAML oder OpenID Connect zentralisiert die Authentifizierung, reduziert Passwortverwaltung und stärkt die Sicherheit. So können einheitliche 2FA-/MFA-Policies durchgesetzt werden.

API-First und SCIM-Provisioning

Im Pflichtenheft muss festgelegt werden, dass für jede HR-Ressource (Mitarbeitende, Position, Abwesenheit) eine CRUD-API verfügbar ist. Die Endpunkte sollten Paging, Filtering und partielle Updates (PATCH) unterstützen.

Der Standard SCIM 2.0 ist zu implementieren, um Benutzerkonten und Gruppen mit dem Unternehmensverzeichnis zu synchronisieren. So erhalten Mitarbeitende automatisch die richtigen Zugriffsrechte ohne manuellen Aufwand.

Webhooks müssen kritische Ereignisse abdecken – Neueintrag, Rollenänderung, Kontolöschung –, damit andere Systeme (Mitarbeiterportal, Dokumentenmanagement, ERP) sofort reagieren können.

SSO SAML/OIDC und Verzeichnis-Synchronisation

Die Einführung eines standardisierten SSO verringert die Hürden für Anwender und verbessert die Zugangskontrolle. Im Pflichtenheft sollte die Verwendung von SAML-Metadaten oder OIDC-Discovery festgelegt sein.

Die Synchronisation von AD/Azure AD-Verzeichnissen ermöglicht die Nutzung bestehender Gruppen für Rechteverwaltung im HR-Informationssystem und vermeidet manuelle Profilduplikate.

Der Einsatz eines Identity Brokers kann die Integration externer Anbieter (Lieferantenportal, Fremd-Lernmanagementsysteme) vereinfachen und gleichzeitig Sicherheitsrichtlinien zentral durchsetzen.

Offene Formate und Datenmigration

Exporte müssen in CSV, JSON oder Parquet möglich sein, mit offenem Schema und Feldbeschreibung. Diese Formate gewährleisten Datenzugriff ohne Abhängigkeit von einem Anbieter.

Der Migrationsplan sieht einen vollständigen Initial-Dump vor, gefolgt von inkrementellen Synchronisationen vor dem Cut-over. Wiederanlaufzeiten sind im SLA festzulegen, um einen HR-Blackout zu vermeiden.

Das Pflichtenheft sollte die Versionierung des Datenschemas verlangen, um strukturellen Änderungen vorzubeugen und Audits zu erleichtern.

Edana: Strategischer Digitalpartner in der Schweiz

Wir begleiten Unternehmen und Organisationen bei ihrer digitalen Transformation.

Sprechen wir über Sie

Sicherheit, Compliance und souveränes Hosting in der Schweiz

Das HR-Informationssystem verwaltet hochsensible personenbezogene Daten und muss das Schweizer Datenschutzgesetz DSG 2023 sowie die DSGVO für EU-Mitarbeitende einhalten. Souveränes Cloud-Hosting und Verschlüsselungsmechanismen gewährleisten Integrität, Verfügbarkeit und Vertraulichkeit der Daten.

Das neue DSG 2023 verlangt das Prinzip der Datenminimierung, die Führung eines Verarbeitungsverzeichnisses und die Festlegung von Aufbewahrungsfristen. Gesundheitsdaten und spezielle HR-Daten benötigen zusätzliche Schutzmaßnahmen.

Die DSGVO gilt für alle Mitarbeitenden mit Sitz in der EU oder mit Arbeitsverhältnissen zu einem EU-Mitgliedstaat. Das Pflichtenheft muss Zugriffs-, Berichtigungs- und Löschrechte mittels spezialisierter APIs oder eines Self-Service-Portals sicherstellen.

Das Hosting in der Schweiz bei einem ISO 27001-zertifizierten Provider bzw. gleichwertig erfüllt Souveränitäts- und Verfügbarkeitsanforderungen. Data Centers sollten sich in der Schweiz oder unter strengen vertraglichen Bedingungen im EWR befinden.

Compliance DSG 2023 und DSGVO im HR

Das Dokument muss Kategorien personenbezogener Daten (Identität, Kontaktdaten, Verträge, sensible Daten) auflisten und jeden Verarbeitungsschritt begründen. Gesetzliche Aufbewahrungsfristen sind zu dokumentieren.

Das Verarbeitungsverzeichnis sollte automatisch vom HR-Informationssystem gepflegt werden, um interne und externe Audits zu erleichtern. Workflows für Sicherheitsvorfälle müssen die Meldefristen (72 Stunden bei DSGVO) einhalten.

DSGVO-Rechte (Recht auf Vergessen, Datenübertragbarkeit, Widerspruch) erfordern sichere APIs oder Formulare, um Anfragen innerhalb der gesetzlichen Frist von 30 Tagen zu bearbeiten.

Verschlüsselung, Protokollierung und Berechtigungsmanagement

Im Pflichtenheft ist die Verschlüsselung ruhender Daten (AES-256) und Daten in Bewegung (mindestens TLS 1.3) mit Schlüsselmanagement über HSM oder KMS festzulegen.

Die sichere Protokollierung von Zugriffen und kritischen Aktionen (Exporte, Schemaänderungen, Löschungen) muss unveränderlich erfolgen und innerhalb eines definierten Zeitraums aufbewahrt werden.

Das Berechtigungsmanagement basiert auf dem Least-Privilege-Prinzip, mit periodischer Rezertifizierung und automatisierten Freigabe-Workflows.

Reversibilitätsplan und Vertragsgestaltung

Der technische Reversibilitätsplan muss vollständige Datenexports, Schema-Lieferungen und Wiederherstellungsskripte vorsehen. Lieferfristen sind vertraglich festzuhalten.

Die kommerzielle Reversibilität erfordert eine Exportklausel ohne Strafgebühren und gegebenenfalls Quellcode-Escrow für individuelle Module.

Verträge sollten SLAs (Verfügbarkeit, MTTR, Support) definieren und Strafen bei Nichteinhaltung vorsehen. Sicherheitszertifizierungen (ISO, SOC 2) sind als Annex beizufügen.

Beispiel: Ein Schweizer Anbieter für Weiterbildung entschied sich für souveränes Cloud-Hosting und einen quartalsweisen Datenexport. Nach einem DSG-Audit konnte das vollständige Daten­dump und ein detailliertes Schema bereitgestellt werden, was die totale Datenkontrolle demonstrierte und internationale Partner beruhigte.

Governance, Verträge und MVP-Roadmap

Klare Governance und vertragsrechtliche Verpflichtungen im Einklang mit der Geschäftsstrategie sichern die Nachhaltigkeit des Projekts. Die MVP-Roadmap, fokussiert auf 3–5 Use Cases mit schnellem ROI, ermöglicht eine Validierung, bevor das System skaliert wird.

Die Projektgovernance basiert auf Personas und einer RACI-Matrix, die Verantwortlichkeiten für jedes Deliverable festlegt. Der User-Story-Backlog mit Abnahmekriterien steuert Entwicklung und Tests.

Die Integrationsmatrix listet Zielsysteme (Lohnbuchhaltung, Finance, DMS, Zeiterfassung), Datenflüsse und zu überwachende KPIs, um die Koordination zwischen IT, Fachabteilungen und Dienstleistern zu erleichtern.

Der Datenmigrationsplan umfasst eine Qualitätsprüfung, Feldzuordnungen und Bereinigungsskripte, um die Datenintegrität beim Go-live zu gewährleisten.

Datenhoheit und Open-Source-Lizenzen

Das Pflichtenheft muss klarstellen, dass die Datenhoheit beim Unternehmen bleibt und kundenspezifische Entwicklungen uneingeschränkt übergehen.

Open-Source-Komponenten sind mit permissiven Lizenzen (MIT, Apache 2.0) zu versehen. Abhängigkeiten mit restriktiven Lizenzen sind zu begründen und dokumentieren.

Die Dokumentation kundenspezifischer Code-Basis und die Versionsverwaltung via Git sichern Nachvollziehbarkeit und Wartbarkeit.

SLA, MTTR und Exportklauseln

SLA müssen Verfügbarkeit (99,5 % oder mehr), Support-Reaktionszeiten (werktags oder 24/7) und MTTR für jeden Incident-Typ definieren.

Exportklauseln ohne Strafgebühren und Source-Escrow-Möglichkeiten stärken die rechtliche und technische Sicherheit des Projekts.

Das Pflichtenheft definiert Liefertermine, Abnahmeverfahren und Erfolgskriterien (Nutzerakzeptanz, Prozessdurchlaufzeiten, Reduktion von Lohndiskrepanzen).

MVP-Strategie und Iterationen

Der MVP fokussiert auf 3 bis 5 kritische Use Cases (Einstellungen, Urlaubsverwaltung, Basis-Reporting), um schnell Mehrwert zu liefern und Budgetfreigaben zu sichern.

Quartalsweise Sprints umfassen Backlog-Reviews, Fachbereichs-Demos und Retrospektiven, um Prioritäten anhand von Nutzerfeedback anzupassen.

Die Total Cost of Ownership (TCO) berücksichtigt Build-, Run- und Weiterentwicklungsphasen, um die künftigen finanziellen Aufwände transparent zu gestalten.

Beispiel: Ein Schweizer Industrieunternehmen implementierte in sechs Wochen ein MVP für Einstellungen, Zeitmanagement und Basis-Reporting. Nach Pilotabnahmen wurden ATS und Weiterbildungsmodule in quartalsweisen Iterationen ergänzt, während das TCO-Budget eingehalten wurde.

Aufbau eines offenen, kontrollierten und reversiblen HR-Informationssystems

Ein Pflichtenheft, das auf einem modularen Funktionsumfang, API-First-Anforderungen, Interoperabilitätsstandards und Compliance-Garantien basiert, hilft, Vendor Lock-in zu vermeiden, Daten zu sichern und technische sowie vertragliche Reversibilität sicherzustellen.

Governance via Personas und RACI, der User-Story-Backlog, die Integrationsmatrix und der MVP-Plan garantieren eine schnelle und flexible ROI-Roadmap. SLA-, Export- und Archivierungsklauseln schützen Ihre Investition.

Unsere Experten begleiten Sie von der strategischen Planung bis zur offenen Architektur, indem sie erprobte Open-Source-Bausteine einsetzen und dort individuelle Entwicklungen vorsehen, wo sie echten Mehrwert schaffen.

Besprechen Sie Ihre Herausforderungen mit einem Edana-Experten

Von Mariami

Project Manager

VERÖFFENTLICHT VON

Mariami Minadze

Mariami ist Expertin für digitale Strategien und Projektmanagement. Sie prüft die digitale Präsenz von Unternehmen und Organisationen aller Größen und Branchen und erarbeitet Strategien und Pläne, die für unsere Kunden Mehrwert schaffen. Sie ist darauf spezialisiert, die richtigen Lösungen für Ihre Ziele zu finden und zu steuern, um messbare Ergebnisse und einen maximalen Return on Investment zu erzielen.

FAQ

Häufig gestellte Fragen zum Pflichtenheft SIRH in der Schweiz

Wie definiere ich einen modularen Umfang für ein Pflichtenheft SIRH in der Schweiz?

Um einen modularen Umfang festzulegen, beginnen Sie damit, die wesentlichen Geschäftsbausteine zu identifizieren (Core HR, Zeit- und Abwesenheitsverwaltung, Spesenabrechnung, ATS, LMS, Reporting). Jeder Modul sollte eigenständig funktionieren oder über APIs integriert werden können. Entscheiden Sie modulweise nach Ihrer Roadmap und Ihren internen Kompetenzen zwischen Eigenentwicklung und Einkauf. Diese Granularität erleichtert Weiterentwicklungen, reduziert Vendor Lock-in und ermöglicht eine schrittweise Einführung entsprechend den geschäftlichen Prioritäten.

Welche Vorteile bietet eine API-first-Architektur für ein SIRH?

Eine API-first-Architektur gewährleistet die Interoperabilität zwischen dem SIRH und anderen Systemen (ERP, CRM, Zeiterfassungssysteme). Sie sichert die Datenhoheit, vereinfacht Weiterentwicklungen und verringert das Risiko eines Vendor Lock-in. RESTful- oder GraphQL-Endpunkte, dokumentiert in OpenAPI, bieten einen strukturierten Zugriff auf HR-Entitäten. Dieser Ansatz erleichtert das Provisioning, Reporting und die Implementierung von Microservices für einzelne Funktionalitäten.

Wie stelle ich im Pflichtenheft die Einhaltung des DSG 2023 und der DSGVO sicher?

Halten Sie im Pflichtenheft eindeutig fest: Anforderungen zur Datenminimierung, zum Verzeichnis der Verarbeitungstätigkeiten und zu Aufbewahrungsfristen gemäß DSG 2023. Planen Sie APIs oder ein Portal zur Verwaltung der DSGVO-Rechte (Zugriff, Berichtigung, Löschung). Fordern Sie ein souveränes Hosting in der Schweiz oder im EWR mit AES-256-Verschlüsselung im Ruhezustand und TLS 1.3 im Transport. Dokumentieren Sie Workflows für die Meldung von Sicherheitsvorfällen (innerhalb von 72 Stunden) und integrieren Sie regelmäßige Audits.

Welche Lösungen eignen sich, um technische und kommerzielle Reversibilität zu gewährleisten?

Setzen Sie auf offene Formate (CSV, JSON, Parquet) mit versioniertem, öffentlichem Schema für den Datenexport. Integrieren Sie eine Vertragsklausel für eine gebührenfreie Datenexportmöglichkeit und – falls erforderlich – einen Source-Escrow für maßgeschneiderte Entwicklungen. Legen Sie vertraglich fest, in welchen Fristen vollständige und inkrementelle Daten-Dumps geliefert werden. Diese Reversibilität sichert die Datenhoheit und ermöglicht einen reibungslosen Anbieterwechsel ohne Serviceunterbrechung.

Welche Module sollten in einem SIRH-MVP für eine schnelle Kapitalrendite priorisiert werden?

Konzentrieren Sie sich in einem MVP auf 3 bis 5 geschäftskritische Use Cases mit hohem Mehrwert: Core HR (Mitarbeiter- und Vertragsverwaltung), Zeit- und Abwesenheitsmanagement, Basis-Reporting und Genehmigungs-Workflows. Diese Auswahl ermöglicht eine schnelle Bereitstellung eines funktionsfähigen Services, das Testen der Benutzerakzeptanz und die Messung des ROI, bevor Sie in späteren Iterationen ATS oder LMS ergänzen.

Wie gewährleiste ich die Interoperabilität mit Dritt­systemen (ERP, Zeiterfassungssysteme, DMS)?

Setzen Sie auf offene Standards und eine API-first-Architektur. Bieten Sie RESTful- oder GraphQL-Endpunkte an, implementieren Sie SCIM 2.0 für das Provisioning von Benutzerkonten und Webhooks, um in Echtzeit auf HR-Ereignisse zu reagieren. Nutzen Sie SAML oder OpenID Connect für Single Sign-On. Sorgen Sie für Kompatibilität der Austauschformate (CSV, JSON) und dokumentieren Sie jede Integration über OpenAPI oder Postman.

Welche Sicherheits- und Souveränitätskriterien für das Hosting sollten einbezogen werden?

Fordern Sie ein souveränes Cloud-Hosting, zertifiziert nach ISO 27001 oder äquivalent, idealerweise in der Schweiz (alternativ im EWR unter bestimmten Bedingungen). Implementieren Sie AES-256-Verschlüsselung im Ruhezustand und TLS 1.3 im Datentransport mit Schlüsselverwaltung über HSM/KMS. Integrieren Sie eine sichere Protokollierung von Zugriffen und kritischen Aktionen, Multi-Faktor-Authentifizierung und Workflows zur regelmäßigen Rezertifizierung von Berechtigungen. Diese Maßnahmen gewährleisten die Integrität, Vertraulichkeit und Verfügbarkeit der HR-Daten.

Wie strukturiere ich die Workflows und die elektronische Signatur?

Definieren Sie konfigurierbare Workflows für jeden Freigabeprozess (Einstellung, Urlaubsantrag, Spesenabrechnung) entsprechend Hierarchie und Rollen. Integrieren Sie eine elektronische Signatur, die den eIDAS- und SuisseID-Standards entspricht, inklusive Zeitstempel und Audit-Trail. Sorgen Sie für automatische Benachrichtigungen und eindeutige Statusanzeigen, um Nachvollziehbarkeit, regulatorische Konformität und eine reibungslose Benutzererfahrung zu gewährleisten.

KONTAKTIERE UNS

Sprechen Wir Über Sie

Ein paar Zeilen genügen, um ein Gespräch zu beginnen! Schreiben Sie uns und einer unserer Spezialisten wird sich innerhalb von 24 Stunden bei Ihnen melden.

Edana
Eaux-Vives, Genève

ABONNIEREN SIE

Verpassen Sie nicht die Tipps unserer Strategen

Erhalten Sie unsere Einsichten, die neuesten digitalen Strategien und Best Practices in den Bereichen Marketing, Wachstum, Innovation, Technologie und Branding.

Wir verwandeln Ihre Herausforderungen in Chancen

Mit Sitz in Genf entwickelt Edana maßgeschneiderte digitale Lösungen für Unternehmen und Organisationen, die ihre Wettbewerbsfähigkeit steigern möchten.

Wir verbinden Strategie, Beratung und technologische Exzellenz, um die Geschäftsprozesse Ihres Unternehmens, das Kundenerlebnis und Ihre Leistungsfähigkeit zu transformieren.

Sprechen wir über Ihre strategischen Herausforderungen.

022 596 73 70

ÜBER UNS
Agence Digitale Edana sur LinkedInAgence Digitale Edana sur InstagramAgence Digitale Edana sur Facebook