“Viele Unternehmen haben keinen sauberen Datenschutz” | Interview
Durch die Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, personenbezogene Daten ausreichend zu schützen. Das gilt auch bei der Verwendung von HR-Softwarelösungen. Doch viele Mittelständler vernachlässigen das Thema. Zu aufwendig, zu komplex. Im Interview erzählt Dr. Tassilo-Rouven König, Fachanwalt für Arbeitsrecht, welche Veränderungen die DSGVO in deutschen Unternehmen ausgelöst hat und welche Herausforderungen der Datenschutz in den kommenden Jahren bringen wird.
Herr König, warum ist Datenschutz für Unternehmen so wichtig?
Weil Unternehmen verpflichtet sind, in dieser digitalisierten Welt Persönlichkeitsrechte zu wahren. Das Allgemeine Persönlichkeitsrecht und das sich daraus ableitende „Grundrecht auf Datenschutz“ haben in unserer Rechtsordnung einen hohen Stellenwert und sind im Grundgesetz nicht umsonst nah bei der Menschenwürde angesiedelt. Es geht um den Menschen, besser gesagt: um Informationen über den Menschen, die auch die Privat- oder sogar die Intimsphäre betreffen können. Also einen Bereich, von dem man nicht will, dass andere Menschen was darüber wissen. Wir leben in einer Zeit, in der jede Information Geld wert ist und weswegen die Datenkrake immer größer wird. Deswegen ist Datenschutz ganz wichtig, um ein Regulativ zu dieser Entwicklung zu bieten.
Softwarelösungen bieten oftmals Funktionen für zahlreiche Aspekte von HR. Warum macht das den Datenschutz in diesem Bereich so komplex?
Weil letztlich für jeden Workflow die jeweiligen Spielregeln zu beachten sind. Ein banales Beispiel ist das Recruiting. Die Unterlagen eines abgelehnten Bewerbers darf man in der Regel sechs Monate aufbewahren, um sich gegen eine etwaige AGG-Klage verteidigen zu können. Danach müssen die Daten eines abgelehnten Bewerbers gelöscht werden. Das heißt, hier existiert eine spezielle Anforderung, die man in der Software abbilden muss. Und das ist nur eine unter vielen Anforderungen.
Unternehmen haben bei der Einführung einer HR-Softwarelösung fast immer einen Individualisierungsbedarf. Und das gilt eben auch für den Datenschutz. Man muss sich bei ganz strenger Betrachtung für jede einzelne Information, die mithilfe einer Softwarelösung verarbeitet wird, fragen, ob die Verarbeitung zulässig ist oder nicht.
Neben der Vereinfachung von Workflows sind es gerade die Analysemöglichkeiten auf Knopfdruck, die für viele Unternehmen den Charme einer Softwarelösung ausmachen. Die technischen Möglichkeiten stehen aber nicht immer im Einklang mit dem Datenschutzrecht. Das ist es, was die Einführung einer HR-Software aus datenschutzrechtlicher Sicht so komplex macht: Einen guten Ausgleich zu finden zwischen dem berechtigten Informationsinteresse des Arbeitgebers und den Haftungsrisiken, die bei einer Nichtbeachtung des Datenschutzrechts entstehen.
Wir leben in einer Zeit, in der jede Information Geld wert ist und weswegen die Datenkrake immer größer wird. Deswegen ist Datenschutz ganz wichtig, um ein Regulativ zu dieser Entwicklung zu bieten.
Die Datenschutz-Grundverordnung trat 2016 in Kraft, ist seit 2018 anwendbar. Was waren die einschneidendsten Veränderungen für die Personalabteilungen?
Eine wesentliche Änderung durch die DSGVO ist die erheblich gesteigerte Eigenverantwortung der Unternehmen. Anders als bislang besteht für Unternehmen jetzt eine umfassende Rechenschafts- und Nachweispflicht. Welche praktische Bedeutung das hat, kann man vielleicht am besten mit einem Vergleich erklären: Wenn es um die Frage geht, ob sich eine Person – beispielsweise der Geschäftsführer eines Unternehmens – strafbar gemacht hat, muss immer die Staatsanwaltschaft nachweisen können, dass ein strafbares Verhalten vorliegt.
Im Datenschutz ist es umgekehrt, hier müssen die Firmen den Aufsichtsbehörden im Rahmen eines Audits beweisen, dass sie alles richtig machen. Dazu müssen entsprechende Nachweise vorgehalten werden können. Im HR-Bereich können das etwa Einwilligungen von Beschäftigten oder Betriebsvereinbarungen sein, die die Datenverarbeitung mithilfe einer Software regeln.
Die DSGVO hat auch die Informationspflichten und Betroffenenrechte stark ausgeweitet. Das ist gerade auch in Personalabteilungen spürbar. Für die meisten HR-Workflows braucht es nun Infos an die Mitarbeiter, was eigentlich mit ihren Daten geschieht, welche Rechtsgrundlage existiert, zu welchen Zwecken Daten verarbeitet werden, wer die Empfänger der Daten sind, woher man die Daten hat, ob sie international verarbeitet werden und welche Rechte die Mitarbeiter überhaupt haben. Außerdem bestehen weitreichende Auskunftspflichten, die zunehmend auch Gegenstand von Rechtsstreitigkeiten zwischen Arbeitgebern und Beschäftigten sind. Ein heißes Thema ist derzeit etwa das sogenannte Recht auf eine Datenkopie, das es gleich mehrfach zum Bundesarbeitsgericht geschafft hat.
Ich sage das ganz offen: In den allerwenigsten Unternehmen – auch in großen Unternehmen, die sehr professionell aufgestellt sind – werden diese Rechte und Pflichten sauber und umfassend umgesetzt.
Entgegen einer noch immer weit verbreiteten Meinung bedarf es also nur in wenigen Fällen einer aktiven Einwilligung von Beschäftigten in die Verarbeitung ihrer Daten.
Welche personenbezogenen Daten dürfen Unternehmen heutzutage noch digital verarbeiten?
Im Grunde dürfen Unternehmen sämtliche personenbezogenen Informationen auch digital verarbeiten. Bei der Frage, ob bestimmte Informationen verarbeitet werden dürfen, unterscheidet das Gesetz im Ausgangspunkt nicht zwischen digitaler und analoger Verarbeitung. Entscheidend ist, dass die Verarbeitung für einen bestimmten vom Gesetz abgedeckten Zweck erforderlich ist. Die wichtigste Rechtsgrundlage für die Datenverarbeitung im HR-Kontext ist § 26 Bundesdatenschutzgesetz (BDSG). Danach dürfen Unternehmen Beschäftigtendaten zur Begründung, Durchführung oder Beendigung von Arbeitsverhältnissen verarbeiten. Die Regelung deckt also die allermeisten Datenverarbeitungsvorgänge ab.
Daneben gibt es zahlreiche gesetzliche Pflichten von Unternehmen, etwa im steuer-, handels- und sozialversicherungsrechtlichen Bereich, die eine Datenverarbeitung erfordern. Selbst berechtigte Interessen des Unternehmens können in engen Grenzen eine Datenverarbeitung rechtfertigen. Entgegen einer noch immer weit verbreiteten Meinung bedarf es also nur in wenigen Fällen einer aktiven Einwilligung von Beschäftigten in die Verarbeitung ihrer Daten. Liegt eine Rechtsgrundlage in diesem Sinne vor, müssen bei der digitalen Datenverarbeitung zusätzlich „nur“ noch technische und organisatorische Maßnahmen ergriffen werden, um die Datensicherheit zu gewährleisten. In der Praxis bedeutet das: Wenn man jemandem ein Geburtsdatum mitteilen darf, dann darf man es auch digital.
Vor dem Hintergrund des Fachkräftemangels setzen viele Unternehmen auf Recruiting- Software. Unter welchen Bedingungen ist das Speichern und Verarbeiten von Bewerberdaten zulässig?
Hier überschneiden sich Datenschutzrecht und Arbeitsrecht. Man spricht konkret vom “Fragerecht des Arbeitgebers”. Die Reichweite und die Grenzen des Fragerechts im Recruiting hat das Bundesarbeitsgericht schon lange vor dem Inkrafttreten der DSGVO entwickelt. Sensible Informationen, wie eine Behinderung oder eine Schwangerschaft, darf man nicht abfragen. Aber im Grundsatz dürfen Unternehmen Bewerberdaten erfassen und digital speichern. Die Daten von abgelehnten Bewerbern dürfen Unternehmen bis zu sechs Monate speichern. Hier greift die schon erwähnte Rechtsgrundlage in § 26 BDSG, weil die Verarbeitung von Bewerberdaten zur Begründung des Arbeitsverhältnisses erforderlich ist.
Können Unternehmen unter diesen Voraussetzungen noch einen Talentpool aufbauen?
Ein Talentpool ist ohne Einwilligung nur eingeschränkt zulässig. Denn hier braucht man die Daten nicht mehr für das laufende Bewerbungsverfahren. Die Einwilligung sollte sauber gestaltet sein. Sie muss im Arbeitsverhältnis in der Regel schriftlich oder elektronisch erteilt werden. Zudem müssen Unternehmen auf die konkret mit dem Talentpool verfolgten Zwecke sowie auf die Möglichkeit zum jederzeitigen Widerruf der Einwilligung hinweisen. Sonst ist die Einwilligung von vorneherein unwirksam. Im besten Fall werden auch weitere Aspekte der Datenverarbeitung wie die Speicherfrist und der Empfängerkreis transparent gemacht. Sogenannte „Opt-out“, d.h. Widerspruchslösungen sind im Übrigen nicht zulässig.
Wenn sich Firmen für die Einführung einer HR Software entscheiden, welche datenschutzrechtlichen Aspekte müssen sie beachten?
Zunächst sollte man sich die Frage stellen: Bietet die Software ausreichend Datenschutz? Wenn ich mir eine Software ins Haus hole, muss ich schon im Vorhinein wissen, ob ich damit die datenschutzrechtlichen Anforderungen abbilden kann. Es müssen Berechtigungskonzepte, Informationspflichten und Löschfristen abgebildet werden können, die unter Umständen auch sehr differenziert ausgestaltet sind. Wenn eine Software die Umsetzung dieser Anforderungen technisch nicht ermöglicht, kann das hinterher teuer werden – weil eine Alternativlösung angeschafft werden muss, weil die technischen Anforderungen nachträglich implementiert werden müssen oder im schlimmsten Fall, weil die Datenschutzaufsichtsbehörde ein Bußgeld erteilt.
Die Verwendung einer Software hat den Vorteil, dass die datenschutzrechtlichen Anforderungen, wenn sie einmal technisch implementiert sind, ganz automatisch umgesetzt werden.
Inwiefern kann eine HR Software bei der Umsetzung der datenschutzrechtlichen Vorgaben sogar helfen?
Softwarelösungen können einen großen Beitrag dazu liefern, dass die datenschutzrechtlichen Anforderungen umgesetzt werden. Es ist ja so, dass die Softwarelösung zumeist einen ohnehin schon bestehenden Workflow digitalisiert, der bisher mit „Paper & Pencil“, d.h. analog durchgeführt wurde. Da im Beschäftigtenbereich auch die analoge Datenverarbeitung dem Datenschutzrecht unterliegt, besteht hier häufig die Herausforderung, dass die Einhaltung der entsprechenden Vorgaben von den Mitarbeitern abhängt, die mit der Datenverarbeitung im Alltag befasst sind. Die meisten Mitarbeiter haben aber gar keine genauen Kenntnisse davon, was erlaubt ist und was nicht. Daran ändern auch umfangreiche Datenschutzschulungen wenig.
Leitfaden zum Download
Datenschutz in HR
Erfahren Sie, wie Sie HR-Software rechtssicher einführen und datenschutzkonform nutzen.
Die Verwendung einer Software hat den Vorteil, dass die datenschutzrechtlichen Anforderungen, wenn sie einmal technisch implementiert sind, ganz automatisch umgesetzt werden. Das kann man sich gut bei der Verpflichtung zur Datenlöschung vor Augen führen. Wenn die Löschfristen erstmal programmiert sind, passiert die Löschung ganz von alleine. Im analogen Bereich sieht das anders aus. Hier stellen sich Fragen wie: Schmeiße ich die handschriftliche Notiz irgendwann in den Papierkorb oder den Schredder? Sortiere ich irgendwann meine Personalakten aus und was muss drin bleiben? Oder stellen Sie sich so ein altes Personalbüro vor, in dem die Personalakte im Schrank stand und jeder Personaler hingehen konnte. Im schlimmsten Fall auch noch andere Mitarbeiter, die darauf eigentlich gar keinen Zugriff haben dürfen.
Auch wenn diese Zeiten in den meisten Unternehmen sicherlich passé sind, sorgt die Verwendung einer Software hier für einen noch weit besseren Schutz. Die Möglichkeit zu einem unberechtigten Datenzugriff beseitige ich etwa mit einer Software und einem sauberen Berechtigungskonzept, bei dem nur diejenigen Mitarbeiter Zugriff auf die Informationen in Personalakten haben, die auch dazu berechtigt sind. Das ist in der analogen Welt nicht gewährleistet. Hier kann eine Software durch die Digitalisierung von Prozessen unterstützen, dass der Datenschutz eingehalten wird. Ohne digitale Lösungen geht es aus meiner Sicht nicht mehr.
Die internationale Datenverarbeitung mit den hohen Anforderungen der DSGVO unter einen Hut zu bekommen, das ist eine Herausforderung.
Was sind aus Ihrer Sicht die zwei größten Herausforderungen in den nächsten Jahren für deutsche Unternehmen in Sachen Datenschutz?
Das ist einerseits die internationale Datenverarbeitung. Wir haben durch das Schrems II-Urteil des Europäischen Gerichtshofs ein großes Thema mit der Datenverarbeitung oder Datenübermittlung in die USA bekommen. Der EU-US Privacy Shield wurde gekippt. Das war die wesentliche Rechtsgrundlage dafür, dass man in die USA Daten übermitteln durfte.
Die Auswirkungen betreffen den Mittelstand vielleicht etwas weniger, wobei auch da bereits eine große Vernetzung vorhanden ist: Auch kleine Mittelständler haben unter Umständen internationale Kunden in Drittländern. Die internationale Datenverarbeitung mit den hohen Anforderungen der DSGVO unter einen Hut zu bekommen, das ist eine Herausforderung.
Ein anderes großes Thema ist der digitalisierungsbedingte Kulturwandel. Die Sorge vieler Beschäftigten, was die Digitalisierung alles möglich macht, ist groß. Stichwort: Leistungs- und Verhaltenskontrolle. Gerade bei der Einführung von Softwarelösungen ist meist der Betriebsrat involviert. Gar nicht, weil er dagegen ist, aber weil einfach so viele Dinge zu klären sind. Weil geklärt werden muss, was erlaubt sein soll und was nicht. Hier müssen das Digitalisierungsinteresse des Unternehmens und die Interessen des Persönlichkeitsschutzes in Einklang gebracht werden.
Wie können Unternehmen den Betriebsrat bei der Einführung einer Personalmanagement-Software am Besten miteinbeziehen?
Es hat sich in der Praxis bewährt, Rahmenbetriebsvereinbarungen mit Betriebsräten abzuschließen, die es ermöglichen, solche Softwaresysteme schnell einzuführen. Im Grunde ist ja fast jedes Softwareprogramm mitbestimmungspflichtig, das wissen viele gar nicht. Die Schaffung einer Rahmenbetriebsvereinbarung zur Digitalisierung ist zwar ein nicht unerheblicher Aufwand. Wenn sie aber erst einmal in der Welt ist, sind die typischen Konfliktfelder zwischen Arbeitgebern und Betriebsräten im Zusammenhang mit der Einführung von Software aber zumeist auf Dauer erledigt. Zugleich haben Unternehmen mit solchen Betriebsvereinbarung einen Rechtmäßigkeitsnachweis an der Hand, der auch den Datenschutzaufsichtsbehörde bei einem etwaigen Audit vorgelegt werden kann.
Über Dr. Tassilo-Rouven König: Er ist Partner der auf das Arbeitsrecht spezialisierten Kanzlei NAEGELE Rechtsanwälte in Stuttgart. Diese wurde 2022 von der WirtschaftsWoche als Top-Kanzlei ausgezeichnet. König ist Experte im kollektiven Arbeitsrecht und im Beschäftigtendatenschutz. Seine Schwerpunkte liegen in der Restrukturierungsberatung und der Begleitung von Unternehmen in Tarif- und Betriebsverhandlungen. Ein besonderes Augenmerk liegt zudem auf der Beratung von Arbeitgebern bei der Einführung von HR-Software und von HCM-Softwarelösungen.
Disclaimer
Die Inhalte dieses Beitrags sind sorgfältig recherchiert, stellen jedoch keine Rechtsberatung dar. Bitte wenden Sie sich bei konkreten rechtlichen Fragen an einen spezialisierten Fachanwalt.