Was muss bei der Einführung von HR-Software arbeits- und datenschutzrechtlich beachtet werden?
Der nachfolgende Blogbeitrag ist auch erschienen in der Publikationsrubrik „DGFP // Wissenswert“ des Deutschen Gesellschaft für Personalführung e.V. und kann dort als pdf. heruntergeladen werden. Ein passendes Interview des HR-Softwareanbieters HRworks zum Thema findet sich zudem hier.
Einführung
Moderne Personalsoftwaresysteme decken zwischenzeitlich nahezu das gesamte HR-Aufgabenspektrum ab – vom Recruiting, über die Arbeitszeiterfassung und das Skill-Management bis hin zum Zielerreichungsprozess. In der Praxis führt die Digitalisierung von HR-Prozessen aber nicht nur zu einer Vereinfachung der Arbeit von Personalern, sondern wirft im Hinblick auf die weitreichenden Möglichkeiten zur Analyse und Weiterverarbeitung von Beschäftigtendaten auch zahlreiche datenschutz- und arbeitsrechtliche Fragen auf. Die nachfolgende Darstellung gibt ein Überblick über die wichtigsten rechtlichen Aspekte bei der Einführung und Anwendung von HR-Software.
Datenschutzrechtliche Anforderungen an HR-Software
Welche Regelungen gelten?
Das Datenschutzrecht ist seit dem 25. Mai 2018 maßgeblich geprägt durch die europäische Datenschutzgrundverordnung (Verordnung (EU) 2016/679; kurz: DSGVO). Obwohl die DSGVO weiterhin einen schlechten Ruf hat, wird gerne übersehen, dass die Datenschutznovelle insbesondere bei der Frage nach der Zulässigkeit der Datenverarbeitung wenig Neues mit sich gebracht und im Wesentlichen die Vorgaben ihres unionsrechtlichen Vorgängers, der Datenschutzrichtlinie 95/46/EG fortgeführt hat. Die wichtigsten Änderungen durch die DSGVO finden sich an anderer Stelle.
Neu ist zunächst der gewählte Regelungstypus. Das Datenschutzrecht in der Europäischen Union wird jetzt durch eine Verordnung im Sinne von Art. 288 Abs. 2 AEUV und nicht mehr durch eine Richtlinie im Sinne von Art. 288 Abs. 3 AEUV geregelt. Während die Vorgaben einer europäischen Richtlinie in den Mitgliedsstaaten der Union erst noch durch ein nationales Gesetz umgesetzt werden müssen, ist eine europäische Verordnung wie die DSGVO in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedsstaat. Mit dieser unmittelbaren Wirkung der DSGVO ist zugleich ein Anwendungsvorrang gegenüber dem nationalen Datenschutzrecht verbunden. Ein Rückgriff auf das deutsche Datenschutzrecht ist deshalb nur dort erforderlich, wo die DSGVO dem deutschen Gesetzgeber ausdrücklich eine eigene Regelungskompetenz zugesprochen hat. Man spricht von sog. Öffnungsklauseln.
Eine solche Öffnungsklausel findet sich auch für die Datenverarbeitung im Beschäftigungskontext. Der Art. 88 Abs. 1 DSGVO gestattet es dem deutschen Gesetzgeber
„spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungs-kontext […] vorzusehen.“
Das Vorhandensein dieser bereichsspezifischen Öffnungsklausel bildet die Grundlage dafür, dass der Beschäftigtendatenschutz – wie bisher – weiterhin im Bundesdaten-schutzgesetz (BDSG) verankert ist. Hier löst § 26 BDSG die bisherige Regelung in § 32 BDSG ab und übernimmt dabei deren Wortlaut in den zentralen Punkten. Deshalb gilt auch in diesem Zusammenhang (mit wenigen Einschränkungen) der Grundsatz: Was bisher zulässig war, bleibt zulässig.
Darüber hinaus hat die DSGVO vor allem die formalen Pflichten von Arbeitgebern und die Anforderungen an das unternehmensinterne Datenschutzmanagement erweitert.
Wesentliche Änderungen durch die DSGVO
- Der Art. 5 Abs. 2 DSGVO sieht eine umfassende Rechenschafts- und Nachweispflicht von Unternehmen im Hinblick auf die Rechtmäßigkeit der Datenverarbeitung vor.
- Die Rechenschaftspflicht wird flankiert durch die Verpflichtung in Art. 24 Abs. 1 DSGVO, ein „Datenschutzmanagement“ im Unternehmen einzuführen, das insbesondere interne Prozessabläufe und sonstige organisatorische sowie technische Maßnahmen zur Gewährleistung des Datenschutzes vorsehen muss.
- In einem Verzeichnis von Verarbeitungstätigkeiten müssen die im Unternehmen bestehenden Datenschutzprozesse abgebildet sein.
- Datenschutzverletzungen müssen innerhalb einer Frist von 72 Stunden nach Bekanntwerden bei der Aufsichtsbehörde gemeldet werden.
- Bei der Einführung „neuer Technologien“ muss vorab eine sog. Datenschutz-Folgenabschätzung durchgeführt werden.
- Die Informationspflichten des Verantwortlichen gegenüber den von der Datenverarbeitung betroffenen Personen sind inhaltlich erheblich erweitert worden. Gleiches gilt für die Rechte von Beschäftigten, die bspw. durch das Auskunftsrecht nach Art. 15 DSGVO und das neue Recht auf „Datenübertragbarkeit“ in Art. 20 DSGVO gestärkt wurden.
Datenschutz und Systemauswahl
Aus dem vorstehend nur grob umrissenen Pflichtenkanon ergeben sich zugleich die datenschutzrechtlichen Leitlinien für Unternehmen bei der Einführung und Anwendung von HR-Softwaresystemen. Die Vorgaben des Datenschutzrechts greifen aber nicht erst in der Umsetzungsphase, d.h. bei der Implementierung und dem „Go Live“ einer Softwareanwendung im Unternehmen. Vielmehr müssen datenschutzrechtliche Erwägungen schon bei der Systemauswahl berücksichtigt werden.
Datenschutzrechtliche Auswahlkriterien
Obwohl die DSGVO dazu keine ausdrückliche Regelung enthält, ergibt sich die Verpflichtung zur Auswahl einer möglichst „datenschutzfreundlichen“ Software aus dem in Art. 25 Abs. 1 DSGVO verankerten Grundsatz „privacy by design“, oder zu Deutsch „Datenschutz durch Technikgestaltung“.
Danach müssen Unternehmen alle Maßnahmen ergreifen, die in Betracht kommen, um die Vorgaben der DSGVO wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen.
Datenschutzrechtliche Auswahlkriterien für HR-Software:
- Möglichkeit zur manuellen Vornahme von datenschutzfreundlichen Voreinstellungen („privacy by default“, Art. 25 Abs. 2 DSGVO)
- Möglichkeit zur Pseudonymisierung und der Verschlüsselung von personenbezogenen Daten
- Möglichkeit zur Implementierung von spezifizierten Datenschutzhinweisen nach Art. 13 und Art. 14 DSGVO für Nutzer und andere betroffene Personen
- Möglichkeit zur Separierung von zu verschiedenen Zwecken genutzten Daten
- Möglichkeit zur Implementierung eines Rollen- und Berechtigungskonzepts
- Vorhandensein von Funktionen, mit denen ein Löschkonzept oder die Einschränkung von Verarbeitungsvorgängen umgesetzt werden können
- Voraussichtliche Kosten für die Umsetzung/Implementierung (zusätzlicher/nicht originär vorhandener) Datenschutzmechanismen und sonstiger Datenschutzanforderungen
Datenschutz-Folgenabschätzung
Nach erfolgter (Vor-)Auswahl der in Betracht kommenden Softwareanwendungen ist in der Regel eine sog. Datenschutz-Folgenabschätzung im Sinne von Art. 35 DSGVO durchzuführen.
Dabei handelt es sich um ein Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für bei der Verarbeitung personenbezogener Daten. Inhaltlich befasst sich die Datenschutz-Folgenabschätzung insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann.
Ein Ablaufplan für die Vorbereitung und Durchführung einer Datenschutz-Folgenabschätzung kann dem Kurzpapier Nr. 5 der Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder entnommen werden. Das Kurzpapier ist – Stand November 2020 – kostenlos abrufbar unter folgendem Link:
Vertrag zur Auftragsverarbeitung
Handelt es sich bei der ausgewählten Softwareanwendung nicht um eine sog. On-Premise-Lösung bzw. um ein klassisches Lizenzmodell, sondern um ein Cloud-basiertes System (Software as a service), muss mit dem IT-Dienstleister ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
Die Speicherung von personenbezogenen (Beschäftigten-)Daten in der Cloud des IT-Dienstleisters ist eine Datenübermittlung an einen unternehmensexternen Dritten, die auf einen datenschutzrechtlichen Erlaubnistatbestand gestützt werden muss. Das Rechtsinstitut der Auftragsverarbeitung stellt in diesem Zusammenhang ein Sonderkonstrukt dar. Es ist in Art. 28 und Art. 29 DSGVO geregelt und zeichnet sich dadurch aus, dass der Auftragnehmer/Auftragsverarbeiter (IT-Dienstleister) keine eigenen Entscheidungsbefugnisse über die Zwecke und Mittel der Datenverarbeitung besitzt, sondern nach Weisung des Auftraggebers (Arbeitgeber) tätig wird. Die Auftragsverarbeitung wird durch die DSGVO dergestalt privilegiert, dass der Auftragsverarbeiter und das weisungsberechtigte Unternehmen datenschutzrechtlich als Einheit angesehen werden. Obwohl dies nicht den tatsächlichen Gegebenheiten entspricht, wird bei der datenschutzrechtlichen Bewertung also fingiert, dass es sich bei der durch das Unternehmen veranlassten Speicherung von Daten in der Cloud des IT-Dienstleisters um einen unternehmensinternen Vorgang handelt, der durch den Abschluss eines Vertrags zur Auftragsverarbeitung rechtlich legitimiert wird.
Der notwendige Inhalt eines Vertrags zur Auftragsverarbeitung ergibt sich aus Art. 28 Abs. 3 DSGVO. Sofern der IT-Dienstleister hierfür keine taugliche Vereinbarung bereit stellt, können sich die Vertragsparteien bspw. die Formulierungshilfe des Bayerischen Landesamts für Datenschutzaufsicht orientieren. Die Formulierungshilfe ist – Stand November 2020 – abrufbar unter folgendem Link:
https://www.lda.bayern.de/media/muster/formulierungshilfe_av.pdf
Privacy by default
Im Zuge der Implementierung der Softwareanwendung ist schließlich der Grundsatz „privacy by default“ nach Art. 25 Abs. 2 DSGVO zu berücksichtigen. Ergänzend zu dem angesprochenen Grundsatz „privacy by design“ verlangt „privacy by default“ von Unternehmen, dass „datenschutzfreundliche Systemeinstellungen“ aktiviert werden. Martini fasst in seiner Gesetzeskommentierung prägnant zusammen:
„Art. 25. Abs. 2 DSGVO schwört den Verantwortlichen auf eine besondere Form des Datenschutzes durch Technik ein. Die Voreinstellungen, die er setzt, dürfen nicht vorrangig von dem – ökonomisch nachvollziehbaren – Wunsch nach einer Maximierung von Datenströmen gesteuert sein. Vielmehr müssen sie dem Grundsatz der Datenminimierung Folge leisten.“
(Martini in Paal/Pauly, DSGVO/BDSG, 2. Aufl. 2018, Art. 25 DSGVO RN. 12)
Zulässigkeit der Datenverarbeitung mithilfe von HR-Software
Spätestens im Zuge des „Go Live“ einer HR-Software stellt sich die Frage, welche personenbezogenen Daten mithilfe der Anwendung verarbeitet werden dürfen, wem diese intern in welchem Umfang zugänglich gemacht werden dürfen und wann eine Löschung der einzelnen Daten erforderlich ist.
Im Ausgangspunkt ist dabei der Regelungsgehalt der zentralen Erlaubnisnorm für die Verarbeitung von personenbezogenen Beschäftigtendaten in § 26 Abs. 1 Satz 1 BDSG zu beleuchten:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Entscheidende Bedeutung besitzen hier der Passus „Zwecke des Beschäftigungs-verhältnisses“ und der Begriff der „Erforderlichkeit“. In der Gesamtschau ergibt sich daraus ein zweistufiges Prüfungsschema, das auch bei der Verarbeitung von personenbezogenen Beschäftigtendaten mithilfe von HR-Software beachtet werden muss:
Prüfungsschritt 1: Festlegung der Verarbeitungszwecke
Mit dem Verweis auf die „Zwecke des Beschäftigungsverhältnisses“ greift § 26 Abs. 1 Satz 1 BDSG das allgemeine datenschutzrechtliche Strukturprinzip der Zweckbindung auf. Eine Datenverarbeitung ist nur dann zulässig, wenn schon im Vorfeld feststeht, zu welchem konkreten Zweck diese erfolgt. Dieser Grundsatz wird von § 26 Abs. 1 Satz 1 BDSG dahingehend konkretisiert, dass personenbezogene Daten von Beschäftigten in der Regel nur zu den Zwecken des Beschäftigungsverhältnisses verarbeitet werden dürfen.
Da eine HR-Software für eine bestimmte Zielsetzung programmiert ist, ist diese Zulässigkeitshürde in der Regel unproblematisch. Es genügt, wenn Zweck der mithilfe der Software vorgenommenen Datenverarbeitung so konkret formuliert ist, dass die betroffenen Beschäftigten nachvollziehen können, wofür genau ihre Daten benötigt werden (z.B. Bewerbungsverfahren, Arbeitszeiterfassung, Personaleinsatzplanung).
Prüfungsschritt 2: Erforderlichkeitsprüfung
Wesentlich komplexer ist die Anschlussfrage, ob die mithilfe der Software vorgenommene Verarbeitung der personenbezogenen Beschäftigtendaten für die vorab festgelegten Zwecke erforderlich ist.
Der Begriff der Erforderlichkeit ist dabei nicht so zu verstehen, dass alle Daten erforderlich sind, deren Kenntnis oder Verwendung aus Unternehmenssicht wünschenswert ist. Auch ein berechtigtes Interesse des Unternehmens an der Kenntnis oder Verwendung von Daten führt nicht automatisch dazu, dass die Datenverarbeitung zulässig ist. Schon gar nicht genügt es, dass die Kenntnis oder Verwendung von Daten nur hilfreich oder „nice to have“, also im weitesten Sinne interessant für das Unternehmen ist.
Stattdessen muss der Begriff der Erforderlichkeit eng ausgelegt und im Sinne einer Notwendigkeit der Datenverarbeitung verstanden werden. Personenbezogene Daten dürfen nur verarbeitet werden, wenn der Verarbeitungszweck ohne die Verarbeitung nicht erreicht werden kann. Dabei muss die Datenverarbeitung das mildeste aller gleich geeigneten Mittel zur Zweckerreichen darstellen. Ein milderes Mittel zur Zweckerreichung kann dabei insbesondere die Verarbeitung von anonymen Daten darstellen
Beispiele:
Bei einer softwaregestützten Mitarbeiterbefragung ist zu prüfen, ob eine anonyme Befragung ausreichend ist oder ob die gegebenen Antworten auf einzelne Mitarbeiter zurückverfolgt werden können müssen.
Im Recruting-Prozess ist die Verarbeitung von Bewerberdaten wie z.B. dem Lebenslauf für die Entscheidung über eine Einstellung oder Ablehnung unerlässlich und damit erforderlich im Sinne von § 26 Abs. 1 BDSG.
Sind diese Voraussetzungen erfüllt, muss schließlich geprüft werden, ob die Interessen des Arbeitgebers an der Datenverarbeitung gegenüber dem etwaigen Interesse des Beschäftigten am Unterbleiben der Datenverarbeitung überwiegen. Hier gilt der Leitsatz: Je schutzwürdiger/sensibler eine Information über den Beschäftigten ist, desto gewichtiger muss das Interesse des Arbeitgebers an der Datenverarbeitung sein.
Für die Anwendung von HR-Software hat dies praktisch zur Folge, dass die zumeist auf eine umfassende Datenerhebung, Speicherung und Nutzung angelegten Systeme detailliert darauf geprüft werden müssen, inwieweit die vorhandenen Eingabefelder/Funktionen für den Zweck der Datenverarbeitung im vorstehenden Sinne erforderlich sind.
Darüber hinaus ist zu prüfen, welche Personen bzw. welcher Personenkreis auf bestimmte personenbezogene Daten innerhalb der Softwareanwendung zur Zweckerreichung unbedingt Zugriff haben muss. Sobald hierüber Klarheit herrscht, sind die Zugriffsberechtigungen in einem entsprechenden Berechtigungskonzept niederzuschreiben bzw. ist ein solches in die Software zu implementieren.
Schließlich besitzt der Begriff der Erforderlichkeit auch eine zeitliche Dimension. Personenbezogene Daten dürfen nur solange im System gespeichert werden, wie es zur Zweckerreichung erforderlich ist. Dabei kann als (grober) Grundsatz formuliert werden, dass die Daten von Beschäftigten in der Regel zu löschen sind, wenn das Beschäftigungsverhältnis endet, weil damit zugleich die Zwecke des Beschäftigungsverhältnisses entfallen. Von diesem Grundsatz macht Art. 17 Abs. 3 Buchst. b DSGVO aber eine wichtige Ausnahme. Unterliegt der Arbeitgeber einer rechtlichen (Aufbewahrungs-)Verpflichtung, deren Erfüllung eine weitere Datenspeicherung rechtfertigt, dürfen die Daten auch über das Ende des Beschäftigungsverhältnisses hinaus aufbewahrt werden.
Beispiele für Aufbewahrungsfristen im Arbeitsverhältnis:
- 17 Abs. 2 MiLoG: Nachweise über Zahlung des Mindestlohns
- 16 Abs. 2 ArbZG: Nachweise über Überschreitung der maximal werktäglich zulässigen Arbeitszeit
- 28f SGBV: Entgeltunterlagen
- 257 HGB: Handelsbücher, Jahresabschlüsse und Buchungsbelege sowie Handelsbriefe
- 41 Abs. 1 Satz 9 EstG: Lohnkonten
- 147 AO: Unterlagen, die für die Besteuerung von Bedeutung sind
Sonstige datenschutzrechtliche Pflichten
Weitere datenschutzrechtliche Pflichten ergeben sich aus der Informationspflicht des Arbeitgebers gemäß Art. 13 und Art. 14 DSGVO sowie aus der Pflicht zur Gewährleistung der Betroffenenrechte gemäß Art. 15 ff. DSGVO.
Inhalt einer Information nach Art. 13 DSGVO
- Namen und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Zwecke und Rechtsgrundlage der Datenverarbeitung
- Berechtigtes Interesse, wenn die Verarbeitung auf Art. 6 Abs. 1 S. 1 Buchst. f DSGVO basiert
- Empfänger oder Kategorien von Empfängern der Daten
- Absicht des Verantwortlichen, die Daten in ein Drittland zu übermitteln; Vorhandensein von Angemessenheitsbeschluss oder angemessenen Garantien
- Speicherdauer oder Kriterien für die Festlegung der Dauer
- Betroffenenrechte
- Widerrufsrecht bei Verarbeitung auf Grundlage einer Einwilligung
- Beschwerderecht bei der Aufsichtsbehörde
- „Vertragliche Notwendigkeit“, Folgen einer Nichtbereitstellung
- Bestehen einer automatischen Entscheidungsfindung einschl. Profiling
Die Pflichtangaben gemäß Art. 13 DSGVO sind den betroffenen Beschäftigten für jeden mithilfe der HR-Software vorgenommenen Verarbeitungszweck spezifisch mitzuteilen und zwar spätestens zum Zeitpunkt der (erstmaligen) Datenerhebung. Das gilt beispielsweise auch dann, wenn ein Bewerber über ein Online-Recruting-Tool bei einem Unternehmen zum Zwecke seiner Bewerbung Daten eingibt und Bewerbungsunterlagen hochlädt. Die Anwendung sollte zu diesem Zweck so ausgestaltet sein, dass dem Erwerber die Eingabe von Daten erst dann technisch möglich ist, wenn er die Möglichkeit hatte, die Datenschutzinformationen wahrzunehmen.
Bei den Betroffenenrechten der Beschäftigten ist vor allem das derzeit viel diskutierte Recht auf eine Datenkopie zu erwähnen. Nach Ansicht des LAG Baden-Württemberg (Urteil vom 20. Dezember 2018 – 17 Sa 11/18) kann ein Beschäftigter auf der Grundlage von Art. 15 Abs. 3 DSGVO eine originalgetreue Reproduktion seiner personenbezogenen Leistungs- und Verhaltensdaten vom Arbeitgeber herausverlangen, wenn dieser nicht imstande ist im Einzelnen zu erläutern, warum der Herausgabe ein Betriebsgeheimnis oder (Datenschutz-)Rechte Dritter entgegenstehen. Diese Rechtsprechung stellt Arbeitgeber vor große Herausforderungen, da eine Herausgabe der Daten die genaue Kenntnis davon erfordert, in welcher HR-Anwendung welche Daten gespeichert sind. Darüber hinaus muss es technisch möglich sein, die Daten aus dem System so wie sie dem Arbeitgeber vorliegen herauszugeben. Ob sich diese Rechtsprechung auf Dauer durchsetzen wird, bleibt allerdings abzuwarten.
Besonderheiten bei konzernweiter Softwarenutzung – kein Konzernprivileg!
Soll die HR-Software unternehmensübergreifend oder gar konzernweit eingeführt und genutzt werden, muss beachtet werden, dass die Übermittlung von Beschäftigtendaten innerhalb eines Konzerns nicht privilegiert ist, d.h. in jedem Einzelfall einer Rechtsgrundlage bedarf.
Hier kommt neben § 26 Abs. 1 BDSG insbesondere Art. 6 Abs. 1 Buchst. f DSGVO in Betracht. Danach ist eine Datenverarbeitung zulässig, wenn sie auf ein überwiegendes berechtigtes Interesse des Arbeitgebers gestützt werden kann. In Erwägungsrund 48 Satz 1 zur DSGVO ist daran anknüpfend festgehalten, dass die Übermittlung von Beschäftigtendaten innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke ein berechtigtes Interesse darstellen kann. Jedoch muss dieses berechtigte Interesse gegenüber dem Interesse der betroffenen Beschäftigten am Unterbleiben der Datenübermittlung im Einzelfall überwiegen. Die Absicht einer bloßen Verwaltungsvereinfachung, organisationsstrategische Erwägungen oder wirtschaftliche Interessen rechtfertigen daher nicht ohne Weiteres die Übermittlung von Beschäftigtendaten. Das gilt umso mehr, wenn es sich um besonders „sensible“ Daten wie z.B. Gesundheitsdaten von Beschäftigten handelt. Ein Argument für die Zulässigkeit der Datenübermittlung kann dabei aber das Vorhandensein eines konzernweiten Datenschutzkonzepts mit einer transparenten Zweckfestlegung und einheitlichen Datenschutzstandards sein.
Gelegentlich besitzen mehrere Konzernunternehmen die Entscheidungsbefugnis über die Zwecke und Mittel der mithilfe einer gemeinsam genutzten HR-Software verarbeiteten Beschäftigtendaten. In diesem Fall besteht eine gemeinsame datenschutzrechtliche Verantwortung (sog. Joint Controlling), die den Abschluss einer Vereinbarung nach Art. 26 DSGVO erfordert. Hier ist zu regeln, welches der Unternehmen die Pflichten nach der DSGVO umsetzt und insbesondere, wer welchen Informationspflichten nachkommt und die Betroffenenrechte gewährleistet.
Erfolgt die Datenverarbeitung mithilfe einer HR-Software durch ein Konzernunternehmen auf der Grundlage von (datenschutzrechtlichen) Weisungen eines anderen Konzernunternehmens, kann eine konzerninterne Datenübermittlung auch durch den Abschluss eines Vertrags zur Auftragsverarbeitung legitimiert werden.
Arbeitsrechtliche Anforderungen
Betriebsverfassungsrechtliche Rahmenbedingungen
Im Bereich des Arbeitsrechts sind bei der Einführung und Anwendung von HR-Software vor allem die Mitbestimmungsrechte des Betriebsrats zu berücksichtigen.
Die relevanten Mitbestimmungsrechte im Überblick:
- 87 Abs. 1 Nr. 6 BetrVG: Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen
- 94 BetrVG: Personalfragebogen; Beurteilungsgrundsätze
- 95 BetrVG: Auswahlrichtlinien
- 111 Nr. 5 BetrVG: Grundlegend neue Arbeitsmethoden
Die Mitbestimmungstatbestände im Einzelnen
Entgegen dem Wortlaut des § 87 Abs. 1 Nr. 6 BetrVG ist das Mitbestimmungsrecht des Betriebsrats bei der Einführung von technischen Einrichtungen schon dann einschlägig, wenn diese aufgrund ihrer technischen Beschaffenheit zur Leistungs- und Verhaltenskontrolle geeignet ist. Eine positive Bestimmung, d.h. der Wille zur Leistungs- und Verhaltenskontrolle bzw. eine Überwachungsabsicht ist nicht erforderlich. Dementsprechend unterliegen nahezu alle HR-Softwareanwendungen schon deshalb diesem Mitbestimmungsrecht, weil sie einen persönlichen Login der Beschäftigten erfordern, anhand dessen unter anderem der Arbeitsbeginn und das Arbeitsende als „Verhalten“ des Beschäftigten nachvollzogen werden können.
Bei einem Personalfragebogen im Sinne von § 94 Abs. 1 BetrVG handelt es sich um eine formularmäßige Zusammenfassung von an Arbeitnehmer oder Bewerber gerichtete Fragen, die über die persönlichen Verhältnisse, insbesondere Eignung, Kenntnisse und Fähigkeiten des Befragten Aufschluss geben sollen. Beispiele hierfür sind Bewerber- oder Einstellungsfragebögen in Recruiting-Anwendungen oder Lernkontrollen bei E-Learning-Programmen. Dem Mitbestimmungsrecht unterliegt die Einführung und jede Änderung von Fragebögen sowie die Festlegung des Verwendungszwecks.
Allgemeine Beurteilungsgrundsätze im Sinne von § 94 Abs. 2 BetrVG sind Regelungen, die eine Bewertung des Verhaltens oder der Leistung der Arbeitnehmer objektivieren und nach einheitlichen Kriterien ausrichten sollen. Hierzu zählen auch die Kriterien, die im Rahmen von Zielerreichungsprozessen aufgestellt und in einer entsprechenden HR-Software eingepflegt sind.
Auswahlrichtlinien gemäß § 95 BetrVG liegen vor, wenn der Arbeitgeber Personalentscheidungen nach abstrakt-generellen Grundsätzen trifft, welche jeweils die maßgeblichen fachlichen, persönlichen und sozialen Gesichtspunkte gewichten. Auswahlrichtlinien sind im Kontext von HR-Software ebenfalls vor allem im Bereich des Recruiting vorzufinden.
In Extremfällen kann die Digitalisierung von Arbeitsbereichen auch eine Betriebsänderung gemäß § 111 Nr. 5 BetrVG darstellen. Die Einführung einer oder mehrerer Softwareanwendungen muss dann die Qualität einer „grundlegend neuen Arbeitsmethode“ haben. Bei Betriebsänderungen muss der Arbeitgeber den Versuch eines Interessenausgleichs unternehmen. Der Betriebsrat kann zudem die Aufstellung eines Sozialplans erzwingen.
Zuständiges Betriebsratsgremium
Für die Einführung von HR-Software ist grundsätzlich der Betriebsrat sachlich und örtlich zuständig, in dessen Betrieb die Software genutzt werden soll.
Eine originäre Zuständigkeit des Gesamtbetriebsrats (§ 50 Abs. 1 BetrVG) oder des Konzernbetriebsrats (§ 58 Abs. 1 BetrVG) kann auch bei einer standortübergreifenden Einführung der Software nur ausnahmsweise angenommen werden. Das BAG hat klargestellt, dass dies nur dann der Fall ist, wenn eine unterschiedliche (technische) Ausgestaltung in den einzelnen Betrieben mit der einheitlichen Funktion der Software nicht vereinbar wäre. Allein der Wunsch des Arbeitgebers nach einer unternehmenseinheitlichen oder betriebsübergreifenden Regelung, sein Kosten- und Koordinierungsinteresse sowie reine Zweckmäßigkeitsgesichtspunkte genügen nicht, um in Angelegenheiten der zwingenden Mitbestimmung die Zuständigkeit des Gesamt- oder Konzernbetriebsrats zu begründen.
Typische Konfliktfelder in Betriebsverhandlungen
In der Praxis zeigt sich, dass die Verhandlungen zwischen Arbeitgebern und Betriebsräten durch immer wiederkehrende Diskussions- und Konfliktfelder geprägt sind.
Dazu gehört unter anderem die Frage, mit welchen Informationen und Unterlagen der Betriebsrat vom Arbeitgeber auszustatten ist, damit dieser seiner gesetzlichen Unterrichtungspflicht gemäß § 80 Abs. 2 BetrVG nachkommt. Zunächst sind dem Betriebsrat sämtliche Herstellerunterlagen über die HR-Software zu überlassen, die auch dem Arbeitgeber zur Verfügung stehen. Darüber hinaus empfiehlt sich eine „Live Vorstellung“ der Software, bei der die wesentlichen Funktionen und die beabsichtigte Nutzung in dem Unternehmen erläutert werden.
Gelegentlich fordern Betriebsräte eine Regelung, wonach es dem Arbeitgeber untersagt ist, die mithilfe der HR-Software erhobenen Daten gerichtlich zu verwerten, um arbeitsrechtliche Maßnahmen zu begründen (prozessuales Beweisverwertungsverbot). Derartige Regelungen sind nach der Rechtsprechung des BAG unwirksam, weil das Prozessrecht nicht zur Disposition der Betriebsparteien steht. Ein prozessuales Verbot, personenbezogene Beschäftigtendaten in einem Gerichtsverfahren „gegen den Arbeitnehmer“ zu verwerten, kann sich nur aus einem ungerechtfertigten Eingriff gegen das Allgemeine Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG ergeben.
Die Betriebsvereinbarung als datenschutzrechtlicher Erlaubnistatbestand
Der Abschluss einer Betriebsvereinbarung über die Einführung einer HR-Software dient nicht nur der Beachtung von betriebsverfassungsrechtlichen Mitbestimmungsrechten. In Art. 88 Abs. 1 DSGVO ist vorgesehen, dass „Kollektivvereinbarungen“ – dazu zählen auch Betriebsvereinbarungen – als bereichsspezifische datenschutzrechtliche Erlaubnistatbestände in Betracht kommen. Regelt eine Betriebsvereinbarung die mithilfe einer HR-Software vorgenommene Verarbeitung von personenbezogenen Beschäftigtendaten, so kann sie außerdem als Rechtmäßigkeitsnachweis im Sinne von Art. 5 Abs. 2 DSGVO herangezogen werden.
Fraglich ist allerdings, wie weit die Regelungskompetenz der Betriebsparteien bei der Ausgestaltung der Verarbeitung von personenbezogenen Beschäftigtendaten reicht. Spätestens seit der EuGH Entscheidung vom 24. November 2011 (C-468/10) ist es gängige Auffassung, dass eine Betriebsvereinbarung nicht dazu geeignet ist, den Mindeststandard des europäischen Datenschutzrechts zu unterschreiten. Obwohl diese Entscheidung des EuGH noch die alte Datenschutzrichtlinie 95/46/EG betraf, ist sie auf die aktuelle Rechtslage übertragbar. Das bedeutet, dass mithilfe einer Betriebsvereinbarung keine Datenverarbeitung zugelassen werden kann, die nach Maßgabe der DSGVO als unzulässig zu beurteilen wäre.
Kein Konsens besteht dagegen bei der Frage, ob der Schutzstandard der DSGVO mithilfe einer Betriebsvereinbarung ausgeweitet, d.h. verschärft werden darf. Während einige Fachautoren die Auffassung vertreten, dass die DSGVO eine Vollharmonisierung des Datenschutzrechts in der Union bezwecke und deshalb keine zusätzlichen Bedingungen für die Zulässigkeit der Datenverarbeitung eingeführt werden dürften, gehen andere Fachautoren von der Zulässigkeit von verschärfenden Regelungen aus. Vermittelnde Ansichten billigen den Betriebsparteien zumindest eine begrenzte Verschärfungskompetenz zu, die jedoch im Hinblick auf die konkrete Datenverarbeitung verhältnismäßig sein muss. Diese vermittelnden Auffassungen sind zu befürworten, weil Art. 88 Abs. 1 DSGVO eine Spezifizierung/Konkretisierung des Beschäftigtendaten-schutzes unter Berücksichtigung von nationalen und betrieblichen Besonderheiten ausdrücklich bezweckt. Für eine solche Spezifizierung/Konkretisierung verbliebe faktisch kaum ein Raum, wenn den Betriebsparteien nicht zumindest ein geringer Beurteilungs- und Gestaltungsspielraum zustünde.
Das in vielen Betriebsvereinbarungen zu HR-Software oder anderer HR-IT (z.B. Videoüberwachung) vorzufindende pauschale Verbot einer Leistungs- und Verhaltenskontrolle ist unter dieser Prämisse kritisch zu bewerten, weil die DSGVO und § 26 Abs. 1 BDSG kein solches Verbot kennen und darin folglich eine erhebliche Verschärfung des Schutzstandards liegt.
Die Rahmenbetriebsvereinbarung zur Digitalisierung
Da die Einführung und Anwendung jeder einzelnen HR-Software der betrieblichen Mitbestimmung unterliegt, stellt sich die Frage, wie Unternehmen den Aufwand hier möglichst reduzieren und sich gleichzeitig dennoch betriebsverfassungskonform verhalten können. Ein praktikables Mittel stellt dabei der Abschluss einer Rahmenbetriebsvereinbarung dar, die generelle Bedingungen für die Einführung von HR-Software aufstellt und ggf. einen standardisierten Prozess hierfür vorsieht. Auf die Regelungen der Rahmenbetriebsvereinbarung kann dann in ansonsten auf „das Nötigste“ begrenzten Einzelbetriebsvereinbarungen Bezug genommen werden. So können vor allem solche HR-Softwaresysteme zeitnah eingeführt werden, die zwar die technische Möglichkeit zur Leistungs- und Verhaltenskontrolle vorsehen, aber hierfür nicht genutzt werden sollen.