Arbeitnehmerdatenschutz und HR-Software

Was ist Arbeitnehmerdatenschutz?

Der Arbeitnehmerdatenschutz oder Beschäftigtendatenschutz ist neben dem Kundendatenschutz der wohl wichtigste Teilbereich des Datenschutzrechts. Der Arbeitnehmerdatenschutz dient dem Grundrechtsschutz im Arbeitsverhältnis. Hier werden personenbezogene Daten von Arbeitnehmern in großer Zahl und über einen verhältnismäßig langen Zeitraum verarbeitet. Obwohl dem Arbeitnehmerdatenschutz gerade in Zeiten der fortschreitenden Digitalisierung eine hohe Bedeutung beizumessen ist, müssen auch die berechtigten Interessen von Arbeitgebern bei der Datenverarbeitung beachtet werden. Es ist für die Durchführung eines Arbeitsverhältnisses und zur Zwecke der Optimierung von Arbeitsabläufen unerlässlich, dass der Arbeitgeber über einen bestimmten Informationsfundus verfügt, der auch ohne die ausdrückliche Einwilligung von Arbeitnehmern abgefragt und verwendet werden kann. Dies schließt auch die sogenannte Leistungs- und Verhaltenskontrolle ein. Die Aufgabe des Arbeitnehmerdatenschutzrechts ist es, in diesem Spannungsfeld dem Arbeitnehmerpersönlichkeitsrecht einerseits und berechtigten Arbeitgeberinteressen andererseits Rechnung zu tragen.

Im Ausgangspunkt gelten für den Arbeitnehmerdatenschutz die allgemeinen Vorschriften der Datenschutz-Grundverordnung (DSGVO). Das gilt insbesondere für die Grundsätze für die Verarbeitung personenbezogener Daten in Art. 5 Abs. 1 DSGVO sowie für die Informationspflichten und die Betroffenenrechte in den Art. 12 DSGVO bis Art. 23 DSGVO.  Allerdings hat der europäische Gesetzgeber mit Art. 88 Abs. 1 DSGVO eine sogenannte Öffnungsklausel geschaffen, die es den Mitgliedsstaaten der Union gestattet, die Verarbeitung von personenbezogenen Beschäftigtendaten in nationalen Rechtsvorschriften zu spezifizieren. Von dieser Möglichkeit hat der deutsche Gesetzgeber Gebrauch gemacht und mit § 26 Bundesdatenschutzgesetz (BDSG) die zentrale Vorschrift für den Arbeitnehmerdatenschutz in Deutschland geschaffen. Nach § 26 Abs. 1 BDSG ist die Verarbeitung von personenbezogenen Arbeitnehmerdaten zulässig, soweit sie zur Begründung, Durchführung und Beendigung eines Arbeitsverhältnisses erforderlich ist. Daneben dürfen personenbezogene Daten von Arbeitnehmern aber auch auf der Grundlage einer Einwilligung (§ 26 Abs. 2 BDSG) oder auf der Grundlage einer Betriebsvereinbarung (§ 26 Abs. 4 BDSG) erfolgen.

Arbeitnehmerdatenschutz und Betriebsrat

Das Betriebsverfassungsgesetz kennt gleich mehrere Mitbestimmungsrechte, die es dem Betriebsrat ermöglichen, den betrieblichen Arbeitnehmerdatenschutz mitzugestalten. Im Einzelnen kann der Betriebsrat mitbestimmen bei der Verarbeitung von personenbezogenen Beschäftigtendaten mithilfe bzw. im Kontext von Personalfragebögen und Beurteilungsgrundsätzen (§ 94 BetrVG), Auswahlrichtlinien (§ 95 BetrVG) und technischen Einrichtungen, die zur Leistungs- und Verhaltenskontrolle bestimmt sind (§ 87 Abs. 1 Nr. 6 BetrVG).

Besondere praktische Bedeutung besitzt das Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die zur Leistungs- und Verhaltenskontrolle bestimmt sind. Danach unterliegen der erzwingbaren Mitbestimmung unter anderem folgende Sachverhalte:

  • Einführung elektronischer Personalakten
  • Einführung einer elektronischen Arbeitszeiterfassung
  • Einführung von Office 365
  • Einführung von Videoüberwachungsanlagen
  • Elektronische Zugangskontrollsysteme / biometrische Zugangskontrollsysteme
  • HR-Softwaresysteme / Human Capital Management Software
  • Facebookseite des Arbeitgebers
  • Bring Your Own Device (BYOD)
  • Elektronische Kontaktdatenverwaltung

Der Betriebsrat wird damit zum wichtigen Stakeholder bei der Digitalisierung von Unternehmen und Personalprozessen. Im Dialog zwischen Arbeitgebern und Betriebsräten über die Einführung von digitalen Arbeitsmitteln kommt es deshalb nicht selten zum Konflikt. Welches Gremium ist zuständig? Inwieweit sollen die technischen Möglichkeiten zur Leistungs- und Verhaltenskontrolle beschränkt werden? Welche Systemauswertungen, Datenauswertungen und Reports dürfen vom Arbeitgeber vorgenommen werden? Welche Kontrollrechte werden dem Betriebsrat eingeräumt? 

Einführung von HR-Software und HCM Lösungen

Moderne Personalsoftwaresysteme decken zwischenzeitlich nahezu das gesamte HR-Aufgabenspektrum ab – vom Recruiting über die Arbeitszeiterfassung und das Skill-Management und Talentpools bis hin zum Zielerreichungsprozess. Vor allem große mittelständische Unternehmen und Konzerne setzen vermehr auf umfassende Human Capital Management (HCM) Softwarelösungen SAP SuccessFactors, Workday, Oracle oder HRworks.

In der Praxis führt die Digitalisierung von HR-Prozessen aber nicht nur zu einer Vereinfachung der Arbeit von Personalern, sondern wirft im Hinblick auf die weitreichenden Möglichkeiten zur Analyse und Weiterverarbeitung von Beschäftigtendaten auch zahlreiche datenschutz- und arbeitsrechtliche Fragen auf. Schon bei der Systemauswahl sind datenschutzrechtliche Auswahlkriterien zu berücksichtigen. Regelmäßig bedarf es auch einer Datenschutz-Folgenabschätzung. Handelt es sich bei der ausgewählten Softwareanwendung nicht um eine sog. On-Premise-Lösung bzw. um ein klassisches Lizenzmodell, sondern um ein cloudbasiertes System (Software as a service), muss mit dem Anbieter ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.

Soll die HR-Software unternehmensübergreifend oder gar konzernweit eingeführt und genutzt werden, muss beachtet werden, dass die Übermittlung von Beschäftigtendaten innerhalb eines Konzerns nicht privilegiert ist. Sie bedarf in jedem Einzelfall einer Rechtsgrundlage. Im Bereich der internationalen Datenübermittlung in Drittländer kommen weitere Anforderungen hinzu, denen spätenstens seit der sogenannten „Schrems II“ Entscheidung des Europäischen Gerichtshofs besondere Beachtung zu schenken ist. Gerade bei der Datenübermittlung in die USA ist zu prüfen, inwieweit diese durch die Verwendung von Standardvertragsklauseln abgesichert werden muss.

In Betrieben, in denen ein Betriebsrat gewählt ist, unterliegt die Einführung einer HR-Software der erzwingbaren Mitbestimmung. Der Abschluss von Betriebsvereinbarungen zur konkreten betrieblichen Einführung und Anwendung von HR-Softwaresystemen ist aber auch aus Sicht des Arbeitgebers nicht nur ein „notwendiges Übel“, sondern hat auch Vorteile. Weil Betriebsvereinbarungen von der Datenschutz-Grundverordnung als taugliche Erlaubnistatbestände für die Verarbeitung von personenbezogenen Arbeitnehmerdaten anerkannt werden, kann der Arbeitgeber die Regelungswerke bei etwaigen Kontrollen / Datenschutzaudits durch Aufsichtsbehörden als Nachweise für die Rechtmäßigkeit der mithilfe der HR-Software vorgenommenen Datenverarbeitung vorlegen und sich dadurch gegen die Erteilung teurer Bußgelder absichern.

Aufgrund der Vielzahl von mitbestimmungspflichtigen Softwaresystemen, die in Unternehmen eingeführt werden, hat sich der Abschluss von Rahmen-Betriebsvereinbarungen zur HR-Digitalisierung in der Praxis bewährt. Eine Rahmen-Betriebsvereinbarung soll den Zeitaufwand für die betriebsverfassungskonforme Einführung von Softwaresystemen reduzieren, indem generelle Bedingungen für die Einführung von HR-Software aufgestellt und ggf. einen standardisierter Prozess geschaffen werden. Auf die Regelungen der Rahmen-Betriebsvereinbarung kann dann in ansonsten auf „das Nötigste“ begrenzten Einzelbetriebsvereinbarungen Bezug genommen werden.

Einen Überblick über die arbeits- und datenschutzrechtlichen Anforderungen bei der Einführung und Anwendung von HR-Software gibt das DGFP // Wissenswert von Dr. Tassilo-Rouven König.

Was können wir für Sie tun?

Wir unterstützen Arbeitgeber bei der Umsetzung der datenschutzrechtlichen Vorgaben bei allen HR-Prozessen. Unsere besondere Expertise liegt in der Beratung von Arbeitgebern bei der Einführung von umfassenden HR-Softwareanwendungen und HCM Lösungen wie SAP SuccessFactors, Workday, Oracle oder HRworks. Wir begleiten Arbeitgeber bei den Gesprächen mit Betriebsräten und erstellen die erforderlichen Betriebsvereinbarungen. Außerdem haben wir eine standardisierte Rahmen-Betriebsvereinbarung für die Einführung und Anwendung von HR-Softwaresystemen erarbeitet, die wir Ihnen auf Anfrage gerne zur Verfügung stellen.

Dr. Tassilo-Rouven König

Ihr Ansprechpartner

Dr. Tassilo-Rouven König ist Datenschutz-Fachmann und Autor zahlreicher Fachpublikationen zum Beschäftigtendatenschutz, zu denen unter anderem sein eigenes Praxishandbuch zum Beschäftigtendatenschutz zählt. Er ist externer Datenschutzbeauftragter der vier Rechtsanwaltskammern in Baden-Württemberg und berät Unternehmen insbesondere bei der Einführung von HR-Software und HCM Lösungen wie SAP SuccessFactors, Workday, Oracle oder HRworks.