In der heutigen stark digitalisierten Arbeitswelt ist eine Verarbeitung von Beschäftigtendaten mittels IT-Tools unerlässlich. Inzwischen gibt es am Markt eine Vielzahl von IT-Tools und Softwarelösungen für verschiedene Zwecke.
Hiervon werden beispielsweise Tools zur Stammdatenverwaltung, zur Personal- und individuellen Karriereplanung, zur Aggregierung und statistischen Analyse, sowie – teils cloudbasierte – IT-Sicherheitssysteme, Data Loss Prevention- und Compliance Tools umfasst.
Für diese umfangreiche und teilweise komplexe Verarbeitung teils sensibler Beschäftigtendaten sind vor allem die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetzes (BDSG) zu berücksichtigen:
- Jede Datenverarbeitung bedarf einer Rechtsgrundlage, wobei die Verarbeitung besonders sensibler Daten (wie Gesundheitsdaten und Daten über die Gewerkschaftsangehörigkeit) gesteigerten Anforderungen unterliegt. Hier ist vor allem § 26 BDSG maßgebend. Ferner sind die Grundsätze der strengen Zweckbindung, der Speicherbegrenzung und der Transparenz von Bedeutung (Art. 5 DSGVO).
- Unternehmen müssen technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen (Art. 32 DSGVO). Welche dies sind, ist aufgrund der konkreten Umstände der Datenverarbeitung zu entscheiden.
- Werden Tools von einer Konzerngesellschaft für andere Konzerngesellschaften betrieben, sind die Rollen der Beteiligten zu klären. Hierbei kann es sich um eine Auftragsverarbeitung (Art. 28 DSGVO) oder um eine gemeinsame Verantwortlichkeit (Art. 26 DGSVO) handeln. Beide Konstellationen erfordern das Aufsetzen entsprechender Verträge.
- Schließlich müssen die Anforderungen aus Kapitel 5 der DSGVO beachtet werden, wenn Beschäftigtendaten in Staaten außerhalb des EWR übermittelt werden. Unternehmen müssen Transfer Risk Assessments vornehmen und ggf. geeignete Maßnahmen zum Schutz der personenbezogenen Daten treffen (z.B. Standardvertragsklauseln oder Corporate Binding Rules).
Die Implementierung erfordert regelmäßig auch eine umfassende Beteiligung betroffener Fachabteilungen sowie des Betriebsrats und des*der Datenschutzbeauftragten. Diesen sind Informationen zur Funktionsweise des Systems und insbesondere auch zum Datenschutz zur Verfügung zu stellen.
Insbesondere die Implementierung von Personalmanagement-Tools stellt häufig eine besondere Herausforderung dar, da diese Tools Verarbeitungsmöglichkeiten eröffnen können, die von den deutschen Datenschutzbehörden kritisch bewertet werden.