Der Einsatz von IT-Personalwirtschaftssystemen aus datenschutzrechtlicher Sicht

PrintMailRate-it

zuletzt aktualisiert am 2. November 2022 | Lesedauer ca. 3 Minuten

Autor: Maximilian S. Dachlauer

    

Eine moderne und effektive Personalwirtschaft in Unternehmen kommt selten ohne einschlägige IT-Lösungen aus. Dazu zählen sog. Enterprise Resource Planning-Systeme (ERP-Systeme). Dabei handelt es sich um integrierte Systeme, die eine einheitliche Datenbasis zur Steuerung umfassender Unternehmensaktivitäten einsetzen und durch zahlreiche Verknüpfungen von operativen Funktionen geprägt sind. Der Einsatz solcher Systeme in der modernen Arbeitswelt bietet sich deshalb besonders an, weil sie eine rechtzeitige und bedarfsgerechte Personalplanung und -verwaltung ermöglichen. Insbesondere können IT-Personalwirtschaftssysteme auch für das Personalzeit­manage­ment sowie das betriebliche Talentmanagement eingesetzt werden. Der Nutzen in wirt­schaft­­licher und personeller Hinsicht liegt dabei auf der Hand.


  

   

Neben kaufmännischen Überlegungen stellt sich die Frage, ob der Einsatz von IT-Personalwirtschafts­systemen als selbstverständlicher Teil einer schönen neuen modernen Arbeitswelt datenschutz- und arbeitsrechtliche Risiken beinhaltet.

 

Anbieter solcher ERP-Systeme existieren viele. Einer der bekanntesten dürfte SAP HCM mit verschiedenen Kernfunktionen und Modulen sein, die noch mit Untermodulen wie SAP Success Factors ergänzt werden können. Weitere sehr bekannte Anbieter sind Microsoft und DATEV.   

 

Datenschutzkonformität der IT-Personalwirtschaftssysteme

Unabhängig vom Funktionsumfang müssen alle in der Personalabteilung eingesetzten IT-Lösungen daten­schutzkonform sein und den vielfältigen Anforderungen der Datenschutz-Grund­verordnung (DSGVO) entsprechen.

 

Tatsächlich sind die meisten Lösungen, allen voran die der großen und bekannten Anbieter, datenschutz­rechtlich auf einem guten Niveau und bereits unter Beachtung der datenschutzrechtlichen Verarbeitungs­grundsätze gem. Art. 5 DSGVO gestaltet und halten viele datenschutzfreundliche Voreinstellungen bereit (privacy by design). Trotzdem sollte der Einsatz von ERP-Systemen datenschutzrechtlich nicht unterschätzt werden. Diese bieten zwar, wie bereits aufgezeigt, ein enormes wirtschaftliches Potenzial; gleichzeitig werden jedoch zahlreiche Beschäftigtendaten miteinander verknüpft und an einem zentralen Ort gesammelt. Das lässt nicht nur den Betriebsrat, sondern auch den Datenschutzbeauftragten oder die datenschutzrechtliche Aufsichts­behörde aufhorchen. Auch deshalb sollten die folgenden Überlegungen bereits vor dem Einsatz der IT-Systeme umfassend angestellt werden.

 

Rechtsgrundlagen für die Verarbeitung

Zunächst bedarf es für die Verarbeitung von Beschäftigtendaten in einer IT-Lösung einer entsprechenden Rechtsgrundlage. Die wichtigste dafür findet sich in Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit § 26 BDSG. Nach § 26 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten von Beschäftigten mitunter dann verarbeitet werden, wenn das innerhalb der verschiedenen Phasen eines Beschäftigungsverhältnisses – d.h. für dessen Begründung, Durchführung und Beendigung – erforderlich ist. Um eine zulässige Verarbeitung von Beschäftig­ten­daten zu bejahen, muss demnach immer geprüft werden, ob der Zweck der Verarbeitung einem der gerade genannten Zwecke dient und ob die Erforderlichkeit der Datenverarbeitung gegeben ist. Der Begriff der „Erforderlichkeit” ist im Gesetz nicht näher definiert.
 

Nach der Gesetzesbegründung sind dabei aber die widerstreitenden Grundrechtspositionen des Arbeit­gebers und des Arbeitnehmers in Ausgleich zu bringen. Dabei sind die Interessen des Arbeitgebers an der Daten­ver­arbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt. Dient die Verarbeitung von Beschäftigungs­daten nicht einem der genannten Zwecke oder ist sie dafür nicht erforderlich, muss geprüft werden, ob der Erlaubnistat­bestand des Art. 6 Abs. 1 lit. f DSGVO gegeben ist. Das ist dann der Fall, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Arbeitgebers oder eines Dritten erforderlich ist und das Interesse des betroffenen Beschäftigten an der Nichtverarbeitung seiner Daten nicht überwiegt.

 

Jede Funktionalität beim Einsatz des ERP-Systems muss demnach darauf geprüft werden, ob das für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Bietet das ERP-System bspw. Bewerbermanagement-Tools an, so sind die damit zusammenhängenden Verarbeitungsvorgänge von Bewerberdaten zur Begründung eines Beschäftigtenverhältnisses i.d.R. erforderlich und daher daten­schutz­rechtlich zulässig. Auch die Abrechnung und die allgemeine Verwaltung der Bewerberdaten sind zur Begründung des Beschäftigungsverhältnisses sicherlich grundsätzlich erforderlich.

 

Talent-Management-Tools

Schwieriger wird es z.B. bei dem Einsatz von Talent-Management-Tools. Bei der Besetzung von Positionen suchen viele Unternehmen auch geeignete Talente aus ihren eigenen Reihen. Dazu werden Talentpools gebildet und Skill-Datenbanken angelegt, in denen Leistungs- und Performancedaten der Beschäftigten hinterlegt werden. So können sich die Unternehmen schnell einen Überblick über die Leistungsfähigkeit der Beschäftigten verschaffen und sich eine Meinung darüber bilden, ob einzelne Beschäftigte für bestimmte offene Stellen oder Projekte geeignet sind. Fraglich ist, inwieweit die Verarbeitungsvorgänge von Beschäftigten­daten noch zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. Es zeigt sich die enge Verzahnung von Arbeitsrecht und Datenschutzrecht.

 

Zur Durchführung des Beschäftigungsverhältnisses kann zwar erforderlich sein, dass der Arbeitgeber wissen muss, welche Beschäftigte über die notwendigen Skills verfügen, um auf einem bestimmten Projekt eingesetzt zu werden. Das kann aber nur dann der Fall sein, wenn der Arbeitgeber den Einsatz des Beschäftigten auf diesem Projekt im Rahmen seines Weisungsrechts anordnen kann. In dem Fall bestimmt er den Inhalt der Arbeitsleistung, was zweifelsohne der Durchführung des Beschäftigungsverhältnisses dient.

 

Dient das Talentmanagement jedoch auch zur Beurteilung, ob bestimmte Beschäftigte für Tätigkeiten und Positionen in Frage kommen, die der Arbeitgeber nicht einseitig über sein Weisungsrecht anordnen kann, ist es mehr als fraglich, ob das noch der Durchführung des Beschäftigungsverhältnisses dient.

 

Scheidet Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit § 26 Abs. 1 S. 1 BDSG als Rechtsgrundlage der Ver­arbeitung aus, könnte noch Art. 6 Abs. 1 lit. f DSGVO in Betracht kommen. Er greift immer dann, wenn die Interessen des Arbeitgebers am Vorhalten der Leistungsdatenbanken die Interessen des Arbeitnehmers an der Nichtverarbeitung dieser Daten überwiegen. Wichtig ist, dass die Abwägung jeweils im Einzelfall erfolgen muss und nicht für alle Beschäftigten pauschal erfolgen kann. Äußert ein Beschäftigter bspw. das Interesse an einer neuen Arbeitsstelle oder an einem Tätigkeitsbereich, auf die oder zu dem er durch eine Weisung des Arbeit­gebers nicht versetzt werden könnte, wäre Art. 6 Abs. 1 lit. f DSGVO zu bejahen. Das eingesetzte Talent­management-IT-System sollte daher zu solchen Differenzierungen fähig sein.

 

Sollte auch Art. 6 Abs. 1 lit. f DSGVO nicht greifen, kann noch eine Einwilligung des Beschäftigten gem. Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 26 Abs. 2 BDSG eingeholt werden. Mitunter können sich aber Probleme mit der Freiwilligkeit der Einwilligung ergeben. Zudem muss der Arbeitgeber planen, wie die Verarbeitung bei einem Widerruf der Einwilligung (oder ihrer Nichterteilung von Beginn an) erfolgen soll.

 

Weitere Fallstricke

Weiter sollte das Rechte- und Rollenkonzept des ERP-Systems vorsehen, dass stets nur diejenigen Mitarbeiter aus der Personalverwaltung auf die Beschäftigtendaten Zugriff haben, die auch tatsächlich mit der Bearbeitung betraut sind. Der Personenkreis ist auf die jeweils erforderlichen Personen zu begrenzen. Wird das ERP-System in einer Cloud, womöglich sogar bei einem externen Dienstleister betrieben, stellen sich weitere daten­schutz­rechtliche Probleme, wie der Standort des Servers oder die Notwendigkeit des Abschlusses einer Vereinbarung zur Auftragsverarbeitung. In Konzernen ist die Frage nach der gemein­samen Verantwortlichkeit für die Beschäftigtendaten zu stellen, wenn mehrere Unternehmen das jeweilige Personalwirtschaftssystem gemeinsam betreiben wollen. Beim Einsatz von Personalwirtschafts­systemen sollte auch stets beachtet werden, dass Mitbestimmungsrechte des Betriebsrates berührt sein können und auch i.d.R. sind. Auch hier ist eine sorgfältige Prüfung anzuraten. Zudem sollten die IT-Systeme ein ordentliches datenschutzkonformes Löschkonzept unterstützen.

 

Fazit

Auch unter Geltung der DSGVO ist der Einsatz von IT-Personalwirtschaftssystemen datenschutzrechtlich zulässig. Jedoch sollten alle Funktionalitäten dahingehend überprüft werden, ob sie die rechtlichen Anforderungen erfüllen – ggf. müssen die Beschäftigten in die einzelne Verarbeitung einwilligen. In Extremfällen mag es auch angezeigt sein, vereinzelte Funktionalitäten ungenutzt zu lassen, da sonst ein bußgeldbewährter Datenschutzverstoß droht.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu