Experteninterview: Auswirkungen der Datenschutz Grundverordnung auf HR

Wenn die Geschäftsführung zum HR-Manager kommt und fragt, wie sie in Sachen Datenschutzgrundverordnung aufgestellt sind, welche Antwort sollte er parat haben?

Im besten Fall: Wir sind gut aufgestellt, denn wir haben entsprechende Prozesse. Wer Prozesse hat, die nach altem Recht erforderlich waren, hat eine gute Basis.

Was verstehen Sie unter "Prozesse"?

Es gibt zwei Arten von Prozessen. Erstens: Inhaltliche Prozesse – sie betreffen den Umgang mit personenbezogenen Daten. Wie werden sie aufbewahrt, wie verarbeitet, z.B. gibt es ein Fortbildungsmanagement etc.

Zweitens: Datenschutz-Metaprozesse. Sie legen fest, was passiert, wenn Bewerberdaten abhanden kommen, wenn jemand auf Löschung besteht etc. Für beide Prozesse gilt: Dokumentation ist wichtig wird durch das neue EU-Datenschutzrecht noch wichtiger.

Wer macht die Prozesse?

Wie gesagt: Im besten Fall gibt es bereits welche, die weiterentwickelt werden können. Wer sie macht, ist unterschiedlich: das obere Management, die Fachabteilungen wie z. B. der HR-Manager, manchmal auch der Datenschutzbeauftragte. Prozesse sollen ja nicht nur richtig sein, sondern das Leben erleichtern. Insofern ist wichtig, dass der HR-Manager den Prozess nachvollziehen kann – und ihn lebt. Software kann helfen, denn sie bildet Prozesse ab und stellt Transparenz her.

Angenommen der Prozess steht. Wo sehen Sie den größten Handlungsbedarf seitens HR?

Beim Löschen. Das wird und ist schon ein wichtiges Thema. Wenn Daten nicht mehr gebraucht werden, müssen sie gelöscht werden – das muss im Prozess verankert und mit der Software möglich sein.

Was ist mit Anonymisierung von Daten?

Anonymisierung ist gleichzusetzen mit Löschen, in beiden Fällen liegen im Ergebnis keine personenbezogenen Daten mehr vor. Allerdings ist Anonymisierung auch ein Prozess, der oft missverstanden wird. Denn die große Frage ist: Wann sind Daten anonymisiert? Es reicht nicht, den Namen zu streichen. Erst dann, wenn kein Personenbezug mehr möglich ist, darf man von Anonymisierung sprechen.

Wie gehe ich vor?

Eine Anleitung gibt es nicht. Aggregation ist eine Option: Zum Beispiel: Im Jahr x hatten wir y Bewerber der Fachrichtung z. Das dürfen Sie. Wer Gruppen bildet, ist auf gutem Weg. Jedoch gibt es immer einen Zielkonflikt zwischen Informationsgehalt und Rechtssicherheit. Anonymisierung ist schwer, auch für die großen Unternehmen.

Gibt es weitere Themen, die auf HR-Manager zukommen?

Auf jeden Fall die Informations- & Dokumentationspflicht.

Welche Datenverarbeitungen bedürfen einer Einwilligung?

Daten, die der Arbeitgeber zur Durchführung des Arbeitsvertrags benötigt, kann erst auch ohne Einwilligung des Arbeitsnehmers verarbeiten. Heißt: Der Arbeitgeber braucht z. B. die Kontodaten, um seine vertraglichen Pflichten (Lohn überweisen) zu erfüllen. Wenn es jedoch um Datenverarbeitungen geht, die über das vertraglich erforderliche hinausgehen, wie z.B. Performance Tracking, benötigt er die freiwillige Einwilligung. Betonung liegt auf Freiwilligkeit. Für die Freiwilligkeit der Einwilligung spricht es, wenn Arbeitgeber und Arbeitnehmer gleiche Interessen verfolgen. Ein Beispiel: Über eine App möchte ich meine Performance tracken, um Aussichten auf eine monetäre Belohnung wie einen Bonus zu haben. Der Arbeitnehmer kann zur Einwilligung temporär ein Häckchen in der App setzen und dies später auch wieder deaktivieren.

Welches Risiko besteht, wenn ich als HR-Manager einen Fehler mache?

Den Fehler begeht nicht der HR Manager, sondern der, der den Prozess (nicht) gestaltet hat, also das Unternehmen.

Wenn der Vorgesetzte dem HR-Manager aber vorwirft, einen Prozess nicht (korrekt) aufgesetzt zu haben?

Beugen Sie dem vor, indem Sie, sobald Sie ein Problem erkennen oder Prozesse vermissen, dies proaktiv ansprechen – bei Ihrem Vorgesetzten oder beim Datenschutzbeauftragten.

Welche Konsequenzen habe ich im worst case zu befürchten?

Eine persönliche Haftung ist sehr unwahrscheinlich. Wenn Bußgelder fällig werden, weil die Prozesse schlecht gestaltet sind, könnte der Arbeitgeber intern Schadensersatzansprüche gegen den HR-Manager geltend machen. Theoretisch möglich, praktisch eher unüblich.

Welchen Rat haben Sie an HR-Manager?

Befassen Sie sich mit dem Thema, sprechen Sie Bedenken proaktiv an. Fragen Sie darüber hinaus, ob Sie eine Schulung erhalten – am besten regelmäßig, einmal im Jahr. Sofern es einen Datenschutzbeauftragten gibt, sollte der ohnehin welche anbieten. Zudem: Klären Sie neue Mitarbeiter auf, z. B. im Rahmen des Onboardings. Auch hier kann ein Tool helfen, indem es den Punkt im Prozess verankert.

Herr Göldner, vielen Dank für das Gespräch.