So DSGVO-konform sieht es im HR aus

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. In den Monaten zuvor herrschte vor allem bei kleinen und mittleren Unternehmen zuerst Ratlosigkeit und dann Aktionismus. Was durchaus verständlich ist.

Denn erstens sind mit diesem Recht, das auf den Schutz personenbezogener Daten abzielt, etliche neue Vorgaben einzuhalten. Diese wirklich zu verstehen und sich dann auch noch konform zu verhalten, setzt ein Menge Know-how voraus.

Und zweitens machte rasch die Runde, dass eine Missachtung der Verordnung empfindliche Konsequenzen nach sich ziehen kann. Tatsächlich sind Bußgelder in einer Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro möglich. Zum Vergleich: Nach dem deutschen Bundesdatenschutzgesetz (BDSG) waren 300.000 Euro die Obergrenze.

Angesichts dieser brisanten Mischung aus umfänglicher Unklarheit und drastischen Sanktionen entschieden sich viele Unternehmen, auf Nummer Sicher zu gehen und lieber zu viel zu machen als zu wenig. In der Folge wurden beispielsweise zahlreiche Websites und Blogs vorübergehend abgeschaltet, weil für die Betreiber nicht immer nachvollziehbar war, welchen Weg die von den Besucher:innen hinterlassenen Daten nehmen. Oder es wurden gar keine E-Mails mehr an die Kund:innen versendet, weil nicht sicher gesagt werden konnte, für welche Kommunikation ein Double-Opt-in (= also die explizite Bestätigung der Anmeldung mit der ersten Mail) vorliegen muss und für welche nicht.

Die DSGVO schränkt also vor allem Marketing und Vertrieb in ihren Möglichkeiten ein, weil hier Personen – nämlich Interessierte und Kund:innen – im Mittelpunkt stehen. Besonders relevant ist die Verordnung außerdem für die HR-Abteilung. Denn auch hier stehen Menschen im Fokus – eben die Mitarbeiterinnen und Mitarbeiter.

Die Mitarbeiterinnen und Mitarbeiter haben durch die DSGVO neue Rechte erhalten:

• gemäß Artikel 15 der DSGVO das Recht auf Auskunft zu den eigenen Daten
• gemäß Artikel 17 das Recht auf Löschung der Daten

Vom Auskunftsrecht können sowohl aktuelle als auch ehemalige Mitarbeitende Gebrauch machen. Für die HR- und die IT-Abteilungen ergibt sich daraus die besondere Herausforderung, die Ehemaligen als solche zu authentifizieren. Darüber hinaus besteht in der Rechtsauslegung noch Uneinigkeit hinsichtlich des Umfangs der Daten, zu denen Auskunft gegeben werden muss. Hier sind zwei Urteile interessant, die kaum unterschiedlicher ausfallen könnten. Zum Zeitpunkt des Schreibens stand die Entscheidung der letzten Instanz noch aus:

• Urteil des LAG Baden-Württemberg vom 20. Dezember 2018 – 17 Sa 11/18:
  Auskunft über ALLE gespeicherten Daten, dass umfasst auch interne Ermittlungsakten (Whistleblower), direkte und indirekte Erwähnung in Korrespondenzen
• Urteil des OLG Köln vom 26. Juli 2019 – Az. 20 U 75/18:
  weitere Auslegung; hier keine Auskunft über Korrespondenzen

Das Recht auf Löschung der Daten löst in vielen HR-Abteilungen allein schon deshalb Unbehagen aus, weil es dem eigenen Selbstverständnis widerspricht. Oftmals verstehen sich Personalabteilung fast wie Archivare der Mitarbeiterhistorie. Alles wird abgeheftet, aufbewahrt und sicher gelagert. Vielleicht braucht man es ja nochmal. Um auf der Jubiläumsfeier die ursprüngliche Bewerbung hervorholen oder Anekdoten aus dem Werdegang beisteuern zu können. Um Anfragen von ehemaligen oder gegenwärtigen Mitarbeitenden zu lange zurückliegenden Sachverhalten liefern zu können, zurück bis in Zeiten, als alles noch in Papierordnern statt in IT-Systemen abgeheftet wurde. Oder weil sich ein ehemaliger Mitarbeiter wieder bewirbt und man wissen möchte, wie es vor vielen Jahren zu dem Abgang kam. War es nicht ein Unterperformer, über den sich die Kolleginnen und Kollegen immer beschwert haben, der widerholt verwarnt wurde und war man schlussendlich sehr froh, als das Thema vorbei war?

Praktisch ist vor allem die Etablierung von Löschkonzepten eine Herausforderung, die einerseits den Prüfungen von Aufsichtsbehörden Stand halten müssen und andererseits die Verfügbarkeit von Daten gewährleisten, zu der man für Prüfungen durch Audits verpflichtet ist. Zudem fühlen sich Personalerinnen und Personaler auch verpflichtet, Schaden vom Unternehmen fernzuhalten (z.B. im obigen Beispiel des entlassenen und sich neu bewerbenden Mitarbeiters) und in einer ansonsten datengetriebenen Welt keinen Nachteil gegenüber Wettbewerbern zu haben. Aber wie soll das gehen, wenn die Gesetzeslage die Datenlöschung vorsieht? Denn: Was weg ist, ist weg.

Ob die ganze Aufregung nun gerechtfertigt war, lässt sich auch aus der heutigen Perspektive nur unzureichend beantworten. Ein Jahr nach Inkrafttreten waren laut der Welt am Sonntag in mindestens 75 Fällen Bußgelder verhängt worden. Dabei bezog sich die Zeitung auf Aussagen der Datenschutzbeauftragten der Länder. Die Summe der Bußgelder soll demnach 449.000 Euro betragen. Auf ihrem Blog veröffentlichte die Kanzlei CMS Hasche Sigle etwas größere Zahlen. Laut der Autoren sind es 100 Bußgelder mit einer Gesamthöhe von 483.500 Euro. So oder so. Angesichts der Befürchtungen ist dieses Ausmaß vergleichsweise gering.

Das kann daran liegen, dass die Unternehmen den Vorgaben in hohem Maß nachkommen und es deshalb kaum Anlässe für Verfahren gibt. Zahlen, die der Digitalverband Bitkom vorgelegt hat, lassen diese Deutung zu. In einer Erhebung aus dem September 2019 gaben 67 Prozent der Befragten an, die DSGVO vollständig oder größtenteils umgesetzt zu haben, 24 Prozent immerhin teilweise.

Zum vergleichsweise geringen Umfang an Sanktionen kann auch beigetragen haben, dass die verantwortlichen Behörden in den Ländern unterschiedlich engagiert sind. Dafür spricht die auffällige Verteilung der Fälle. So haben laut dem Blog-Artikel von CMS Hasche Sigle acht Bundesländer gar keine Bußgelder verhängt. Spitzenreiter in Bezug auf die Anzahl war mit 36 Fällen Nordrhein-Westfalen. Allerdings summieren sich diese lediglich auf einen Gesamtbetrag von 15.600 Euro. Baden-Württemberg forderte dagegen bei nur sieben Fällen Bußgelder in Höhe insgesamt 203.000 Euro.

Hat sich der erwartete Sturm nun also nur als laue Brise erwiesen, die Unternehmen nichts anhaben kann? Und kann der Umgang mit personenbezogenen Daten wieder lockerer gehandhabt werden? Nach unserer Einschätzung ist das keine gute Idee. Das vor allem deshalb, weil die zurückliegenden gut eineinhalb Jahre als eine Art Übergangs- bzw. Findungsphase gewertet werden können. Die Behörden haben die Zügel etwas schleifen lassen – um den Unternehmen die Möglichkeit zu geben, sich an die neuen Vorgaben zu gewöhnen, und um sich selbst darauf einzustellen. Als Hinweis darauf, dass diese Zeit langsam zu Ende geht, lässt sich ein Konzept der „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ verstehen, das im Oktober 2019 veröffentlicht wurde. Beschrieben wird in dem Papier ein systematisches Verfahren für die Bemessung von Bußgeldern, das für mehr Transparenz und Verbindlichkeit sorgt.

Vor diesem Hintergrund ist es bemerkenswert, dass Maja Smoltczyk, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Ende Oktober 2019 (nach der Veröffentlichung des Konzepts) ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen erlassen hat.

Der Grund: Das Immobilienunternehmen hatte im März 2019 ein Archivsystem im Einsatz, das nicht vorsah, überflüssige Daten von Mieter:innen zu löschen – beanstandet hatte das die Behörde bereits im Juni 2017. Anlässlich dieses Falls wies Maja Smoltczyk deutlich daraufhin, dass alle datenverarbeitenden Stellen die Vereinbarkeit ihrer Archivsysteme hinsichtlich der Vereinbarkeit mit der DSGVO überprüfen sollten. Anfang Dezember 2019 teilte Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), mit, den Telekommunikationsdienstleister 1&1 mit einer Geldbuße in Höhe von 9.550.000 Euro belegt zu haben. Anlass war hier ein unzureichendes Authentifizierungsverfahren. Und Ende Januar 2020 wurde bekannt, dass der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, ein Verfahren gegen H&M eröffnet hat. Das Modeunternehmen soll Mitarbeiterinnen und Mitarbeiter in großem Umfang ausspioniert und sensible Daten zu Krankheitsgeschichten oder privaten Hintergründen gespeichert haben.

Für die Unternehmen beutet das – vor allem hinsichtlich ihrer HR-Prozesse – sich noch einmal im Detail und in Ruhe mit den Vorgaben zum Datenschutz zu befassen. Dabei sollten sie zwei Ziele verfolgen:

Bevor Unternehmen sich an die Implementierung konkreter Lösungen machen, sollten sie zunächst einen vollständigen Überblick über ihre Daten gewinnen:

• Mit welchen Daten hat das Unternehmen zu tun?
• Wie werden die Daten verarbeitet, welche Stakeholder sind daran beteiligt (intern und extern)?
• Welche rechtlichen, betrieblichen und sonstigen Vorgaben sind mit Blick auf die Daten relevant?

Sind diese Fragen beantworten, kann ein ganzheitlicher Ansatz für einen Rechts- bzw. Compliance-konformen, effektiven und effizienten Umgang mit personenbezogenen Daten entwickelt und implementiert werden. Zu einem Ansatz gehören organisatorische Aspekte (Wer ist für was verantwortlich?), prozessuale Aspekte (Wie werden Daten verarbeitet?) und technologische Aspekte (Welche Tools kommen zum Einsatz?).

Nach unserer Erfahrung besteht eine gewisse Gefahr, dass Unternehmen auf diese umfassende Betrachtung verzichten. Sie verstehen den Umgang mit Daten als technologische Aufgabe. Entsprechend wird dann die IT-Abteilung damit beauftragt, eine Software einzuführen. In den meisten Fällen greift ein solches Vorgehen zu kurz.

Ebenfalls sollten Unternehmen die Ausrichtung nach der DSGVO (und anderen Vorgaben) nicht als einmaliges Projekt verstehen. In den vergangenen Monaten wurde schnell klar, dass die Anforderungen sehr vielfältig sind und sich nicht einfach so nebenher in den einzelnen Fachbereichen umsetzen lassen. Als Folge daraus bildet sich immer mehr die Rolle des/der Datenschutzkoordinators/-in heraus. Aufgabe ist es, dauerhaft sämtliche Strukturen und Prozesse, Produkte und Services nach allen Gesichtspunkten des Datenschutzes zu gestalten. Ein wichtiges Hilfsmittel sind die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten IT-Grundschutz-Kataloge bzw. das IT-Grundschutz-Kompendium.

Gut aufgestellte Prozesse zu haben, ist schonmal ein wichtiger Anfang. Diese müssen in komplexen IT-Systemen wie SAP HCM aber auch sicher umgesetzt werden. Die wenigsten Mitarbeitenden haben die Kompetenz (und aus Sicherheitsgründen die Rechte), Datensätze selber unwiederbringlich zu löschen. Oder verstehen, wo überall Daten im System gespeichert sind und wie man diese gelöscht bekommt.

Hier kommen Tools wie das DSGVO-Paket für SAP HCM von EMPLEOX zum Zuge.

Es unterstützt bei der Etablierung und der dauerhaften Weiterentwicklung eines datenschutzkonformen Umgangs mit personenbezogenen Daten. Die Software, die als Add-on für SAP HCM konzipiert wurde, stellt alle erforderlichen Funktionalitäten bereit: vom Datenschutz-Cockpit über einen Personalnummernvernichter und ein Tabellenlöschtool bis zu einem Personalstammblatt.

Unternehmen können damit DSGVO-konform und revisionssicher handeln. Unsere erfahrenen DSGVO-Beraterinnen und Berater helfen dabei nicht nur bei der Einrichtung, sondern vor allem auch bei konzeptionellen Fragen weiter. Denn nur das Zusammenspiel aus Kenntnis der Rechtslage, guten Prozessen und SAP-Knowhow lässt Sie beim Gedanken an das nächste Audit ruhig schlafen. Hier mehr erfahren.