Aus Sicht des Arbeits- und Datenschutzrechts nichts wirklich Neues: Eine neue Personalsoftware ist vor der Implementierung und dem Einsatz im Unternehmen nicht nur von der Fachabteilung hinsichtlich Anwenderfreundlichkeit und Effektivität zu bewerten, sondern auch von der IT-Abteilung auf Datensicherheit sowie wie von der Rechtsabteilung oder entsprechend spezialisierten Anwälten auf datenschutz- und arbeitsrechtliche Fallstricke zu prüfen.

Ach, dieser Datenschutz... aber da passiert doch nichts. So noch immer der Glaube vieler Personalverantwortlicher und Geschäftsführer. Glaube allein hilft in Zeiten der Datenschutzgrundverordnung (DSGVO) jedoch nur sehr bedingt. Zum einen haben die recht langsamen Mühlen der Behörden inzwischen mit all ihrer Gründlichkeit den einen oder anderen Sack Mehl fertig gemahlen und Bußgeldbescheide versendet. So unter anderem:

Die Höhe des jeweiligen Bußgeldes ist abhängig vom Umsatz des Unternehmens sowie der Art des Verstoßes. Nach Art. 83 DSGVO können Bußgelder in Höhe von bis zu EUR 10 Millionen bzw. 20 Millionen oder von bis zu 2 % bzw. 4 % des weltweiten jährlichen Umsatzes verhängt werden.

Nun ist ganz aktuell eine Personalsoftware in den Fokus der Behörden geraten. Die von Zalando zur Mitarbeiterbewertung eingesetzte Software „Zonar“ wird von der Berliner Beauftragten für Datenschutz und Informationssicherheit geprüft – die Ergebnisse stehen noch aus. Grund genug, einen Blick auf diesen Fall sowie auf die grundsätzlichen datenschutz- und arbeitsrechtlichen Anforderungen an Personalsoftware zu werfen.

1.    Der Fall „Zonar“ von Zalando

Bei der von Zalando eingesetzten Software „Zonar" handelt es sich um eine App, mit der Mitarbeiter sich untereinander bewerten können. Diese Bewertungen haben Einfluss auf Gehalt und Aufstiegschancen im Unternehmen. Dem Grunde nach handelt es sich um eine Peer-Review-Software, die an dem bekannten 360-Grad-Feedback-Modell ansetzt und dieses um digitale Auswertungsmöglichkeiten ergänzt. „Zonar“ wurde vorwiegend im Office-Bereich von Zalando in Berlin für rund 2.000 Mitarbeiter eingesetzt.

Die mittels dieses Systems bewerteten Mitarbeiter werden im Ergebnis in drei Gruppen eingeteilt:

  1. Top Performer – Potentialkandidaten für weitere Karrierewege
  2. Good Performer – Mitarbeiter, die ihre Aufgaben erledigen
  3. Low Performer – Mitarbeiter, deren Leistungen unter dem Schnitt liegen.

Daneben fließen Daten aus Arbeitsprozessen ein, etwa wie schnell bestimmte Tätigkeitsschritte vollzogen wurden. Die Bewertungen bestehen somit aus einem quantifizierenden Rating, welches durch eine qualitative Rezension begründet wird.

Dieses Mitarbeiterbewertungssystem wurde in einer Studie der Hans Böckler Stiftung unter arbeitspolitischen Aspekten untersucht. Dort wird kritisiert, dass Zalando mit „Zonar“ klassisch marktwirtschaftliche Instrumente (Rating- und Rezensionssysteme) nach innen anwende, um die Beschäftigten digital durch Apps und Algorithmen zu evaluieren. Die Hans Böckler Stiftung bemerkt in der Studie weiter, es entstehe mit der „totalen, einseitigen Transparenz“ ein omnipräsentes Kontrollsystem, welches zu einer ständigen Arbeits- und Leistungskontrolle führe und die Mitarbeiter unter einen ständigen gegenseitigen Überwachungsdruck setze. Dies wirke sich entsprechend schlecht auf das Betriebsklima aus. Kritisch sieht die Studie auch, dass die Software als "innerbetriebliche Mitbestimmung" gegenüber den Mitarbeitern „verkauft“ wurde, aber Mitbestimmung im Sinne des Betriebsverfassungsgesetzes bei Zalando kaum vorhanden sei. Schließlich wirft die Studie die Frage auf, ob der Einsatz einer solchen Software mit der DSGVO vereinbar sei.

Diese Kritik ist nicht einfach von der Hand zu weisen. Eine konkrete Beurteilung von „Zonar“ aus arbeits- und datenschutzrechtlicher Sicht ist jedoch anhand der Erkenntnisse aus der Studie, die maßgeblich auf den Aussagen von 10 Beschäftigten beruht, nicht möglich. Dafür müssten die Funktionen der Algorithmen, die Bewertungsmaßstäbe, die Art der Eingaben und vieles mehr bekannt sein.

Festgehalten werden kann daher nur: Eine solche Software wirft grundsätzlich massive arbeits- wie datenschutzrechtliche Fragen auf. Eine durch Algorithmen gestützte Bewertung von Mitarbeitern ist aber nicht zwingend unzulässig. Wie so häufig kommt es auf den Einzelfall an.

2.    Arbeits- und datenschutzrechtliche Rahmenbedingungen für Personalsoftware

Mit Personalsoftware sind nachfolgend sowohl Bewerbungs-, Personalmanagement- und auch Personalentwicklungssoftware gemeint. Technisch sind möglichen Anwendungen und Auswertungen kaum Grenzen gesetzt. Diese Grenzen zieht jedoch das Recht.
Aufgrund der Digitalisierung von Personalprozesse sprechen wir zunehmend über Datenverarbeitungen. An dieser Stelle verschmelzen Arbeits- und Datenschutzrecht auf der Sachebene zunehmend.

In datenschutzrechtlicher Hinsicht sind für den Einsatz von Personalsoftware verschiedenste Anforderungen zu beachten. So muss die Datenverarbeitung den Grundsätzen des Art. 5 DSGVO genügen. Die Software selbst muss den Grundsätzen von Privacy by Design & Default des Art. 25 DSGVO entsprechen. Die Beschäftigten müssen im Hinblick auf den Einsatz der Personalsoftware gemäß Art. 12, 13 DSGVO informiert werden. Außerdem ist natürlich die Datensicherheit zu gewährleisten, Art. 32 DSGVO.

Besonders hervorzuheben ist in diesem Zusammenhang das Erfordernis der Durchführung einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO. Darin heißt es wörtlich:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Die Auffassung der Aufsichtsbehörden bezüglich des Einsatzes von Personalsoftware ist sehr klar formuliert. Wenn die

"umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden",

dann ist nach der sog. "Blacklist" der Datenschutzbehörden eine Datenschutzfolgeabschätzung zwingend durchzuführen.

Dies bedeutet, dass für jede Personalsoftware, die eine Leistungs- und Verhaltenskontrolle ermöglicht – eine solche Kontrolle muss weder beabsichtigt sein noch tatsächlich durchgeführt werden – eine Datenschutzfolgeabschätzung vorzunehmen ist. Wird dagegen verstoßen und prüft die Behörde den Einsatz der Software, kann allein die fehlende Datenschutzfolgeabschätzung nach Art. 83 Abs. 4 a) DSGVO mit einem Bußgeld von bis zu EUR 10 Millionen bzw. bis zu 2 % des Jahresumsatzes geahndet werden.

Im Rahmen der Datenschutzfolgeabschätzung für eine Personalsoftware ist auch die Zulässigkeit der Verarbeitung dieser Daten gemäß § 26 BDSG zu prüfen. Danach dürfen

„… personenbezogene Daten von Beschäftigten [...] für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung [...] erforderlich ist.“

Bei der Beurteilung der Erforderlichkeit ist nach der ständigen Rechtsprechung des Bundesarbeitsgerichts (zu § 32 BDSG a.F.) eine Verhältnismäßigkeitsprüfung vorzunehmen. Dabei sind

  • der legitime Zweck der Datenverarbeitung,
  • die Geeignet des Mittels (der Datenverarbeitung) den legitimen Zweck zu erreichen,
  • die Frage, ob nicht ein gleich geeignetes aber milderes Mittel zur Zweckerreichung zur Verfügung steht und
  • die Verhältnismäßigkeit der Maßnahme (der Datenverarbeitung) im engeren Sinne

zu prüfen.

Im Rahmen der Verhältnismäßigkeitsprüfung sind bei der Abwägung zwischen den Interessen bzw. Rechten der Arbeitnehmer sowie denen des Arbeitgebers arbeitsrechtliche Grundsätze anzulegen. Zu prüfen ist auch, ob ein Fall des § 87 Abs. 1 Nr. 6 BetrVG vorliegt, der Mitbestimmungsrechte des Betriebsrates bei Einführung und Einsatz technischer Überwachungseinrichtungen begründet.

Das gilt im Ergebnis übrigens auch dann, wenn im Unternehmen kein Betriebsrat besteht. Schließlich stellt sich das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz in diesen Fällen gleichermaßen schützend vor den Arbeitnehmer. (vgl. Einsatz von „Keyloggern“ zur Mitarbeiterüberwachung grundsätzlich unzulässig (BAG, Az. 2 AZR 681/16)).

3.    Fazit

Die arbeits- wie datenschutzrechtliche Zulässigkeit einer Personalsoftware zu beurteilen, ist durchaus keine einfache Aufgabe. Wenn Sie jedoch vermeiden möchten, dass die Datenschutzbehörde Ihrem Unternehmen die Verwendung der teuer angeschafften und unter hohen Ressourceneinsatz implementierten Personalsoftware untersagt und/oder Ihr Unternehmen gar mit einem erheblichen Bußgeld belegt, dann sollten Sie sich dringend dieser Mühe unterziehen.

Sollten Sie hierzu weitere Fragen haben oder Unterstützung bei der Beurteilung einer Personalsoftware benötigen, sprechen Sie uns gern an.

Noch ausführlichere Erläuterungen mit weiteren Verweisen und Quellenangaben erhalten Sie unter Diercks Digital Recht – Blog für IT-|Medien-|Datenschutz- und Arbeitsrecht.