Wer als Personalerin oder Personaler die Bedürfnisse und Erfahrungen von Mitarbeitenden erfassen möchte, greift oftmals zu Befragungen und Interviews. Das Ergebnis: Ein Datenpool, dessen Inhalt analysiert und in Korrelation zueinander gebracht werden kann, um die Employee Experience der Mitarbeitenden messbar zu machen. Dabei gibt es eine Stolperfalle – zumindest, wenn sich HR nicht tiefergreifend mit dem Thema beschäftigt: den Datenschutz.
Was es bei Mitarbeiterbefragungen, dem Sammeln von Metadaten und Informationen aus Jahresgesprächen und Leistungsanalysen zu beachten gibt, weiß Viktoria Schmittmann. Sie ist Fachanwältin für IT-Recht bei Zuhorn und Partner Rechtsanwälte und betreut zahlreiche Unternehmen zu allen Fragestellungen rund um die rechtmäßige Erhebung, Auswertung und Speicherung von Daten. Uns hat sie die wichtigsten Fragen hinsichtlich Datenschutz im Employee Experience beantwortet.
Darf HR bei einer Mitarbeiterbefragung alles erheben?
Nein. Ein Grundsatz des Datenschutzes ist es, stets so wenig Daten wie möglich zu erheben. Wenn Daten erhoben werden, müssen sie einem Zweck dienen. Für Unternehmen heißt das: Sie dürfen alle Mitarbeiterdaten erheben, die ihnen dabei helfen, ein guter Arbeitgeber zu sein und die Beschäftigten zu unterstützen – und zwar bereits beim Recruiting, während der Beschäftigung und für die Beendigung des Arbeitsverhältnisses. „Das heißt aber auch, dass ich eine Einzelfallbetrachtung machen und mir den Use Case anschauen muss“, sagt Viktoria Schmittmann.
Zudem muss der Arbeitgeber die Mitarbeitenden stets darüber informieren, dass ihre Daten gespeichert werden und was mit ihnen geschieht. „Essenziell sind transparente Datenschutz-Informationen für die Mitarbeitenden“, sagt die IT-Rechtsexpertin. „In ihnen sollte enthalten sein, auf welcher Rechtsgrundlage die Daten erhoben und analysiert werden und wie die Datenverarbeitung an sich aussieht. Für welchen Zweck die Datenerhebung und -analyse stattfindet, sollte ebenfalls erklärt werden.“
Wie erhebt man personenbezogene Daten?
Personenbezogene Daten sind vereinfacht ausgedrückt solche, die Rückschlüsse darauf zulassen, von welchem Mitarbeiter oder von welcher Mitarbeiterin sie stammen und etwas über die Person aussagen. Wer diese Art von Daten erheben möchte, braucht häufig die freiwillige Zustimmung der entsprechenden Person, wenn es keine andere Rechtsgrundlage für die Datenverarbeitung gibt. Was banal klingt, hat es in sich. „Dass der Arbeitnehmer im Arbeitskontext freiwillig zu etwas zustimmt, ist in Deutschland nicht leicht zu beweisen“, sagt Schmittmann.
Der Grund: In Deutschland geht der Gesetzgeber davon aus, dass der Arbeitnehmer oder die Arbeitnehmerin gegenüber seinem Arbeitgeber wenig vollkommen freiwillig entscheiden kann. Denn der Arbeitnehmer oder die Arbeitnehmerin wird vom Gesetzgeber in einem Abhängigkeitsverhältnis zu seinem Arbeitgeber gesehen.
„Besonders heikel wird es, wenn es um Umfragen zum Thema Diversity & Inclusion geht“, sagt Schmittmann. „Denn hier befinden wir uns – wie auch bei Daten zur Gesundheit – im Gebiet der sensiblen Daten.“ Sie dürfen nur im äußersten Notfall, wenn der Zweck des verlangt und es zum Vorteil der Mitarbeitenden ist, erhoben und ausgewertet werden. Und natürlich ist eine freiwillige Zustimmung der jeweiligen Person nötig.
Wie vermeidet HR, personenbezogene Daten zu erheben?
Dass sich die Daten nicht auf eine Person zurückführen lassen, ist gerade in kleineren Betrieben nicht immer leicht sicherzustellen. Denn auch andere Informationen als der Name oder die Position können in ihrer Summe verraten, welcher Person sie zuzuordnen sind. Auch gilt: Je mehr Menschen mit den Daten arbeiten, desto wahrscheinlicher ist es, dass jemand sie einem Mitarbeiter oder einer Mitarbeiterin zuordnen kann.
Um das zu verhindern, kann es laut der Datenschutz-Expertin hilfreich sein, bei Umfragen unter Mitarbeitenden ein besonderes Augenmerk auf die Fragestellung zu legen. „Offene Fragen können Mitarbeitende dazu verleiten, aus Versehen im Freitext zu viele Informationen zu teilen, die Rückschlüsse auf ihre Person ermöglichen“, sagt Schmittmann. „Sicherer ist es, stattdessen Skalen zu verwenden, bei denen Mitarbeitende beispielsweise angeben, wie zufrieden sie mit dem Coaching durch ihren Vorgesetzten sind.“
Was gilt für die Nutzung externer Tools?
Oftmals arbeitet HR bei der Datenerfassung und -analyse mit externen Dienstleistern zusammen – denn die schiere Datenmenge ist meist zu groß, um sie alleine zu bewältigen und die dafür nötigen Data-Science-Kenntnisse sind nicht immer in jeder Personalabteilung vorhanden. Doch die Zusammenarbeit bedeutet nicht, dass sich HR hinsichtlich des Datenschutzes entspannt zurücklehnen kann.
Was gut an der Nutzung von externen Datentools ist: Sie spielen Unternehmen meistens nur bereits aggregierte Daten aus und geben Informationen wie Log- oder IP-Daten des jeweiligen Mitarbeiters oder der entsprechenden Mitarbeiterin nicht an den Arbeitgeber weiter. So kann der Arbeitgeber schwieriger Rückschlüsse auf eine Person ziehen. An den Schnittstellen zu unternehmensinternen Systemen wie Dashboards gibt es laut Schmittmann bei entsprechender Konfiguration meist keine Probleme mit dem Datenschutz.
Allerdings liegt auch bei einer Zusammenarbeit mit einem externen Anbieter die Pflicht, dass sich im gesamten Prozess an den Datenschutz gehalten wird, beim Arbeitgeber – etwas, das laut Schmittmann oft vergessen wird. Der Arbeitgeber muss darauf achten, dass jeder Dienstleister und jeder Dritte, der mit den Daten in Kontakt kommt, dieselben Datenschutzstandards einhält, wie das Unternehmen selbst. Hier müssen vor Einbindung des Dienstleisters vor allem die Verträge mit dem Dienstleister geprüft werden und gegebenenfalls Audits beim Dienstleister durchgeführt werden, die mitunter Sicherheitsprobleme aufdecken können.
Gibt es bei der Analyse anonymer Daten etwas zu beachten?
Nein, sobald die Daten (wirklich) anonym sind, gibt das Datenschutzrecht keine weiteren Regularien vor. Denn wenn die Anonymität gewährleistet ist, sind die Persönlichkeitsrechte des Mitarbeitenden oder der Mitarbeiterin nicht berührt. „Bei der Auswertung trifft man als Arbeitgeber eher auf ethische und arbeitsrechtliche Fragestellungen“, sagt Schmittmann. Aggregierte Ergebnisse aus Befragungen, die zum Beispiel mit Unternehmenskennzahlen kombiniert werden, könnten Ausgangspunkt sein für Umstrukturierungen oder personelle Maßnahmen in Unternehmen. Die weitere Unternehmensstrategie sei dann mit den Werten oder dem Leitbild des Arbeitgebers abzugleichen und es sei auch der Betriebsrat miteinzubinden, wenn der Betrieb neu geordnet werden soll.
Woran müssen sich internationale Unternehmen halten?
Internationale Arbeitgeber stehen vor einem zusätzlichen Problem: Je nach Land, in dem sich ihre Standorte befinden, gelten andere Datenschutzvorgaben. Sie müssen entscheiden, ob sie für jeden Standort einzelne Datenerhebungen durchführen oder ob sie einen „Goldstandard“ für sich bestimmen. „Seit der Einführung der Datenschutzgrundverordnung (DSGVO) 2018 geben häufig europäische Tochtergesellschaften aus Compliance-Sicht den Standard vor, weil hier die Datenschutzregelungen tendenziell am strengsten sind“, sagt Schmittmann.
In den USA dahingegen sind die datenschutzrechtlichen Regelungen oft weniger einschränkend und anstatt allgemein nur für bestimmte Sektoren ausgestaltet. Auch hier verändert sich aber die Datenschutzlandschaft zunehmend: Vorreiter in Sachen US-Datenschutz ist der Bundesstaat Kalifornien, der mit dem California Consumer Privacy Act (CCPA) ein sehr umfassendes Datenschutzgesetz eingeführt hat.
Muss der Betriebsrat eingebunden werden?
Grundsätzlich ja. Der Betriebsrat ist dazu da, die Einhaltung von Vorgaben zu überwachen, die sich auf die Mitarbeitenden auswirken. Dazu zählt auch das Datenschutzrecht. Was zunächst nur wie eine Pflicht erscheint, kann HR langfristige Vorteile bringen: „Wer als Arbeitgeber den Betriebsrat auf seiner Seite und die Datenerhebungen und -analysen mit ihm in einer Betriebsvereinbarung abgestimmt hat, kann in vielen Fällen auf eine Einwilligung des Mitarbeiters oder der Mitarbeiterin verzichten“, sagt Schmittmann. Das habe den Vorteil: Einwilligungen können von den Mitarbeitenden jederzeit zurückgezogen werden. Wenn der Datenschutz von Mitarbeiterbefragungen und Co. Teil der Betriebsvereinbarung ist, besteht die spontane Gefahr eines Wegfalls von Daten nicht mehr.
Was gilt für Informationen aus Jahresgesprächen?
Auch hier gilt die Regel: Daten aus Jahresgesprächen und Leistungsanalysen dürfen nur in einem System gespeichert werden, wenn ihre Aufbewahrung einem Zweck dient. Zugang zu den Daten sollten nur Menschen haben, die ihn benötigen, um die Beschäftigten bei ihrer Arbeit zu unterstützen. Das sind zum einen Führungskräfte und die Mitarbeitenden selbst, zum anderen aber auch HR.
Digitale Arbeitstools sammeln mitarbeiterbezogene Daten. Wofür darf HR sie verwenden?
Durch digitale Arbeits- und Kommunikationstools sind viele Datenmengen hinzugekommen, die früher so gar nicht gesammelt wurden. Die Auswertung von Daten, die Mitarbeitende bei der Arbeit beiläufig produzieren – Metadaten –, dürfen nur analysiert werden, wenn der Arbeitnehmer oder die Arbeitnehmerin dem freiwillig zugestimmt hat oder wenn die Auswertung einem berechtigten Interesse des Arbeitgebers dient, wie etwa der Burnout-Prävention.
Wann müssen die Daten gelöscht werden?
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie der Zweck, für den sie erhoben wurden, nicht wegfällt. Ansonsten gibt es zahlreiche Datenkategorien, für die es keine klare Löschvorgabe gibt. „In diesen Fällen muss sich der Arbeitgeber Gründe überlegen, warum er die Daten noch aufbewahren muss“, sagt Schmittmann. Meistens können deshalb Stammdaten aus der Bewerbung länger gespeichert werden, als Datenerhebungen an Touchpoints entlang der Employee Journey. Zum Löschen der Daten muss man natürlich auch wissen, wo welche Informationen gespeichert sind.
„Da haben viele Unternehmen noch eine Flanke offen, weil ihnen gar nicht klar ist, in welchen Systemen sie personenbezogene Daten abgelegt haben“, so die Datenschutz-Expertin.
Lena Onderka ist redaktionell verantwortlich für den Bereich Employee Experience & Retention – wozu zum Beispiel auch die Themen BGM und Mitarbeiterbefragung gehören. Auch Themen aus den Bereichen Recruiting, Employer Branding und Diversity betreut sie. Zudem ist sie redaktionelle Ansprechpartnerin für den Deutschen Human Resources Summit.