Datenschutzfallen

Wie Schutzrechte zu Gefahren werden

§ 26 BDSG (neu) Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses, Ziffer 1

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies

für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung
oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten

erforderlich ist. ...

Was wie eine Stärkung der Arbeitnehmer-Interessenvertretung aussieht, kann sich ins Gegenteil umkehren, wenn der Inhalt einer Betriebsvereinbarung bestimmte Speicherungen erlaubt, z.B.

Jeder Mitarbeiter erhält eine Gesamtbewertung seiner Leistung und seines Verhaltens pro Jahr. Bei dieser Gesamtbewertung werden auch Feedbacks anderer Mitarbeiter und die Selbsteinschätzung des Mitarbeiters dokumentiert. Bei der Ermittlung der Gesamtbewertung sind folgende Aspekte angemessen zu bewerten:

Mit dem „Was“ wird bewertet, inwieweit die festgelegten Ziele erreicht wurden;
Das „Wie“ ist eine Qualitätskomponente, die bewertet ob Mitarbeitende bei der Erfüllung ihrer Ziele die vom Unternehmen geforderten Kernkompetenzen angewendet haben und sich an die Führungsgrundsätze gehalten haben.

Diese Regelung erlaubt die detaillierte Speicherung der Zielerreichung und des Verhaltens der Mitarbeiterinnen und Mitarbeiter. Sie erhält damit auch ihren datenschutzrechtlichen Segen.

Anders wäre dies, wenn die entsprechende Passage in der Betriebsvereinbarung wie folgt lauten würde:

Die Bewertung der Zielerreichung wird gemäß den vereinbarten Kriterien .... im jährlichen Mitarbeitergespräch zwischen Mitarbeiter und Führungskraft erörtert. Insoweit die Kernkompetenzen des Unternehmens für die konkrete Arbeit eine Rolle spielen, können sie im Mitarbeitergespräch thematisiert werden. Da es sich bei dieser Verhaltensbewertung um subjektive Urteile handelt, gehen sie nicht in die Gesamtbewertung ein. Im System wird nur das summarische Ergebnis der Leistungsbeurteilung anhand der Kategorien ... dokumentiert, nicht jedoch der Inhalt des Gesprächs.

Datensparsamkeit und eine weitgehende Vermeidung subjektiver Bewertungen kennzeichnet das zweite Beispiel. Ist wichtig, wenn die Ergebnisse - wie bei multinationalen Konzernen üblich - in einem weltweit einheitlichen Datenbanksystem gespeichert sind. Die big Data-Hintergrundsysteme, falls vorhanden, erhalten hier wenig Nahrung.

Noch gefährlicher ist folgende Fundstelle aus einer Betriebsvereinbarung:

Die Parteien sind sich einig, dass diese Vereinbarung als datenschutzrechtliche Erlaubnis zum Umgang mit personenbezogenen Daten wirkt. Soweit diese Vereinbarung das Bearbeiten personenbezogener Daten regelt, gilt sie als Erlaubnisvorschrift im Sinne von Art. 6 DSGVO.

Hier ist die datenschutzrechtliche Generalerlaubnis für unbestimmte Vorgänge erteilt. Nach allgemein geteilter Rechtsauffassung kann eine Betriebsvereinbarung eine solche datenschutzrechtliche Erlaubnisvorschrift darstellen. Sie sollte aber dann sehr präzise zum Ausdruck bringen, für welche Daten und welche Verarbeitungsprozesse diese Erlaubnis formuliert wird. Auf jeden Fall sind Generalvollmachten zu vermeiden.

Anfragen an tse

Karl Schmitz, Oktober 2017