Drum prüfe, wer sich ewig bindet…

Wir sind auf der Suche nach einer komfortableren Personalverwaltungs-Software. So weit, so langweilig. Warum wir trotzdem davon erzählen möchten? Weil es hier Fallstricke gibt, die man eventuell nicht erwartet. Erwartbare Fallstricke wären ein überzogener Preis, fehlende Integrationen oder schlechte Usability. 

Unser Showstopper war: Recht und Moral.

Eine Kollegin kannte einen Anbieter schon aus ihrem ehemaligen Unternehmen und empfand die Usability als angenehm. Also haben wir uns diesen Dienstleister mal genauer angesehen: Das Angebot war gut, die Integrationen maßgeschneidert, soweit so schön.

Der Auftragsverarbeitungsvertrag (frühzeitige Einbindung Datenschutz! Juhu!) war allerdings “schwierig”:

  • Alleiniger Gerichtsstand beim Auftragnehmer: Nicht schön, aber… geschenkt.
  • Haftungsverschiebung: Nun ja. 
  • “Der Auftragnehmer hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und zu aggregieren und die für die Anonymisierung und Aggregation erforderlichen Verarbeitungsschritte durchzuführen. Unter Wahrung der Anonymität kann der Auftragnehmer alle so entstandenen Daten für eigene Zwecke, wie statistische Auswertungen, Branchenvergleiche, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke, verarbeiten und nutzen. Anonymisierte oder aggregierte Daten im Sinne von Ziffer 11.1 gelten nicht länger als personenbezogene Daten und werden nicht von der Herausgabe- oder Löschpflicht von Ziffer 10 umfasst. Der Auftragnehmer ist berechtigt, solche Daten für eigene Zwecke über das Vertragsende hinaus zu nutzen und aufzubewahren.”

Ja….jein… nein. 

Es stimmt, anonyme Daten unterliegen nicht der DSGVO.
ABER: Der Vorgang der Anonymisierung selbst sehr wohl. 

Diejenigen unter uns, die etwas im Thema sind, wissen: Für jede Verarbeitung personenbezogener Daten bedarf es einer Rechtsgrundlage.
Für Nicht-Nerds: Wer etwas mit personenbezogenen Daten macht, braucht einen Darfschein. In der Regel von denen, denen die Daten gehören. Zum Beispiel durch eine Einwilligung.

Ohne Rechtsgrundlage keine Verarbeitung.

Ein Unternehmen darf die Daten der Mitarbeiter*innen verarbeiten, weil das für die Durchführung eines Arbeitsverhältnisses erforderlich ist. Man darf aber eben auch nur das mit den Daten machen (und erlauben), was genau dem dient: Ein Arbeitsverhältnis ermöglichen.

Man darf die Daten also nicht in Newsletterverteiler eintragen, darf damit keine Onlineshop Konten eröffnen und sie auch nicht ans schwarze Brett im Supermarkt nageln.
Man darf sie durchaus in gewissen Grenzen an Dienstleister übergeben, wie beispielsweise an Steuerberater*innen oder auch an einen SaaS-Dienstleister für Personalverwaltung, aber eben auch nur für Aufgaben, die erforderlich für das Arbeitsverhältnis sind. 

Die Anonymisierung der Daten, damit der Dienstleister hinterher wertvolle Benchmarkdaten erhält, ist nicht nur nicht erforderlich für ein Arbeitsverhältnis, es dient noch nicht mal in erster Linie dem Arbeitgeber. Es dient primär dem Dienstleister. 

Aber: Benchmarkdaten sind doch toll! Sie sind wertvoll und super und… 

Ja! Wir wissen das! 


Wir lieben Benchmarkdaten auch. Aber: Wir als Arbeitgeber können das diesem Dienstleister schon rein rechtlich nicht gestatten. Da beißt die Maus keinen Faden ab. Die Daten gehören in erster Linie unseren Mitarbeiter*innen, die sie uns überlassen haben, damit wir sie beschäftigen können. Mehr nicht.
Und sie erwarten, verständlicherweise, dass wir mit ihren Daten sorgsam und umsichtig umgehen.
Dazu gehört auch, dass wir die Daten nicht ungefragt für andere Zwecke rausgeben dürfen. 

“Ja dann fragt halt die Mitarbeiter*innen!”

So einfach ist das nicht, denn: Eine solche Einwilligung in einem Angestelltenverhältnis ist (zu recht) nicht sonderlich belastbar. Denn egal wie man es dreht und wendet: Mitarbeiter*innen sind ein Stück weit vom Arbeitgeber abhängig und treffen diese Entscheidung dann eventuell nicht ganz freiwillig. Es besteht immer die Möglichkeit, dass Mitarbeiter*innen sich gedrängt fühlen, eine Einwilligung zu erteilen, auch wenn sie es nicht so wirklich möchten.

Das Ding mit dem Pferdefuß… füßen

Datenschutz-Nerds wissen vermutlich schon, worauf ich hinaus will: Einwilligungen sind nicht nur manchmal anfechtbar, sondern besonders eins: Widerrufbar.
Wenn man in etwas einwilligt, hat man also auch die Möglichkeit, sich das noch mal zu überlegen und die Einwilligung zurückzunehmen. Wo wir wieder bei dem Thema mit den Rechtsgrundlagen wären: Ist die Einwilligung widerrufen, dürfte diese Anonymisierung und das Benchmarking mit den Daten der Person nicht mehr durchgeführt werden.

Das Problem ist nur: Der Dienstleister kann diese Funktion nicht abstellen. Anonymisierung und Benchmarking erfolgen nämlich per default. Was vermutlich auch mit ein Grund dafür ist, weshalb sich der Dienstleister nicht selbst um die Einwilligungen zu dieser Verarbeitung bemüht. 

Ja Erika, … “Kann nicht” wohnt ja nun meistens in der… äh…  “Will nicht”-Straße

Stromberg ist sicherlich nicht unbedingt die hellste Kerze auf der Torte, in diesem Fall hat er aber vermutlich doch mal Recht.

Es wäre dem Software-Anbieter sicherlich möglich, sich selbst um die Einwilligungen zu kümmern. Es gibt schließlich Marktbegleiter, die genau das tun. Dass es theoretisch möglich wäre, aber nicht passiert, bedeutet: Es ist nicht gewollt.

(Für Nerds: Und das, obwohl der Dienstleister sich im Verlauf der Kommunikation selbst für diesen Verarbeitungsvorgang als “Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO” bezeichnet und sagt, er müsse die Einhaltung sämtlicher rechtlicher Voraussetzungen hierfür sicherstellen.” Und ihn allein träfe das Haftungsrisiko.)

Zudem bliebe noch das Ding mit der Nicht-Abstellbarkeit der Datennutzung.
Auch hier gäbe es technische Möglichkeiten, welche man implementieren könnte, um auf den Widerruf einer Einwilligung reagieren zu können. (Oder darauf, dass ein Arbeitgeber eine solche Verarbeitung für seine Mitarbeiter*innen nicht wünscht.) Es würde möglich sein. Was ebenfalls bedeutet: Es ist nicht gewollt. 

Ja was wollen sie denn?

Was sie konkret wollen, kann ich natürlich nicht sagen. Konnten die Angestellten des Dienstleisters auch nicht. Oder wollten es nicht.
Sie haben uns aber bestätigt, dass es nicht auf der Agenda stünde, die Betroffenen künftig selbst um eine Einwilligung zu bitten und auch nicht, die Möglichkeit zu schaffen, diese Form der Verarbeitung auf Mandantenebene abzustellen. Somit ist es diesem Dienstleister offensichtlich wichtiger, die Anonymisierung und somit die Generierung von Benchmarkdaten durchzusetzen, als alles auf eine belastbare Rechtsgrundlage zu stellen.

Ein Schelm, wer….

Das muss natürlich jedes Unternehmen für sich bewerten, was man aus solchen unternehmerischen Entscheidungen herauslesen möchte.
Wir interpretieren das für uns so, dass das Benchmarking wichtiger ist, als eine rechtskonforme Software. Wir empfinden das auch nicht als Umgang auf Augenhöhe mit den Betroffenen. Für uns ist es ein “Unterschieben” einer Verarbeitung, da es hier an jeglicher Transparenz gegenüber den Betroffenen fehlt.
(Für Nerds: Und auch gegenüber den Unternehmen. Ein Kryptokonzept für die Anonymisierungen haben wir nicht erhalten. Übrigens auch keine Datenschutzfolgenabschätzung.) 

Lange Rede, gar kein Sinn?

Ich weiß nicht mal, worauf ich konkret hinweisen möchte. Auf die Wichtigkeit des frühzeitigen Einbindens des Datenschutzes? Daran, wie unglaublich wertvoll gute Kommunikation zwischen den Teams und Abteilungen ist (frühzeitiges Einbinden der Datenschutzverantwortlichen, Kolleg*innen in der Personalabteilung, die sich vom Vertrieb des Dienstleisters nicht haben unter Druck setzen lassen)? Wie froh ich bin, meine Personaldaten in den Händen eines Arbeitgebers zu wissen, dem es wichtig ist, was damit (nicht) passiert? Bin ich entsetzt darüber, wie Dienstleister mit Daten umgehen und das völlig okay finden? Oder bin ich primär extrem “verschnupft” darüber, dass man versucht hat, uns das unterzuschieben?

Wie dem auch sei: Wir haben heute keine Rose für dich, lieber Dienstleister.
Unsere Suche nach einer guten Personalverwaltungssoftware geht also weiter.
Wer einen wirklich guten Anbieter empfehlen kann, der darf das gerne tun!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dieses Formular speichert Deinen Namen, Deine E-Mail-Adresse sowie den Inhalt, damit wir die Kommentare auf unserer Seite auswerten und anzeigen können. Weitere Informationen findest Du in unserer Datenschutzerklärung.