Datenbasiert entscheiden

Mitarbeiter­beurteilungen und Datenschutz:

Die DSGVO gilt auch für Software für Mitarbeiterbeurteilungen. Datenschutzrechtlich ist einiges zu beachten und auch der Betriebsrat bestimmt mit. Hier lesen!

Compliance im Unternehmen

Worauf Unternehmen beim Einsatz von Analyse-Software achten müssen

Die Digitalisierung schreitet voran – und so verwenden Arbeitgeber zunehmend Software, um die Leistung ihrer Mitarbeiter zu analysieren und zu bewerten. Doch hier ist Vorsicht beim Datenschutz geboten, denn schnell befindet man sich als Unternehmen in einem rechtswidrigen Raum, auch wenn die Software selbst im Grunde gar nicht rechtswidrig ist. Entscheidend sind die Module der Software und der Zweck, für den sie eingesetzt werden.  

Wie erfolgt die Mitarbeiterbeurteilung mittels Software?

Eine Software zur Mitarbeiteranalyse entdeckt durch maschinelles Lernen Wahrscheinlichkeiten und Muster beim Arbeitnehmer, die es erlauben, die reale Leistung und die mögliche Leistung zu analysieren. Einige dieser Programme ermöglichen es auch, dass Mitarbeiter sich gegenseitig bewerten können. Das soll dem Unternehmen einen Rundumblick auf die Mitarbeiter verschaffen, sodass eine rein objektive Entscheidung in Bezug auf arbeitsrechtliche Schritte wie eine Beförderung erfolgen kann. Nachdem die Software die Mitarbeiter in Kategorien wie Low Performer, Good Performer und Top Performer unterteilt, ist es für den Mitarbeiter unter Umständen erforderlich, von einer Kategorie in die nächste aufzusteigen, um beispielsweise eine Beförderung zu erhalten.

Meist läuft die gegenseitige Bewertung so ab, dass jeder Mitarbeiter in festgelegten Zeitabständen bestimmte Kollegen bewertet. Der direkte Vorgesetzte wertet die eingegangenen Bewertungen aus. Das sollte möglichst objektiv erfolgen. Dann ergänzt er sie um die eigene Einschätzung. Zu guter Letzt wird das Ergebnis diskutiert und auch der zu bewertende Mitarbeiter darf sich selbst einschätzen. Unterstützt wird dieser Prozess durch die KI.

Wird ein solches Programm von einem Unternehmen eingesetzt, so ist zu beachten, dass bei der Einführung der Betriebsrat ein Wörtchen mitzureden hat (§ 87 Abs. 1 Nr. 6 BetrVG). Daher müssen Unternehmen dem Betriebsrat vorher Auskunft darüber erteilen, welcher Art das Programm ist.

Leitfaden für Entscheider: So finden Sie die richtige HR-Lösung

Was Sie als Unternehmer, Geschäftsführer oder Verantwortlicher im Personal-, IT- und Finanzbereich zur Auswahl einer HR-Lösung wissen sollten.

E-Book herunterladen
Leitfaden für Entscheider: So finden Sie die richtige HR-Lösung

Datenschutz und Rechtmäßigkeit nach Treu und Glauben

Alle Daten, die personenbezogen erhoben wurden, dürfen aus Gründen des Datenschutzes nur auf rechtmäßige Art und Weise verarbeitet werden, die für den betroffenen Mitarbeiter nachvollziehbar sein muss. Die Rechtsgrundlagen dafür sind in der Betriebsvereinbarung (§ 26 Abs. 4 BDSG i. V. m. Art. 88 Abs. 2 DSGVO), in der Einwilligung des betroffenen Mitarbeiters (Art. 6 Abs. 1, S.1 lit. a i. V. m. § 26 Abs. 2 BDSG, Art. 7 DSGVO)und dem § 26 BDSG zu finden. Demnach muss der Verhältnismäßigkeitsgrundsatz eingehalten werden, also die Erhebung der personenbezogenen Daten muss das mildeste geeignete Mittel zur Erreichung der Leistungsbeurteilung sein.

Nachdem eine solche Analyse-Software dazu geeignet ist, die Leistung eines Mitarbeiters zu analysieren, ist ihr Einsatz legitim und geeignet. Allerdings: Erforderlich ist ein solches KI-Tool nach § 26 Abs. 1 BDSG immer nur dann, wenn das Interesse des Unternehmens nicht auf eine unverhältnismäßige Art und Weise in das Recht auf informationelle Selbstbestimmung des Arbeitnehmer eingreift. Jeder Arbeitgeber hat ein Interesse daran, seine Arbeitnehmer nach der Leistungsfähigkeit zu entlohnen und zu befördern. Genau genommen gebietet das die Fürsorgepflicht sogar. Für die Bewertung einzelner Mitarbeiter darf er aber nur fachliche und sachlich richtige Informationen verwenden. Ist die Beurteilung abwertend und unrichtig, so ist das eine Persönlichkeitsrechtsverletzung des Mitarbeiters. Deshalb dürfen solche Informationen aufgrund der sogenannten “Nichterforderlichkeit” auch nicht in die Software einfließen (§ 26 Abs. 1 BDSG).

Nicht abschließend geklärt ist, ob die Bewertung durch Kollegen überhaupt objektiv sein kann und somit zur Beurteilung der fachlichen Leistung eines Mitarbeiters geeignet ist und verwendet werden darf. Zu befürchten sind Eingriffe in das Persönlichkeitsrecht: Oft stehen die einzelnen Mitarbeiter in Konkurrenz zueinander. Auch kann sich so das Verhalten der Mitarbeiter ändern, die aufgrund der Leistungsbeurteilungssituation durch Kollegen Gefahr laufen, finanzielle Verluste zu erleiden, weil sie nicht befördert werden. Läuft der Bewertungsturnus sehr engmaschig und darüber hinaus auch noch regelmäßig ab, so käme das einer Totalüberwachung gleich. Die wiederum greift in das allgemeine Persönlichkeitsrecht des Arbeitnehmers ein. Der legitime Zweck ist damit nicht mehr gegeben.

Datenschutz beim Einsatz des Analysetools

Der Einsatz einer solchen Software ist trotz aller Bedenken datenschutzrechtlich möglich. Voraussetzung ist, dass die Abfragemodule entsprechend ausgestaltet sind. Da viele sensible personenbezogenen Daten in einem solchen Programm gespeichert sind, braucht es ein Berechtigungskonzept. Das Konzept muss so erstellt werden, dass nur berechtigte Mitarbeiter Zugang zu diesen Daten haben. Auch der Umfang dieser Berechtigungen ist genau festzulegen.

Personenbezogene Daten dürfen nicht zeitlich unbegrenzt gespeichert und verarbeitet werden. Die Aufbewahrungsfristen aus den gesetzlichen Regelungen der DSGVO müssen eingehalten werden. Damit das gewährleistet werden kann, müssen Löschkonzepte erstellt werden. Die Aufbewahrungsdauer hängt in der Regel von der Kategorie der personenbezogenen Daten ab.

Aus Art. 32 DSGVO ergibt sich, dass auch technisch-organisatorische Maßnahmen für den Datenschutz einzuhalten sind. Gerade für Cloud-Anbieter sind die Vorgaben in den Artikeln 32 und 25 DSGVO bestimmend.

Folgen einer Datenschutzverletzung

Werden die Vorgaben der DSGVO nicht eingehalten und wird also dem Datenschutz bei der Nutzung einer solchen Software nicht ausreichend Genüge getan, so drohen Bußgelder von bis zu 10 Mio. Euro bzw. 20 Mio. Euro (Art. 83 Abs. 4 bzw. Abs. 5 DSGVO). Handelt es sich um ein Unternehmen, können es bis zu 2 bzw. 4 Prozent vom weltweit erzielten Jahresumsatz des vorangegangenen Jahres sein.