Teilen auf
Cloud Computing steht bei vielen Unternehmen hoch im Kurs. Auch speziell im Personalmanagement ergibt sich eine Vielzahl an Nutzungsmöglichkeiten. Allerdings müssen HR-Abteilungen hinsichtlich Arbeits- und Datenschutzrecht bei dem Thema einiges beachten.
Cloud Computing ist neben Big Data und Cybersecurity einer der großen datenschutzrechtlichen Trends der letzten Jahre. Daher verwundert es nicht, dass immer mehr Personalabteilungen Cloud-Lösungen als Teil eines modernen HR-Managements nutzen oder künftig nutzen möchten. Aktuelle Studien zeigen allerdings, dass insbesondere in Sachen Datenschutz im Zusammenhang mit Clouds noch große Unsicherheiten in HR-Abteilungen bestehen.
Es können grob zwei Arten des Cloud Computings unterschieden werden: das ursprüngliche Cloud Computing beschreibt das Vermieten von nicht lokalem, physischem Speicherplatz (Infrastructure as a Service – IaaS). Diese Variante hat für das Personalmanagement im Allgemeinen nicht viel Relevanz. Zum anderen ist Cloud Computing aber auch das Nutzen und Verarbeiten von Daten mittels von Cloud-Anbietern betriebenen Software-Lösungen (Software as a Service – SaaS). Viele führende HR-Tools werden im Rahmen von SaaS in der Cloud angeboten, wie zum Beispiel von Workday, Patriot Payroll, Cornerstone oder Kronos. Dabei haben HR-Abteilungen oft allein Interesse an der Software selbst und nicht an der Cloud – die Cloud ist also häufig nicht gewollt, aber notwendig, um bestimmte Software-Applikationen nutzen zu können.
Cloud Computing ist kostengünstig, ausbaufähig und flexibel
Die Verarbeitung von HR-Daten mittels Cloud-Lösungen bietet für die Personalabteilung ökonomische und praktische Vorteile. Da sowohl IaaS als auch SaaS grundsätzlich nach dem Pay-per-use-Prinzip abgerechnet werden, das heißt nach benötigtem Datenvolumen (bei IaaS) und genutzten Softwarelösungen (bei SaaS), ist der Einsatz von beiden Varianten des Cloud Computings relativ kostengünstig. Im Falle von IaaS erhält man Zugriff auf viel Speicherplatz, ohne eigene Hardware oder IT vorhalten zu müssen – lediglich eigene Rechner sind erforderlich. Derartige IaaS-Cloud-Dienste können darüber hinaus zugekauft werden, sofern es Belastungsspitzen auszugleichen gilt, und ebenso flexibel abgestoßen werden, falls nur geringe Auslastung und Bedarf besteht. Ein weiterer Vorteil sowohl von IaaS als auch SaaS ist die fehlende räumliche Beschränkung, vielmehr bestehen weltweit flexible Zugriffsmöglichkeiten auf die Daten in der Cloud, auch von unterwegs.
Aus HR-Perspektive ergibt sich eine Vielzahl von Nutzungsmöglichkeiten des Cloud Computings. So kann etwa eine digitale Personalakte in der Cloud verwaltet werden. Eine Optimierung der Arbeitsprozesse ist auch durch cloud-basierte Personalinformationssysteme in den Bereichen Leistungsbewertung und Bonus sowie Abrechnung möglich. Dabei können durch integrierte Cloud-Lösungen in HR-Datenbanken beispielsweise die Zeiterfassung von Arbeits- und Fehlzeiten, die Lohnabrechnung oder das Vertragsmanagement erfasst, analysiert und bearbeitet werden.
Sowohl die ursprüngliche Erhebung der HR-Daten als auch die Speicherung und Nutzung der Daten in der Cloud bedarf einer gesonderten datenschutzrechtlichen Rechtfertigung. Denn das Bundesdatenschutzgesetz (BDSG) folgt der Maxime des Verbots mit Erlaubnisvorbehalts, wonach jede Datenverarbeitung grundsätzlich verboten ist, es sei denn, es gibt einen validen Rechtfertigungstatbestand (§ 4 Abs. 1 BDSG). Zum einen stellt die Einwilligung des betroffenen Arbeitnehmers ein zulässiges Rechtfertigungsmittel dar. Daneben kann ein gesetzlicher Erlaubnistatbestand einschlägig sein. Für einige cloud-basierte Datenverarbeitungen im Bereich HR (beispielsweise Zeitwirtschaft oder Talent Management) ist eine Rechtfertigung unter Bezugnahme auf §§ 32, 28 BDSG möglich und zulässig. Jedoch werden diese Vorschriften je nach Datenschutzaufsichtsbehörde anders ausgelegt, einheitliche höchstrichterliche Rechtsprechung hierzu existiert zudem kaum, sodass ein gewisses Maß an Rechtsunsicherheit verbleibt.
Als weitere Möglichkeit, HR-Daten zulässig in der Cloud verarbeiten zu dürfen, hat sich in der Praxis die Auftragsdatenverarbeitung (ADV) bewährt. Gemäß § 11 BDSG zeichnet sich die ADV dadurch aus, dass die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister auf Weisung des Auftraggebers erfolgt. Abzugrenzen ist die ADV von der Funktionsübertragung. Der Einsatz von Cloud-Diensten ist in der Praxis regelmäßig – aber nicht automatisch – als ADV einzuordnen, da der Cloud-Anbieter grundsätzlich kein oder nur geringes Ausführungsermessen bezüglich der cloud-basierten Daten hat.
Der Cloud-Anbieter unterliegt hierbei insbesondere den Weisungen der HR-Abteilung als Auftraggeber und handelt damit lediglich als „verlängerter Arm“ der verantwortlichen Stelle. Datenschutzrechtlich ist der Cloud-Anbieter als Auftragnehmer dem Arbeitgeber als verantwortliche Stelle zuzuordnen. Dies führt einerseits dazu, dass Datenübertragungen zwischen der Personalabteilung und dem Cloud-Anbieter nicht als Datenübermittlung im datenschutzrechtlichen Sinne angesehen werden und damit keiner gesonderten Rechtfertigung bedürfen. Für dieses Privileg ist dann aber der Arbeitgeber als verantwortliche Stelle für alle Handlungen des Dienste-Anbieters verantwortlich und haftbar und es gilt gemäß § 11 BDSG verschiedene inhaltliche und formelle Anforderungen zu beachten.
Beispielsweise bedarf der ADV der Schriftform. Zudem hat der Auftraggeber den Dienste-Anbieter sorgfältig auszuwählen und regelmäßig dessen technische und organisatorische Maßnahmen (zum Beispiel verschlüsselte Datenübermittlung, Bestellung eines Datenschutzbeauftragten) zur Gewährleistung der Datensicherheit zu evaluieren. Zu beachten ist hierbei, dass ADV nicht bereits dann vorliegt, wenn man diese vertraglich vereinbart, sondern es müssen die gesetzlichen Kriterien – insbesondere Handlung nach Weisung des Auftraggebers – erfüllt sein.
Cloud-basierte ADV ist zudem nur innerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR) privilegiert. Für Datentransfers in das nicht-europäische Ausland ist durch den Datenexporteur im Importland ein angemessenes, dem europäischen Maßstab gleichwertiges, Datenschutzniveau zu gewährleisten (§ 4b Abs. 2, 3 BDSG), damit eine Datenübermittlung zulässig ist. Dies wird in der Praxis durch Vereinbarung von EU-Standardvertragsklauseln oder, wenn der Dienstleister ein konzernangehöriges Unternehmen ist, durch Binding Corporate Rules (BCR) erreicht. Nicht vollständig geklärt ist derzeit allerdings, ob ADV ins Nicht-EU-Ausland mittels der gesonderten EU-ADV-Standardvertragsklauseln überhaupt noch möglich ist, oder ob dies nicht eigentlich eine Übermittlung darstellt, die einer Rechtfertigung gemäß §§ 28, 32 BDSG bedarf. Insbesondere bei Cloud-Anbietern, deren Server in den USA verortet sind, ist seit der EuGH-Entscheidung von Oktober 2015 in der Sache „Schrems“ besondere Vorsicht geboten.
Datenschutzaufsichtsbehörden beobachten seither gezielt Datenströme in die USA und sanktionieren Verstöße mit Bußgeldern. Auf das kürzlich beschlossene EU-US Privacy Shield als Nachfolger des durch den EuGH als rechtlich unzulässig eingestuften Safe Harbor-Verfahrens sollten Unternehmen derzeit nicht alleine setzen. Ein gleichwertiges Datenschutzniveau ist dabei durch die oben beschriebenen Garantien (Standardvertragsklauseln, BCR) zu flankieren.
Pauschale Erklärungen genügen nicht
Wie bereits erläutert, stellt auch die vorherige, informierte Einwilligung der betroffenen Arbeitnehmer in die Datenverarbeitung eine valide Rechtsgrundlage für das HR-Cloud-Computing dar. Zwar ist ein solches Vorgehen nach dem BDSG im Zusammenhang mit Cloud-Diensten grundsätzlich möglich, aber aus mehreren Gesichtspunkten in der Praxis nicht zu empfehlen.
Zum einen muss die Einwilligung vor der Datenverarbeitung schriftlich eingeholt werden. Dabei ist der Arbeitnehmer auf den Zweck der Verarbeitung und die Folgen der Nichterteilung hinzuweisen. Pauschalierte Einwilligungserklärungen, die häufig auch in Arbeitsverträgen zu finden sind, genügen zu 99,9 Prozent nicht diesen Anforderungen und sind dementsprechend unwirksam. Zudem kann eine einmal erteilte Einwilligung von dem Arbeitnehmer jederzeit widerrufen werden, was sich bei den unzähligen automatisierten und standardisierten Vorgängen durch Cloud-Dienste im Bereich HR als äußerst hinderlich erweist. Schließlich muss die Einwilligung auch auf freiwilliger Basis erfolgen. Das Merkmal der Freiwilligkeit wird im Arbeitsverhältnis zwar von der Rechtsprechung bejaht, jedoch von den Aufsichtsbehörden aufgrund der unterschiedlichen Machtpositionen von Arbeitgeber und Arbeitnehmer grundsätzlich verneint. Alles in allem ist die Einwilligungslösung bei cloud-basierten Diensten im HR-Bereich als untauglich zu qualifizieren.
Als weiteres valides und erfolgreiches Mittel zur rechtssicheren Ausgestaltung von HR-Cloud-Computing hat sich – sofern ein Betriebsrat beziehungsweise Gesamt- oder Konzernbetriebsrat in dem Unternehmen besteht – in der Praxis der Abschluss einer Betriebsvereinbarung zum Einsatz von Cloud Computing bewährt. Und das aus zweierlei Gründen. Zum einen ist die Betriebsvereinbarung als Rechtfertigung zur Legitimierung von Datenverarbeitungsprozessen anerkannt und eröffnet damit die Möglichkeit, Datenverarbeitungsvorgänge gezielt und individuell an den Bedürfnissen der Gesellschaft ausgerichtet auf eine rechtssichere Basis zu stellen. Zum anderen werden hierdurch die zwingenden Mitbestimmungsrechte des Betriebsrats gewahrt. Kommt es nämlich zur Einführung beziehungsweise Anwendung von technischen Einrichtungen, die dazu bestimmt oder geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, was bei HR-Cloud-Computing häufig der Fall ist, so hat der Betriebsrat gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) ein Mitbestimmungsrecht. Zudem zeigt die Erfahrung, dass Mitarbeiter wesentlich häufiger eine Datenverarbeitung akzeptieren, wenn das Konzept vom Betriebsrat mitgetragen wird. Dieser wird zuvor die Einschätzung des betrieblichen Datenschutzbeauftragten (DSB), zum Beispiel dessen Vorabkontrolle, verlangen und sich darauf stützen.
Die ab Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DS-GVO) enthält keine konkreten Regelungen oder Vorgaben zum Cloud Computing. Jedoch enthält sie einige Änderungen, die auch für das Cloud Computing Relevanz entfalten. So ist beispielsweise hinsichtlich der ADV neu, dass die Einhaltung technisch-organisatorischer Maßnahmen durch den Auftragnehmer zukünftig durch eine Zertifizierung nachgewiesen werden kann, was den Verwaltungs- und Dokumentationsaufwand reduziert. Zudem sieht die Verordnung im Vergleich zum BDSG auch empfindlichere Sanktionen bei Verstößen vor: Zukünftig können Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes verhängt werden.
Lösungen auf Rechtssicherheit prüfen
Angesichts der zuvor aufgezeigten rechtlichen Vorgaben in Bezug auf HR-Cloud-Computing ist ein sorgfältiges und umsichtiges Vorgehen in dieser Causa durch Personalabteilungen durchaus angebracht. Allerdings lässt sich der Einsatz von Cloud-Lösungen im Bereich HR rechtssicher gestalten, wenn die erwähnten rechtlichen Voraussetzungen sowie empfohlenen Praxishinweise beachtet werden. Durch die zunehmende Digitalisierung der Arbeitswelt und -prozesse, insbesondere der Einsatz von HR Big Data und HR Predictive Analytics-Instrumenten, wird sich auch die Personalabteilung zukünftig nicht dem Einsatz cloud-basierter Anwendungen entziehen können. Deswegen gilt es für HR-Verantwortliche bereits jetzt anzufangen, alle HR-relevanten Datenflüsse im Unternehmen zu ermitteln und auf Übertragbarkeit in Cloud-Lösungen zu überprüfen, um für die zu erwartenden einschneidenden Veränderungen in der Arbeitswelt vorbereitet zu sein und mithilfe effektiver Cloud-Konzepte flexibel auf künftige Anforderungen reagieren zu können.
