Die rechtlichen Stolperfallen von Big Data

Big Data ist ein Thema, das mehr und mehr auch für HR interessant wird. Aber noch deutlicher als es beispielsweise im Marketing oder Vertreib der Fall ist, lauern im Personalmanagement viele Fallstricke – vor allem dann, wenn es um personenbezogene Daten geht.

Big Data ist Sinnbild für den kontinuierlichen Wandel und die immer neu heranwachsenden Anforderungen des Datenschutzes. Die Herausforderung bei Big Data besteht für Unternehmen darin, eine enorme Menge unterschiedlicher Daten aus unterschiedlichen Quellen möglichst präzise auszuwerten, so dass sich hierauf unternehmerische Entscheidungen stützen lassen.

In Zeiten des Fachkräftemangels liegt die große Chance von Big Data im HR-Bereich vor allem in „Talent Analytics“, beispielsweise bei der Frage, anhand welcher Daten erkannt werden kann, ob Mitarbeiter im eigenen Unternehmen vorhanden sind, die auf freien Stellen gewinnbringend eingesetzt werden können, ohne dass zusätzliche Recruiting-Kosten entstehen. Freilich muss das Big-Data Konzept das geltende Datenschutzrecht achten.

Verhindert das Prinzip der Zweckbindung „Big Data“?

Im Bundesdatenschutzgesetz (BDSG) gilt das Prinzip des Verbots mit Erlaubnisvorbehalt (§ 4 BDSG), wonach die Verarbeitung personenbezogener Daten nur dann zulässig ist, soweit ein Erlaubnistatbestand (zum Beispiel eine Vorschrift im BDSG, eine Betriebsvereinbarung oder die Einwilligung des Betroffenen) vorliegt. Ausdrücklich erlaubt das BDSG Big Data jedoch nicht. Vielmehr scheint Big Data dem datenschutzrechtlichen Prinzip der Zweckbindung (§§ 28, 32 BDSG) diametral entgegenzustehen, wonach personenbezogene Daten nur für denjenigen Zweck verwendet werden dürfen, für den sie erhoben wurden.

Diese Bedenken wird man zumindest bis zum Inkrafttreten der EU-Datenschutz-Grundverordnung nicht so einfach vom Tisch wischen können. Allerdings könnte sich dies durch die Grundverordnung ändern, sieht doch deren neuer Entwurf (DS-GVO-E) Erleichterungen in dieser Hinsicht vor. Danach sollen personenbezogene Daten auch für andere Zwecke als dem ursprünglichen Zweck der Datenerhebung verarbeitet werden dürfen, sofern ein sonstiger Rechtfertigungsgrund, beispielsweise eine Einwilligung der Betroffenen oder eine vertragliche Grundlage, existiert.

Einwilligung der Betroffenen kaum geeignetes Mittel

In der Praxis zeigt sich, dass eine vertragliche Grundlage, zum Beispiel eine Betriebsvereinbarung über die Datennutzung beziehungsweise -verarbeitung, ein valides und praxistaugliches Mittel für den Einsatz von Big Data ist. Im Gegensatz dazu stellen Datenschutzbehörden in Frage, ob eine Einwilligung eines einzelnen Mitarbeiters im Rahmen eines Arbeitsverhältnisses überhaupt als Rechtfertigungsgrundlage für die Datenverarbeitung taugt. Daher ist von einer individuellen Einwilligungslösung – wenn möglich – abzusehen. Zudem verlangt eine wirksame Einwilligung, dass der Betroffene vor Abgabe seiner Einwilligung konkret über Art, Umfang und Zweck der Datenverarbeitung informiert wird, was bei Big Data naturgemäß zu Problemen führt.

Anders ist dies, soweit im Wege von Big Data auch Informationen von Dritten – also zum Beispiel potenziellen Bewerbern – gesammelt werden sollen. Nach derzeit geltendem Recht ist in diesem Fall die Einwilligung des Betroffenen unumgänglich, um eine rechtskonforme Datenverarbeitung zu gewährleisten.

Datennutzung aus sozialen Netzwerken zulässig?

Bezüglich der Recherche in sozialen Medien ist generell nach der Zugänglichkeit der Daten sowie der Orientierung des Netzwerks zu differenzieren. Die Erhebung von Bewerberdaten über Netzwerke mit privatem Nutzungscharakter (zum Beispiel Facebook) ist nach deutschem Datenschutzrecht grundsätzlich unzulässig, da die Informationen nicht allgemein zugänglich sind, das heißt das Netzwerk für den privaten Austausch genutzt wird.

Bei berufsorientierten Netzwerken wie Xing stellt der Nutzer seine Daten zwar ebenfalls nicht für jedermann zur Verfügung, jedoch wollen sich Nutzer auf solchen Netzwerken regelmäßig potenziellen Arbeitgebern präsentieren. Es überwiegt daher der berufsorientierte Austausch, so dass eine Datenerhebung in diesem Fall grundsätzlich zulässig ist. Entsprechendes gilt für öffentlich zugängliche, das heißt ohne vorherige Anmeldung beziehungsweise Registrierung nutzbare Foren und Blogs.

Handlungsempfehlungen für HR

Die Herausforderung bei einer gesetzeskonformen Umsetzung von Big Data besteht darin, Umfang und Zweck der Datenanalysen so transparent, ausführlich und verständlich wie möglich abzubilden. Insbesondere im Hinblick auf die Herausforderungen, welche die Einführung der EU-Datenschutz-Grundverordnung mit sich bringen wird, gilt es für HR-Verantwortliche bereits jetzt anzufangen, alle HR-relevanten Datenflüsse im Unternehmen zu ermitteln und datenschutzkonform auszugestalten.