ArbG Lübeck: DSGVO-Schadensersatz bei Bildveröffentlichung auch ohne schwerwiegende Verletzung des Persönlichkeitsrechts möglich
13. Oktober 2019

(Cloudbasierte) HR-Software unter der DSGVO

Personalabteilungen müssen täglich eine Vielzahl von Mitarbeiterdaten im Blick behalten. Sei es wegen Krankmeldungen, Überstunden, Urlaubsgewährung oder Kündigungsfristen. Es überrascht deshalb wenig, dass immer mehr Personalreferenten, Personalabteilungen oder sonstige Mitarbeiter mit Personalverantwortung spezielle HR-Software einsetzen. Doch ist das auch datenschutzrechtlich zulässig? Dürfen die Daten in der Cloud gespeichert werden?

On Premise-Lösungen

Soweit die Software auf dem firmeneigenen Server („on premise“) betrieben und die Mitarbeiter auch dort gespeichert werden, richtet sich die datenschutzrechtliche Zulässigkeit nach § 26 Abs. 1 BDSG.

Hiernach darf der Arbeitgeber die Mitarbeiterdaten im Wesentlichen nur für Zwecke des Beschäftigungsverhältnisses (Begründung, Durchführung, Beendigung) verarbeiten. Dies wird in aller Regel der Fall sein. Es sollte jedoch darauf geachtet werden, dass – auch wenn die Software vielleicht weitere Möglichkeiten bietet – die Daten nur für diese Zwecke verarbeitet werden. Jede darüberhinausgehende Verarbeitung personenbezogener Daten würde einen Verstoß gegen den Grundsatz der Datenminimierung darstellen, Art. 5 Abs. 1 lit. c. DSGVO.

Praxistipp: Manche Arbeitgeber sind aufgrund falscher Ratschläge dazu übergegangen, sich für den Einsatz einer HR-Software eine Einwilligung des Arbeitnehmers einzuholen. Dies ist nicht nur unnötig, solange die Grenzen des § 26 Abs. 1 BDSG eingehalten werden. Vielmehr besteht bei einer Einwilligung sogar die Gefahr, dass sie entweder nicht „freiwillig“ im Sinne des § 26 Abs. 2 BDSG abgegeben wurde oder, dass die Einwilligung widerrufen wird. Der Einsatz der Software könnte dann auch schwerlich auf eine andere Rechtsgrundlage gestützt werden, da dies – jedenfalls nach Literaturansicht – als treuwidrig einzustufen wäre.

Notwendig wird eine Einwilligung jedoch etwa dann, wenn eine „Talent-Pool“-Funktion genutzt werden soll. Die Einwilligung muss dann den Anforderungen des § 26 Abs. 2 BDSG entsprechen. Die baden-württembergische Aufsichtsbehörde hat übrigens unlängst den Standpunkt vertreten, dass eine Einwilligung für einen „Talent-Pool“ nicht länger als 6 bis 12 Monate gelten kann.

Cloud-Lösungen

Wie sieht es aus, wenn die HR-Software nicht „on premise“, sondern in der Cloud betrieben oder jedenfalls die Personaldaten dort gespeichert werden sollen?

Der Einsatz einer cloudbasierten HR-Software, bei welcher Personaldaten durch den Dienstleister verarbeitet und gespeichert werden, stellt eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO dar. Es muss deshalb eine Auftragsverarbeitungsvereinbarung mit dem jeweiligen Anbieter abgeschlossen werden.

Mit Geltungsbeginn der DSGVO bestand in der Fachliteratur Uneinigkeit darüber, ob die Datenweitergabe an einen Auftragsverarbeiter einer eigenständigen Rechtsgrundlage bedarf.

Bejaht man diese Frage, wäre zu überlegen, ob die Datenweitergabe an den Cloud-Anbieter für das Beschäftigungsverhältnis erforderlich ist. Ein Abstellen auf „berechtigte Interessen“ im Sinne des Art. 6 Abs. 1 lit. f DSGVO dürfte aufgrund der Besonderheiten des Beschäftigtendatenschutzes wohl ausgeschlossen sein. Ggf. wäre dann tatsächlich eine Einwilligung erforderlich – jedoch mit den oben geschilderten Nachteilen.

Die gegenteilige – und auch vorzugswürdige – Ansicht wird inzwischen von der Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder vertreten. Unter Hinweis auf das Working Paper 169 S. 17 f. vertreten die deutschen Datenschutzaufsichtsbehörden den Standpunkt, dass im Falle einer Auftragsverarbeitung gem. Art. 28 DSGVO keine weitere Rechtsgrundlage notwendig ist. Folglich kann der (datensparsame) Einsatz einer Cloud-HR-Software auf § 26 Abs. 1 BDSG gestützt werden – ohne, dass es wegen der Cloud-Lösung einer zusätzlichen Einwilligung (oder einer anderen Rechtsgrundlage) bedarf.

Anforderungen an den Cloud-Anbieter

Wie bei jeder Auftragsverarbeitung muss zwischen dem Verantwortlichen (Arbeitgeber) und dem Auftragsverarbeiter (Cloud-Anbieter) eine Auftragsverarbeitungsvereinbarung im Sinne des Art. 28 DSGVO abgeschlossen werden. Gem. Art. 28 Abs. 1 DSGVO dürfen grundsätzlich nur solche Dienstleister als Auftragsverarbeiter eingesetzt werden, welche hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO steht. Da bei Beschäftigungsverhältnissen auch „besondere Kategorien personenbezogener Daten“ im Sinne des Art. 9 DSGVO verarbeitet werden, sind Arbeitgeber darüber hinaus verpflichtet, gem. § 26 Abs. 3 S. 3 BDSG auch den noch strengeren Anforderungen des § 22 Abs. 2 BDSG gerecht zu werden.

Schließlich sei darauf hingewiesen, dass den Anforderungen der Art. 44 ff. DSGVO entsprochen werden muss, sollte der Datenaustausch über die Grenzen der Europäischen Union hinaus gehen.

Folgen des Einsatzes einer Cloud-HR-Software

Entscheidet sich ein Arbeitgeber dazu, eine cloudbasierte HR-Software einzusetzen, ist daran zu denken, die Mitarbeiterdatenschutzerklärungen gem. Art. 13 Abs. 1 lit. e DSGVO und das Verzeichnis über die Verarbeitungstätigkeit gem. Art. 30 Abs. 1 lit. d DSGVO entsprechend zu ergänzen. In jedem Fall sollte der interne/externe Datenschutzbeauftragte hinzugezogen werden, insbesondere wegen der sachgerechten und datensparsamen Einstellung der einzusetzenden Software.

Christopher Schack
Christopher Schack
Dieser Artikel wurde verfasst von Christopher Schack. Er ist Rechtsanwalt, Fachanwalt für IT-Recht sowie TÜV-zertifizierter Datenschutzbeauftragter.