Die Diskussion über den Schutz von Beschäftigtendaten konzentrierte sich über viele Jahre auf klassische Formen der Überwachung wie Videosysteme, die Überwachung der elektronischen Kommunikation oder die Kontrolle der Internetnutzung. Die aktuellsten Risiken des digitalen Arbeitsplatzes verlagern sich heute jedoch in eine weniger sichtbare Ebene. Daten, die der Arbeitgeber im Rahmen des gewöhnlichen Betriebs von Informationssystemen erhebt, werden zunehmend als Grundlage für Entscheidungen über einzelne Beschäftigte verwendet. Diese Entwicklung wird als sogenannter Function Creep bezeichnet und stellt eine der wesentlichen Herausforderungen der gegenwärtigen Anwendung der DSGVO im arbeitsrechtlichen Umfeld dar.
Betriebsdaten als versteckte Beschäftigtendaten
Moderne Arbeitsumgebungen generieren eine umfangreiche Menge an Daten, die primär nicht dem Personalmanagement dienen. Aufzeichnungen aus Ticketing- und CRM-Systemen, Protokolle aus DLP- und Sicherheitstools, Metadaten aus Kommunikationsplattformen oder Daten aus Planungs- und Projektanwendungen entstehen zu Zwecken der IT-Sicherheit, Abrechnung, Arbeitsorganisation oder Qualitätskontrolle. Solange sie innerhalb der Grenzen des ursprünglich festgelegten Zwecks und in aggregierter Form verarbeitet werden, handelt es sich in der Regel um eine Verarbeitung mit einem abgegrenzten und kontrollierbaren Risiko.
Die rechtliche Natur dieser Daten verändert sich jedoch grundlegend in dem Moment, in dem der Arbeitgeber beginnt, sie einer konkreten beschäftigten Person zuzuordnen und zur Bewertung ihrer Leistung, ihres Verhaltens oder ihrer „Risikobehaftung“ zu verwenden. Auch wenn die Daten selbst unverändert bleiben, kann es sich aus Sicht der DSGVO um eine Weiterverarbeitung für einen neuen Zweck handeln, die eine Vereinbarkeitsprüfung gemäß Artikel 6 Absatz 4 DSGVO und gegebenenfalls die Identifizierung einer eigenständigen Rechtsgrundlage erfordert.
Der Grundsatz der Zweckbindung als Kern des Problems
Nach Artikel 5 Absatz 1 Buchstabe b DSGVO dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden (mit Ausnahme der Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1 DSGVO). Die von der DSGVO vorausgesetzte Vereinbarkeitsprüfung ist dabei strenger, als sie in der Praxis häufig interpretiert wird. Sie berücksichtigt insbesondere den Zusammenhang zwischen dem ursprünglichen und dem neuen Zweck, den Kontext der Datenerhebung, die Art der verarbeiteten Daten, die möglichen Folgen für die betroffene Person sowie das Vorhandensein angemessener Garantien.
Die Nutzung von Betriebsdaten zur Leistungsbewertung, zur disziplinarischen Beurteilung oder zur Identifizierung von Beschäftigten mit unzureichenden Ergebnissen wird die Voraussetzungen der Vereinbarkeit in der Regel nicht erfüllen. Der neue Zweck kann für die beschäftigte Person erheblichere Folgen haben als die ursprünglich vorgesehene Verarbeitung, da er unmittelbar in ihre arbeitsrechtliche Stellung eingreift. Gerade in diesen Fällen wird der Grundsatz der Zweckbindung von einer formalen Anforderung zu einer materiellen Schranke der Weiterverarbeitung.
Rechtsgrundlage und Transparenz bei einer Zweckänderung
Ist der neue Zweck mit dem ursprünglichen Verarbeitungszweck nicht vereinbar, muss der Arbeitgeber eine eigenständige Rechtsgrundlage für eine solche Verarbeitung identifizieren. Der Umstand, dass Daten beispielsweise auf Grundlage eines berechtigten Interesses an der Sicherstellung der IT-Infrastruktur rechtmäßig erhoben wurden, bedeutet nicht, dass dieselbe Rechtsgrundlage auch deren Nutzung zu Bewertungs- oder Disziplinarzwecken abdeckt. Bei Verarbeitungen, die die arbeitsrechtliche Stellung der beschäftigten Person unmittelbar beeinflussen, ist die Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DSGVO besonders anspruchsvoll und erfordert eine eigenständige, im Voraus dokumentierte Analyse. Die Einwilligung der beschäftigten Person wird aufgrund des strukturellen Ungleichgewichts zwischen den Parteien des Arbeitsverhältnisses in der Regel nicht als wirksame Rechtsgrundlage Bestand haben.
Mit der Rechtsgrundlage eng verbunden ist die Anforderung der Transparenz. Die Information, dass ein Unternehmen ein bestimmtes Instrument verwendet, reicht nicht aus, wenn die daraus gewonnenen Daten später auf eine Weise genutzt werden, die die beschäftigte Person vernünftigerweise nicht vorhersehen konnte. Der arbeitsrechtliche Kontext erfordert besondere Aufmerksamkeit bei der Erfüllung der Informationspflichten, insbesondere angesichts des Ungleichgewichts zwischen Arbeitgeber und Beschäftigtem. Eine stille Zweckänderung, die nicht von einer erneuten Information begleitet wird, stellt ein typisches Beispiel für ein systemisches Versagen dar, das von Aufsichtsbehörden als Verstoß gegen die grundlegenden Verarbeitungsgrundsätze bewertet wird.
Kumulativer Effekt und Risiko des Profilings
Function Creep gewinnt besondere Bedeutung in dem Moment, in dem Betriebsdaten aus verschiedenen Systemen miteinander kombiniert werden. Selbst Daten, die für sich genommen unbedenklich sind, können in ihrer Gesamtheit ein detailliertes Bild der Leistungsfähigkeit, der Arbeitsgewohnheiten und des Verhaltens einer konkreten beschäftigten Person erzeugen. Eine solche Verarbeitung erfüllt in der Regel die Merkmale des Profilings gemäß Artikel 4 Nummer 4 DSGVO, da sie der Bewertung persönlicher Aspekte einer natürlichen Person dient.
Die systematische Bewertung von Beschäftigten in Verbindung mit der Erstellung von Profilen gehört gemäß den von der EDPB übernommenen Leitlinien der WP29 zu den Verarbeitungen mit hohem Risiko, die die Durchführung einer Datenschutz-Folgenabschätzung erfordern. Wird ein solches Profiling ausschließlich auf automatisierte Weise durchgeführt und mit Entscheidungen über Vergütung, Beförderung oder Beendigung des Arbeitsverhältnisses verknüpft, fällt es in den Anwendungsbereich des Artikels 22 DSGVO und unterliegt dessen strenger Regelung. Der Umstand, dass das Profil aus Daten entstanden ist, die ursprünglich für einen völlig anderen Zweck erhoben wurden, entbindet den Arbeitgeber nicht von seiner Verantwortung, sondern unterstreicht vielmehr den risikobehafteten Charakter der Verarbeitung.
Schlussfolgerung
Function Creep stellt eine der am wenigsten sichtbaren, zugleich jedoch am weitesten verbreiteten Risikoquellen im Bereich des Schutzes von Beschäftigtendaten dar. Im Gegensatz zur klassischen Überwachung entsteht er nicht im Zeitpunkt der Einführung eines Instruments, sondern schrittweise – im täglichen Betrieb und außerhalb formalisierter Entscheidungsprozesse. Gerade deshalb entzieht er sich der Aufmerksamkeit von Verzeichnissen von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und Informationspflichten.
Die Zweckdisziplin wird in diesem Zusammenhang zu einer zentralen Kategorie. Die Tatsache, dass ein Arbeitgeber bestimmte Daten rechtmäßig erhoben hat, begründet nicht sein Recht, diese für jeden beliebigen anderen Zweck zu verwenden. Die sekundäre Nutzung von Betriebsdaten für HR-Zwecke erfordert eine eigenständige Prüfung der Vereinbarkeit, der Rechtsgrundlage, der Transparenz sowie des Profilierungsrisikos. Ohne diesen Schritt werden gewöhnliche Betriebssysteme zu einer Verarbeitungsinfrastruktur, die einer ersten Prüfung durch die Aufsichtsbehörde kaum standhalten wird.
Kinstellar, s. r. o.
Kinstellar ist eine der führenden europäischen Wirtschaftskanzleien mit mehr als 500 Professionals in Deutschland, Europa und den USA. Mit Lösungen für komplexe und anspruchsvolle rechtliche Fragestellungen schaffen wir einen echten Mehrwert für unsere Mandanten. Das Besondere an Kinstellar ist die Verbindung einer breiten fachlichen Exzellenz mit innovativem Denken, internationaler Erfahrung und Industrieexpertise. Auf unseren Rat vertrauen börsennotierte und multinationale Konzerne, große und mittelständische Familienunternehmen ebenso wie Finanzinstitute und internationale Investoren.
Im Austausch mit unseren Mandanten entwickeln wir die passenden Antworten auf alle Fragen des Wirtschaftsrechts einschließlich Gesellschaftsrecht, Mergers & Acquisitions, Wettbewerbs- und Kartellrecht, Bank- und Kapitalmarktrecht, Unternehmensfinanzierung, IP, IT-Recht, Telekommunikationsrecht, Vertriebsrecht, Immobilienrecht, Arbeitsrecht, Insolvenzrecht, Umweltrecht und Prozessvertretung. Darüber hinaus bietet das Team in Bratislava umfassende Unterstützung bei der Strukturierung und Finanzierung von Investitionsvorhaben.
