Es gibt aktuell wohl kaum spannendere Themen an der Schnittstelle zwischen Datenschutzrecht und Arbeitsrecht als die Frage nach der Zulässigkeit von Big Data-Analyse im Personalmanagement. Gerade dort bietet die moderne Datenwirtschaft zahlreiche Anwendungsfelder, ist doch Human Ressource geprägt von Politik, Emotionen, Mythen und Bauchgefühl, demgegenüber sind Zahlen, Scores und sonstige Daten von einer „Aura der Objektivität und Fairness“ umgeben. Passend zu den diesbezüglichen Rechtsfragen ist 2020 das zu rezensierende Werk „Big Data im Personalmanagement“ im Nomos Verlag erschienen.

Die vorliegende Arbeit wurde im Sommersemester 2020 an der Universität Regensburg als Dissertation angenommen. Inhaltlich befindet sie sich auf dem Stand von November 2019. Doktorvater war Prof. Dr. Maschmann, der auch im renommierten Kühling/Buchner-Kommentar zur Datenschutz-Grundverordnung (DSGVO) und zum Bundesdatenschutzgesetz (BDSG) die arbeitsrechtlich relevanten Art 88 DSGVO und § 26 BDSG kommentierte.

Das zu besprechende Werk gliedert sich in fünf Teile: Nach einer kurzen Einführung (erster Teil) wird im zweiten Teil der Untersuchungsgegenstand, sprich die Anwendungsformen und -möglichkeiten von Big Data im Personalwesen, beschrieben. Diese Ausführungen stellen die Ausgangslage für die in den folgenden Teilen stattfindende rechtliche Beurteilung dar. Im dritten Teil werden die spezifischen Fragestellungen von Big Data und dem Datenschutzrecht umfangreich dargestellt. Im vierten Teil werden Fragen der betrieblichen Mitbestimmung nachgezeichnet, bevor abschließend im fünften Teil dem Leser eine Zusammenfassung der wesentlichen Ergebnisse präsentiert wird.

Big Data-Anwendungen sind in der Praxis sehr heterogen. Dies betrifft einerseits die technologische Vielfalt, andererseits deren Einsatzzwecke. Aus diesem Grund basiert die vorliegende Untersuchung auf drei – im zweiten Teil – erläuterten exemplarischen Anwendungsfeldern im Bereich des Personalmanagements: 1. Recruiting („find“), 2. Mitarbeiterförderung („grow“) und 3. Mitarbeiterbindung („keep“). Auf Basis dieser Anwendungsfelder findet anschließend die datenschutzrechtliche und arbeitsverfassungsrechtliche Prüfung statt.

Die Auswahl der Anwendungsfelder scheint auf den ersten Blick nachvollziehbar, spätestens bei der Lektüre fragt sich der Leser allerdings des Öfteren, warum der wohl wichtigste Themenblock, nämlich jener zu Big Data-Analysen zur Beendigung von Arbeitsverhältnissen („quit“), gänzlich ausgespart wird. Lediglich an wenigen Stellen wird dieses Thema überhaupt angesprochen, etwa wenn ausgeführt wird, dass im Rahmen der Anwendungsbereiche „grow“ und „keep“ auch Erkenntnisse zu „Low-Performern“ ermittelt werden und derartige Informationen sensibel seien. Zwar sei es den AG nicht verboten, Daten über die Arbeitsleistung seiner Mitarbeiter zu erheben, doch entspräche es nicht den eigentlichen Analysezwecken von „grow“ und „keep“ (S 111 f). Dass die Informationen zu Low-Performern dazu genutzt werden könnten, deren Arbeitsverhältnisse zu beenden, ist naheliegend. Damit verbundene datenschutz- oder arbeitsrechtliche Fragen werden aber gar nicht erst angesprochen.

Entsprechend des datenschutzrechtlichen Prüfschemas schränken datenschutzrechtliche Bestimmungen 88 Big Data-Anwendungen nur dann ein, wenn personenbezogene Daten verarbeitet werden. Nachdem Götz konzise die Judikatur und Literatur zur Frage aufbereitet, unter welchen Voraussetzungen personenbezogene Daten iSd DSGVO vorliegen, werden verschiedene Anonymisierungstechniken (Generalisierung, Randomisierung etc) und die damit verbundenen Risiken erläutert (S 75-86). Besonders spannend sind dabei die Ausführungen zur analysierenden Wirkung der Pseudonymisierung. Dieser Fall kann dann argumentiert werden, wenn der Verantwortliche außer der Anwendung der Zuordnungsregel kein anderes Mittel zur Identifizierung der Betroffenen besitzt, die Zuordnungsregel einem Dritten überträgt und es ihm gelingt, sich selbst jegliche rechtlichen oder tatsächlichen Mittel zur Einholung der Zuordnungsregel zu verwehren. Gleichwohl wird aber darauf hingewiesen, dass die überwiegende Literatur auch in diesen Fällen davon ausgeht, dass pseudonyme Daten personenbezogene und keine anonymen Daten darstellen (S 83 ff).

Wie Götz zusammenfassend ausführt, können Big Data-Analysen im Personalwesen kaum außerhalb des Anwendungsbereichs der DSGVO stattfinden. Häufig kommen Anonymisierungsmaßnahmen nicht infrage, da sie den Datenanalysezweck vereiteln würden. So bestehen beim Recruiting kaum Anwendungsfelder ohne Personenbezug, weil es wenig hilft, wenn Big Data-Anwendungen anonymisierte Interessenten ausspucken (S 88 f). Lediglich in Ausnahmefällen bieten Anonymisierungstechniken Möglichkeiten, Verarbeitungen außerhalb datenschutzrechtlicher Bestimmungen durchzuführen, ohne den Verarbeitungszweck zu gefährden. Darüber hinaus darf, wie Götz richtig ausführt, nicht vergessen werden, dass es sich selbst bei Anonymisierungsvorgängen um erlaubnispflichtige Datenverarbeitungsvorgänge im Anwendungsbereich der DSGVO handelt (S 93).

Zutreffend führt Götz aus, dass der Anonymisierung und Pseudonymisierung dennoch eine bedeutende Rolle zukommt, weil es ein datenschutzrechtliches Vehikel für heikle Datenverarbeitungsvorgänge darstellen kann. Diese Methoden sind nämlich in der Abwägung zwischen Eingriffsintensität und Verarbeitungsinteresse positiv zu berücksichtigen. Gleiches gilt für den Kompatibilitätstest nach Art 6 Abs 4 lit e DSGVO bei zweckändernden Verarbeitungsvorgängen (S 86).

Ein wesentlicher Teil der vorliegenden Arbeit behandelt die datenschutzrechtliche Rechtmäßigkeit von Big Data-Anwendungen im Personalbereich. Abhängig vom jeweiligen Zweck der Verarbeitung sind unterschiedliche Rechtmäßigkeitstatbestände denkbar. Dabei ist zunächst an die Einwilligung der Betroffenen zu denken. Besonders problematisch sind für den Rechtmäßigkeitstatbestand der Einwilligung die hohen Anforderungen an die Freiwilligkeit sowie der jederzeit mögliche begründungslose Widerruf. Im Ergebnis kommt Götz dazu, dass die Relevanz der Einwilligung je nach untersuchtem Anwendungsfeld unterschiedlich ausfällt. Gerade im Recruiting („find“) und im Bereich der Mitarbeiterförderung („grow“) scheint die Einwilligung als Rechtmäßigkeitstatbestand regelmäßig auszuscheiden. Allenfalls kann die Rolle der Einwilligung etwa bei Fluktuationsanalysen im Bereich der Mitarbeiterbindung eine Rolle spielen. Dort sind bei datenschutzfreundlichen Einstellungen keine Nachteile für Betroffene zu befürchten, weshalb Freiwilligkeit gegeben sein kann (S 55 ff). Insgesamt verbleibt für die Einwilligung lediglich in eher belanglosen Szenarien ein eigenständiger Anwendungsbereich, bei denen andere Erlaubnistatbestände nicht argumentiert werden können (S 53).

Neben der Einwilligung und dem überwiegenden berechtigten Interesse (Art 6 Abs 1 lit f DSGVO) gibt es in Deutschland im Vergleich zu Österreich die datenschutzrechtliche Sonderbestimmung des § 26 BDSG, wonach Verarbeitungen personenbezogener Daten zulässig sind, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung [...] erforderlich ist. Dabei handelt es sich um eine Konkretisierung des Art 88 DSGVO. Aufgrund der zusätzlichen Option ist das Prüfschema der Rechtmäßigkeit bezüglich der Verarbeitung personenbezogener Mitarbeiterdaten in Deutschland etwas anders, weil der Tatbestand des berechtigten Interesses gem Art 6 Abs 1 lit f DSGVO nur dort Anwendung findet, wo der Analysezweck nicht der Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses dient (so ausdrücklich S 61). Die diesbezüglichen Ausführungen von Götz zu den Abwägungen der Erforderlichkeit einer Verarbeitung gem § 26 BDSG (siehe unten) können aber freilich auch für Österreich übernommen werden, wenngleich österreichische Verantwortliche sich überwiegend auf Art 6 Abs 1 lit f DSGVO stützen müssen.

Darüber hinaus können auch Kollektivvereinbarungen gem Art 88 Abs 1 DSGVO einen Rechtmäßigkeitstatbestand bilden. Zutreffend führt Götz aus, dass Kollektivvereinbarungen allerdings weder positiv noch negativ vom Schutzniveau der DSGVO abweichen dürfen. Ihre Aufgabe ist es nicht, Datenschutzrecht zu schaffen, sondern zu präzisieren und damit für die nötige Rechtssicherheit im betrieblichen Umgang zu sorgen (S 18, 59).

Einen längeren Abschnitt widmet Götz in Zusammenhang mit der Rechtmäßigkeit einer Verarbeitung den datenschutzrechtlichen Abwägungsfragen. Wie er richtig ausführt, geht es im Grunde genommen bei allen beschäftigungsdatenschutzrechtlichen Erlaubnistatbeständen stets um dieselbe Abwägungsfrage: Das Informationsinteresse des AG muss im Einzelfall stärker zu gewichten sein als das Schutzbedürfnis des Beschäftigten. Dies gilt nicht nur für die klassische Interessenabwägung des Art 6 Abs 1 lit f DSGVO, sondern auch für den deutschen Rechtmäßigkeitstatbestand nach § 26 Abs 1 Satz 1 BDSG. Dort findet dieselbe Interessenabwägung beim Kriterium der Erforderlichkeit statt, schließlich kann nur so eine unionsrechtskonforme Auslegung gelingen. Der Maßstab dieser Interessengewichtung ist überdies auch bei Kollektivvereinbarungen als Erlaubnistatbestand (Art 88 DSGVO) maßgeblich. Diese dürfen nämlich lediglich spezifischere Verarbeitungsmodalitäten regeln, aber nicht vom Schutzniveau der DSGVO abweichen. Lediglich die Einwilligung fällt (zum Teil) aus diesem Raster: Stimmt der Beschäftigte der Datenverarbeitung zu, so kann er nicht mehr vortragen, in seinem Recht auf Datenschutz verletzt zu sein, hat er doch selbst über die Datenverarbeitung bestimmt. Daher ist 89 bei der Einwilligung auch nicht die Abwägung zwischen Verarbeitungs- und Geheimhaltungsinteresse entscheidend, sondern die Frage, ob die Zustimmung freiwillig und informierterweise erfolgte (S 94). Völlig zutreffend schränkt Götz ein, dass auch die Einwilligung nicht legitimieren kann, was dem AG nach den Grundsätzen des Persönlichkeitsschutzes an Informationen verwehrt bleiben soll (zB Informationen der Intimsphäre der AN, siehe sogleich). Diese Grundzüge bestimmen sich aber wiederum nach der in Rede stehenden Interessenabwägung (S 55, 94 f ).

Für diese Abwägungsfragen entwickelt Götz in seinem Werk Hilfestellungen. Zunächst verweist Götz darauf, dass die etablierten Grundsätze zum Fragerecht des AG (gerade im Bereich „find“) als Maßstab der datenschutzrechtlichen Interessenabwägungen dienen können: Erforderlich sei stets ein sachlicher Kontext zu den Rechten und Pflichten des AN aus dem Arbeitsverhältnis. Das Recht billige den Zugang zu Informationen immer dann, wenn der Anspruchsteller ein sachbezogenes berechtigtes Interesse nachweisen kann. Nichts anderes bringe das Fragerecht zum Ausdruck: Dasjenige, was der AG zur Planung und Organisation der Arbeit und damit zur Ausübung seines Gewerbebetriebes benötigt, darf er an Informationen beschaffen. Der AG habe aber kein berechtigtes Interesse daran, die Teamfähigkeit eines Bewerbers oder Angestellten in Erfahrung zu bringen, wenn der Betroffene überhaupt nicht in ein Team integriert ist oder werden soll (S 96).

Als weiteren Maßstab verwendet Götz die zum allgemeinen Persönlichkeitsrecht entwickelte Sphärentheorie. Nach der Sphärentheorie werden Persönlichkeitsrechte in drei Sphären eingeteilt: Intimsphäre, Privatsphäre und Sozialsphäre. Demnach ist nicht nur die sachliche Nähe des begehrten Datums zum beabsichtigten Verarbeitungszweck bei der Interessenabwägung entscheidend, sondern auch die Sensibilität der Information. Je persönlicher diese nun sei, desto weniger könne der Verantwortliche ein berechtigtes Interesse daran geltend machen (S 102). Informationen zur inneren Gefühlslage von Beschäftigten oder deren Ängste gehören überhaupt zur Intimsphäre, an dessen Ermittlung der AG unabhängig eines etwaigen Sachbezugs kein berechtigtes Interesse haben könne (S 101 ff).

Und schließlich ist nach Götz die Menge der zu analysierenden Charakteristika einer Person von Bedeutung. Werden nahezu vollständige Profile angelegt, die Betroffene zu Beurteilungsobjekten degradieren und jedes individuelle Personalgespräch obsolet machen, so verstößt die Verarbeitung in jedem Fall gegen das Datenschutzrecht (S 103). Darüber hinaus dürfe die Datenverarbeitung des AG nicht zu einer Totalüberwachung führen. Das berechtigte Interesse an der Leistungsbeurteilung von AN überwiege nämlich dann nicht mehr, wenn Mess- und Bewertungsverfahren im Arbeitsalltag so omnipräsent sind, dass sich daraus für die AN ein Überwachungsdruck und Anpassungszwang ergibt. Unzulässig seien daher Datenerhebungen, die nicht nur stichprobenartig, sondern ständig und dauerhaft erfolgen (Verbot der Persönlichkeitsausleuchtung, S 102 f). Richtigerweise kann selbst die Einwilligung keine Totalüberwachung oder Persönlichkeitsausleuchtung legitimieren (S 108 f).

(Zu) Wenig geht Götz in diesem Zusammenhang auf die schon in der DSGVO vorgesehenen Abwägungskriterien ein, wie zB die Einbeziehung der vernünftigen Erwartungen der Betroffenen oder ihre Beziehung zum Verantwortlichen (vgl ErwGr 47 zur DSGVO).

Auf diesen oben dargestellten Erkenntnissen beruhend präsentiert Götz auch Lösungsansätze für einen datenschutzkonformen Einsatz moderner Big Data-Analysen im Personalbereich. Zunächst plädiert Götz dafür, zeitliche und sachliche Begrenzungen der Analyse vorzunehmen. Datenverarbeitungen seien nur dort zulässig, wo ein ausreichender sachlicher Konnex besteht. Darüber hinaus müssen Analysen zeitlich begrenzt sein, auch wenn der Erkenntniswert umso größer sei, je lückenloser Daten erfasst werden (S 109). Eine weitere Stellschraube könne sein, ob sich die Untersuchungsergebnisse auf individuelle Personen oder Gruppen beziehen. Die Absenkung der Identifizierungswahrscheinlichkeit bedeute eine Verringerung in der datenschutzrechtlichen Eingriffsintensität und ist deshalb im Rahmen der Interessenabwägung positiv zu berücksichtigen (S 110 f).

Zuletzt schlägt Götz die technische und organisatorische Maßnahme der informationellen Gewaltenteilung als datenschutzrechtliches Vehikel vor. Dabei handelt es sich um ein datenschutzrechtliches Konzept, bei dem eine Trennung der Datenverarbeitung und der daraus resultierenden Ergebnisnutzung etabliert wird. Dabei fungiert der Auftragsverarbeiter (aber wohl auch ein gemeinsamer Verantwortlicher) als eine Art Filter. Dieser entscheidet anhand von festgelegten Datenschutzkriterien, welche beispielsweise in einer BV definiert werden können, welche Analyseerkenntnisse er dem AG mitteilt und welche nicht. Derartige Modelle werden in anderen Zusammenhängen bereits seit langem praktiziert, etwa bei betriebsärztlichen Untersuchungen, wo dem AG lediglich Informationen der Arbeitsunfähigkeit zukommen, nicht jedoch die Gesundheitsdaten über die Art der konkreten Erkrankung (S 92). Damit könnte sich das Analyseergebnis einerseits auf den essentiellen Teil des Verarbeitungszwecks reduzieren und gleichzeitig würde die Analyse ihren Überwachungscharakter verlieren (S 112).

Zu wenig Berücksichtigung in der Beurteilung finden mE Risiken, die sich aus der Natur von Big Data-Analysen ergeben. Big Data-Analysen zeigen nämlich (lediglich) Korrelationen, keine Kausalitäten auf. Zudem werden bei Big Data-Analysen ausschließlich Wahrscheinlichkeiten (etwa im Rahmen von Prognosen) berechnet (siehe nur Warter, Persönlichkeitsrechte und Datenschutz [inkl Big-Data-Analysen] im Arbeitsverhältnis, DRdA 2022/1a, 182 f mwN). Bringen Analysen daher zweifelhafte, nicht nachprüfbare oder schlicht unrealistische Werte zutage, so verstößt der Verantwortliche jedenfalls gegen den Richtigkeitsgrundsatz der DSGVO (S 99). Diese Risiken müssen mE aber bereits auf Ebene der Rechtmäßigkeit ausreichend berücksichtigt werden. Einzubeziehen ist zudem, dass für betroffene AN die Entkräftung von auf Wahrscheinlichkeiten und Korrelationen basierenden Ergebnissen problematisch ist. Während die Entkräftung von „hard facts“ zumindest vorstellbar erscheint, ist dies bei „soft facts“ in aller Regel nicht möglich. Während etwa Ergebnisse zum fehlenden Vorliegen von Fremdsprachenkenntnissen durch entsprechende Nachweise 90 entkräftet werden können, ist die Beweisführung bei Ergebnissen, wonach bestimmte AN eine emotionale Distanz zum AG aufweisen, kaum möglich. Darüber hinaus wird den AN damit häufig auch die Beweislast für Fehler der oft wenig durchschaubaren Informationstechnologien aufgebürdet (vgl Warter, DRdA 2022/1a, 183). Auch das Thema potenzieller Diskriminierungen etwa im Bewerbungsverfahren wird lediglich kurz angesprochen (vgl S 98).

Eine große datenschutzrechtliche Hürde beim Einsatz von Big Data-Technologien ist der Zweckbindungsgrundsatz. Demnach dürfen personenbezogene Daten nur für (im Vorhinein) festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Dies betrifft zunächst die Problematik der Vorratsdatenspeicherung, weshalb Götz richtig ausführt, dass das Anlegen von Datenpools (Data Warehouse), um später aus einem breiten Fundus schöpfen zu können, unzulässig ist (Verbot der Vorratsdatenspeicherung). Auch die Verschlüsselung hilft in diesen Fällen nicht, weshalb für Data Warehouses als rechtskonforme Lösung lediglich die Anonymisierung verbleibt. Allerdings wird ein anonymes Data Warehouse für personenstrategische Analysen häufig ungeeignet sein (S 138). Wird die Verarbeitung technisch anders aufgesetzt, in dem eine dezentrale Datenhaltung verbleibt und lediglich im Anlassfall zielgerichtet auf einzelne Datenquellen zugegriffen wird, besteht dieses „Vorratsdatenproblem“ nicht (S 139). In diesen Konstellationen verbleibt lediglich das Problem der zweckändernden Weiterverarbeitung, wobei der Zweckbindungsgrundsatz im Rahmen der DSGVO insoweit liberalisiert wurde, als auch Weiterverarbeitungen zu anderen Zwecken zulässig sind, soweit sie mit dem ursprünglichen Zweck der Verarbeitung noch vereinbar sind. Nach Götz kann sich diese Vereinbarkeit häufig vor allem aus den weiteren Kriterien des Art 6 Abs 4 lit e DSGVO, wie vor allem aus der Pseudonymisierung, Formen der Verschlüsselung oder anderen geeigneten Garantien (S 142), ergeben.

Vergleichsweise kurz werden die betriebsverfassungsrechtlichen Fragestellungen dargestellt (S 179-210). Götz plädiert dabei vor allem dafür, dass aufgrund der zahlreichen Abwägungsentscheidungen die BV ein probates Mittel darstellt, detaillierte und verbindliche „Spielregeln“ zu vereinbaren und die Rechtssicherheit auf beiden Seiten zu erhöhen (S 179). Da es im Datenschutzrecht kein Konzernprivileg gibt, sei zudem das Rechtsinstrument der Konzern-BV für unternehmensübergreifende Analysen geeignet. Diese sei in der Lage, die mangels einheitlicher Konzernverantwortlichkeit entstehenden Diversifizierungen der Verantwortlichkeit zu kompensieren (S 200). Regelmäßig wird dies mE mit einer gemeinsamen Verantwortlichkeit der beteiligten Unternehmen gem Art 26 DSGVO einhergehen, dies und die damit verbundenen Probleme werden allerdings nicht weiter angesprochen. Abschließend wird ein Mustervorschlag für ein Verarbeitungsmanagement durch BV abgedruckt (S 201-210).

Mit dem vorliegenden Werk ist Götz eine hervorragende Arbeit gelungen. Sie ist auf sehr hohem Niveau, liest sich sprachlich gut und geht in der Regel ausreichend in die Tiefe. Götz begnügt sich nicht mit der Darstellung der Antworten aus der bestehenden Literatur, sondern versucht eigene Meinungen zu finden und diese zu begründen. Er erarbeitet differenzierte Ansichten, die meist sehr gut vertreten werden können und auch den Autor dieser Rezension meist überzeugten. Zudem werden neue Gedanken und rechtliche Konstruktionen eingebracht, die für die meisten Leser bisher nicht bekannt waren und deshalb einen juristischen Mehrwert bieten. Trotz der (schon grundrechtlich gebotenen) Abwägung im Einzelfall gelingt es Götz, in seiner Arbeit ein angemessenes Abstraktionsniveau seiner Ausführungen zu finden. Die wenigen oben aufgezeigten Mängel fallen insgesamt nicht ins Gewicht.

Beim vorliegenden Werk handelt es sich um eines der besten Bücher zum Datenschutzrecht, weshalb die Lektüre der vorliegenden Arbeit wirklich jedem ans Herz gelegt werden kann.