Datenschutz in People Analytics Projekten

Datenschutz in People Analytics Projekten – da stellen sich die meisten Projektleiter:innen eine Menge Fragen. Die Komplexität liegt in dem Zusammenspiel ganz unterschiedlicher Fachdisziplinen. Technische Infrastruktur, Verarbeitungsprozesse, DSGVO, BDSG und Betriebsvereinbarungen müssen mit den Stakeholdern der beteiligten Disziplinen kommuniziert werden, um ein gemeinsames, entscheidungsfähiges Bild zu schaffen und so die technische Realisierung von People Analytics Systemen zu ermöglichen.

Die Expert:innen von noventum erläutern die Zusammenhänge und geben mit der Solution „Datenschutz in HR Analytics Projekten“ Richtlinien und Vorgehensmodelle an die Hand, die die Projektleiter:innen bei Einführung und Betrieb unterstützen.

People Analytics und Datenschutz gehören zusammen

Eine getrennte Betrachtung von People Analytics und Datenschutz ist nicht möglich, da bspw. im digitalen Personalmanagement während der Datenanalyse in HR Analytics Systemen zahlreiche personenbezogene Daten verarbeitet werden. Aufgrund der Analyse der HR-Daten in People Analytics sind von der Verarbeitung u.a. die personenbezogenen Daten nach Art. 4 Abs. 1 DS-GVO oder wie die Informationen über die Mitarbeiter:innen i.S.d. Beschäftigtendaten nach § 26 BDSG betroffen. Darunter fallen möglicherweise auch personenbezogene Daten besonderer Kategorien nach Art. 9 DS-GVO. Diese Art von personenbezogenen Daten unterliegen nach der EU-Datenschutz-Grundverordnung (DS-GVO) einem besonderen Schutz, wodurch die Umsetzung von datenschutzrechtlichen Anforderungen nicht ausgeschlossen werden darf. Aufgrund dessen ist die Herbeiführung eines Zusammenspiels zwischen der datenbasierten Analyse in People Analytics und dem Datenschutz von hoher Wichtigkeit geprägt und bietet gleichzeitig eine Zusicherung des Schutzes der digital zu verarbeitenden personenbezogenen Daten jeglicher Art.

Die Herausforderungen eines People Analytics Projekts für Unternehmen und Projektleiter:innen

In Projektsituationen ist eine Überforderung bei der Umsetzung von datenschutzrechtlichen Anforderungen durch die hohe technische und vor allem organisatorische Komplexität zu erkennen. Den Projektleiter:innen seitens des Kunden stellen sich während des Projekts in Bezug auf eine datenschutzkonforme Verarbeitung von personenbezogenen Daten durch die Projektbeteiligten eine Vielzahl an konkreten Fragestellungen.

• Welche Betriebsvereinbarungen müssen geschlossen im Unternehmen werden?
• Welche Stakeholder sind zu involvieren?
• Welche Reports sind mitbestimmungspflichtig?
• Welche Analysen von personenbezogener Daten dürfen wie ausgewertet werden und was gilt es zu vermeiden?
• Wie setze ich ein effizientes datenbasiertes Tool auf, das nicht an den Anforderungen der Datenschutz-Grundverordnung scheitert?
• Was muss wie dokumentiert werden?
• Wer ist für welche Entscheidungen verantwortlich und welche Informationen werden benötigt?

Dabei besteht erfahrungsgemäß die Herausforderung darin, die Komplexität des Zusammenspiels zwischen der Technik, der fachlichen Ziele und der Wahrung des Datenschutzes allein zu bewältigen. Im Zusammenhang mit der technischen Lösung fehlt die Kenntnis, an welcher Stelle zwingend Maßnahmen erforderlich sind. Darüber hinaus ist oftmals nicht bekannt, welche etablierte Vorgehensweisen durch betriebsinterne Abstimmungen zu erfolgen haben und welche datenschutzrechtlichen Anforderungen sowie Verpflichtungen umgesetzt werden müssen.

Die Lösungsstrategie

Die aufgeführte Problematik beinhaltet den Grundgedanken der Zielsetzung, die Einhaltung der Anforderungen aus der DS-GVO im Rahmen von Datenanalysen in einer People Analytics Lösung zu gewährleisten und gleichzeitig eine Sensibilisierung für den Datenschutz zu erreichen. Die Lösungsstrategie beläuft sich auf die Zusammenführung und die Berücksichtigung von Interessen aller an der Gesamtlösung beteiligten Stakeholder des Unternehmens. Dabei wird die Einhaltung der Sorgfaltspflicht bei der Verarbeitung von jeglicher Art der personenbezogenen Daten verfolgt. Die datenschutzrelevanten Aspekte für jeweilige Verarbeitungen werden berücksichtigt. Darüber hinaus wird eine entsprechende Dokumentation der Vorgänge und der relevanten Informationen aufgesetzt. Außerdem wird darauf geachtet, dass die Anforderungen aller Beteiligten im Unternehmen, wie dem HR, der IT oder der Arbeitnehmervertretung, erfüllt werden. Die Umsetzung der datenschutzrechtlichen Anforderungen erfolgt durch geeignete technische und organisatorische Maßnahmen (TOM). Die sinnvolle zeitliche Abfolge ergibt sich aus einem standardisierten Vorgehensmodell, das den Projektleiter bei der Steuerung der verschiedenen Fachdisziplinen leitet.

Das Beratungsangebot „Datenschutz in People Analytics Projekten“ unterstützt Projektleiter:innen und deren Mitarbeiter:innen durch Vorgehensmodelle und Dokumentationen dabei, eine datenschutzkonforme Realisierung der technischen Maßnahmen herbeizuführen. Zur Verfügung gestellte Vorgehensmodelle, Dokumente und Anleitungen liefern Informationen und unterstützen bei der Aufklärung von Fragestellungen, Sensibilisierung sowie die Umsetzung von datenschutzrechtlichen Anforderungen sowohl auf technischer als auch auf organisatorischer Ebene im Projektgeschäft. Dabei stehen Zugriff- und Berechtigungskonzepte ebenso im Fokus wie auch betriebsinterne Abstimmungen zwischen den beteiligten Stakeholdern in Form von Entscheidungsträger:innen, Mitarbeitervertretungen und Fachabteilungen.

Dabei stellt das Angebot keine Rechtsberatung dar, sondern ist vielmehr als Unterstützung für ein umfassendes und wirkungsvolles Projektmanagement zu verstehen.

Das noventum-Angebot unterstützt als optionaler Projektbaustein die noventum Projekte und liefert Orientierungshilfen für den Kunden im Projektgeschäft, um die wichtigsten technischen und organisatorischen Entscheidungen herbeizuführen. Das zur Verfügung gestellte Vorgehensmodell sowie die Projektempfehlungen verschaffen einen Überblick über die erforderlichen Maßnahmen, Vereinbarungen und Dokumente. Die ersten Schritte sind eine Bestandaufnahme (Ist-Zustand), der im Unternehmen bereits umgesetzten Maßnahmen. Basierend darauf werden geeignete TOM ausgearbeitet, welche der Dokumentation während der Projektumsetzung und im anschließendem Wartungsverhältnis dienen.

Die ausgearbeiteten TOM umfassen u.a. ein zweckmäßiges Berechtigungsmanagement für interne Mitarbeiter:innen und externe Verarbeiter:innen von personenbezogenen Daten nach dem Need-To-Know-Prinzip. Das Need-To-Know-Prinzip verfolgt das Sicherheitsziel der Erforderlichkeit an Datenzugriffen und der daraus resultierenden möglichen Datenanalysen. Dabei ist zu berücksichtigen, dass die Beteiligten lediglich die Daten verarbeiten dürfen, welche zur unmittelbaren Erfüllung der zugeschriebenen Aufgabe erforderlich sind. Ansonsten besteht kein berechtigter Zugriff auf die Daten. Darunter fallen u.a. auch

• die Zugangs- und Zugriffskontrollen,
• die Zutrittskontrollen sowie
• ggf. die Weitergabe- und Eingabekontrollen aus Art. 32 Abs. 1 S. 2 DS-GVO.

Die herausgearbeiteten und strukturierten Prozesse sowie die zur Verfügung gestellten Dokumentationsvorlagen unterstützen die Unternehmen bei der Projektumsetzung. Die optionale Beratungsleistungen umfassen noch weitere Empfehlungen zur Optimierung der internen Dokumentation, wie bspw. einen Notfallplan bei dem Verdacht einer Verletzung von personenbezogenen Daten, die Verpflichtung der Mitarbeiter:innen zur Wahrung der datenschutzrechtlichen Grundsätze nach Art. 5 DS-GVO oder die Aufnahme einer neuen Verarbeitungstätigkeit in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO.

Durch die breit aufgestellte Zusammenstellung von Empfehlungen, Informationen und Vorgehensmodellen wird die vorgesehene Dokumentationspflicht konkret nach der DS-GVO gewahrt und parallel dazu das Zusammenspiel zwischen People Analytics und dem Datenschutz ermöglicht.

Die Effektivität der Vorgehensmodelle wird anhand von aktueller Rechtsprechung, der Empfehlungen der Aufsichtsbehörden, durch den Erfahrungsaustausch und der Kommunikation zwischen den Datenschutzbeauftragten des Kunden und von noventum sichergestellt. Diese Vorgehensweise stellt einen eindeutigen Prozess hinsichtlich der zweckmäßigen Verarbeitung von personenbezogenen Daten durch die berechtigten Personen auf. Abgerundet wird dieser Prozess durch eine Klassifizierung des berechtigten Kreises der Verarbeitungen und die Erstellung sowie Dokumentation eines Berechtigungskonzepts, indem die Rechte- und Rollenverteilung klar strukturiert sind. Der Kunde wird auf effiziente Weise unterstützt und erhält einen umfänglichen Überblick über seine Aufgaben, die im Sinne des Datenschutzes, zu erledigen sind. Dadurch gewinnt der Kunde das Vertrauen für die internen Prozesse und es wird insbesondere das interne Berechtigungsmanagement gefestigt. Folglich wird durch die Reduzierung der Wahrscheinlichkeit auf hohe mögliche Sanktionen nach Art. 83 DS-GVO das wirtschaftliche Interesse gestärkt.

Nutzen

Die erarbeiteten Betriebsvereinbarungen, installierten Gremien, die Art der Kommunikationswege, Berechtigungskonzepte und Betriebsprozesse sowie die technische Implementierung dieser, bilden ein solides Fundament für zukünftige Anpassungen oder Optimierungen. Der umfängliche Blick auf alle datenschutzrelevanten Aspekte einer technischen HR Analytics Lösung schafft Vertrauen bei allen Stakeholdern und damit in die Lösung.

Zusammenfassend ermöglicht der optionale Projektbaustein während der Umsetzung einer People Analytics Software somit eine zielgenaue und fokussierte Beratungsleistung zum Datenschutz in technischen HR-Projekten durch empfohlene Orientierungshilfen sowie weiterer Informationen. Die Projektleiter:innen führen erforderliche Abstimmungen und konkrete Entscheidungen effizient herbei, indem sie durch einen strukturierten und dokumentierten Vorgehensprozess geleitet werden. Hinzu kommt die Praxiserfahrung und kombiniertes Experten-Know-how in HR-Prozessen, IT-Prozessen, IT-Architekturen, Datenschutz sowie im agilem Projektmanagement der noventum Consulting GmbH. Die zur Verfügung gestellten Orientierungshilfen unterstützen bei der Aufklärung von Fragestellungen sowie der Umsetzung von datenschutzrechtlichen Anforderungen sowohl auf technischer als auch auf organisatorischer Ebene im Projektgeschäft und sensibilisieren den Kunden zum Thema Datenschutz. Dabei stehen Zugriff- und Berechtigungskonzepte gleichermaßen im Fokus wie die betriebsinternen Abstimmungen zwischen den beteiligten Stakeholdern in Form von Entscheidungsträgern des Managements, Mitarbeitervertretungen und Fachabteilungen der Unternehmen.