Dr. Andrea Hammermann, Judith Lehr
Bei der Nutzung von HR Analytics müssen Unternehmen sicherstellen, dass der Schutz personenbezogener Daten gewährleistet ist. Dabei müssen Unternehmen die gesetzlichen Bestimmungen zum Datenschutz, insbesondere die Vorgaben der Datenschutz-Grundverordnung (DSGVO), einhalten. Folgende Aspekte sind nach der DSGVO zu beachten:
- Rechtsgrundlage: Für die Verarbeitung personenbezogener Daten benötigen Unternehmen eine Rechtsgrundlage. I. d. R. wird dies entweder die Einwilligung des Betroffenen oder das berechtigte Interesse des Unternehmens sein.
- Zweckbindung und Speicherbegrenzung: Es ist wichtig, dass personenbezogene Daten nur für den vereinbarten Zweck verwendet werden. Sollen die Daten für einen anderen/weiteren Zweck genutzt werden, ist i. d. R. eine erneute Einwilligung erforderlich. Außerdem müssen Daten nach Zweckentfall gelöscht werden.
- Transparenz: Die Betroffenen müssen über die Verarbeitung ihrer Daten informiert werden. Zudem sollen Daten möglichst nachvollziehbar verarbeitet werden.
- Datenminimierung: Es sollen nur die Daten erhoben werden, die für die Analyse notwendig sind. Eine umfassende Datensammlung ist nicht zulässig.
- Richtigkeit: Die erhobenen Daten müssen korrekt und aktuell sein. Dies schließt eine kontinuierliche Korrektur mit ein.
- Vertraulichkeit: Es ist wichtig, dass die personenbezogenen Daten angemessen vor unbefugtem Zugriff geschützt werden. Dazu gehört auch, dass die Daten verschlüsselt und vor Verlust oder Diebstahl geschützt werden.
- Betroffenenrechte: Betroffene haben das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung ihrer personenbezogenen Daten. Unternehmen müssen sicherstellen, dass sie diese Anforderungen erfüllen und die Rechte der Betroffenen respektieren.
Zu beachten ist, dass im Kontext von HR Analytics-Prozessen häufig keine personenbezogenen Daten benötigt werden, die Rückschlüsse auf Einzelpersonen zulassen. Um statistische Zusammenhänge oder Muster zu erkennen, reichen i. d. R. aggregierte Daten aus. Wichtig ist, dass sich die Datenschutzgrundverordnung (DSGVO) auf den Schutz personenbezogener Daten natürlicher Personen bezieht.
Anonyme und anonymisierte Daten fallen daher nicht unter die DSGVO. Die Anonymisierung ist von der Pseudonymisierung zu unterscheiden, denn pseudonymisierte Daten fallen unter die DSGVO, da sie mit Hilfe zusätzlicher Informationen einer Person zugeordnet werden können (Erwägungsgrund 26, DSGVO, 2023). Bei anonymisierten Daten ist dies nicht möglich. Zusammenfassend kann festgehalten werden, dass es zur Gewinnung von Betriebsrat und Beschäftigten beim Einsatz von HR Analytics sinnvoll sein kann, auf Analysen auf Individualebene zu verzichten.