Aus Sicht der Datenschutz- und Arbeitsrechtlerin wahrlich nichts Neues: Bewerbungsmanagement- und Personalmanagement- sowie Personalentwicklungssoftware sind vor der Implementierung und dem Einsatz im Unternehmen nicht nur von der Fachabteilung auf Anwenderfreundlichkeit und Effektivität zu bewerten, sondern auch von der IT-Abteilung auf Datensicherheit sowie wie dem Legal Department oder den entsprechend spezialisierten Anwälten auf datenschutz- und arbeitsrechtliche Fallstricke zu prüfen. Hierauf weise ich nicht nur im Rahmen meiner Beratungen stets hin, sondern schrieb dazu bereits unter anderem hier (DSGVO-Praxisleitfaden für KMU: In acht Schritten zur Compliance) und hier (Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG) sowie hier (Datenschutz im Beschäftigtenverhältnis–Teil 2).
Und doch, oh weh, oh ach, dieser Datenschutz. Da wird doch der Anbieter des Systems schon drauf geachtet haben. Und überhaupt, es passiert ja doch nichts.
Tja. In diesem Glauben kann man bleiben, sollte man jedoch aus purem Eigeninteresse im Hinblick auf die Firmenbilanz wie auch die Integrität vielleicht besser doch nicht.
Nicht nur, dass die recht langsamen Mühlen der Behörden inzwischen mit all ihrer Gründlichkeit den einen oder anderen Sack Mehl fertig gemahlen, vielmehr Bußgeldbescheide versendet haben. So wie beispielsweise
- die Berliner Beauftragte für Datenschutz und Informationssicherheit mit dem Bußgeldbescheid über 14,5 Millionen Euro gegenüber der Deutschen Wohnen SE
- der Bundesdatenschutzbeauftragte mit dem Bußgeldbescheid über 9,5 Millionen Euro gegenüber der 1&1 GmbH
- der Landesbeauftragte Rheinland-Pfalz mit dem Bußgeldbescheid über 105.000 EUR gegenüber der Universitätsklinik Mainz
- der Bundesdatenschutzbeauftragte mit einem Bußgeld in Höhe von 10.000 EUR gegenüber der Rapidate GmbH.
Die Verhängung von Bußgeldern durch eine Behörde bedeutet dabei selbstverständlich nicht, dass diese Bescheide rechtskräftig sind. Gegen diese kann Einspruch erhoben werden. Und sowohl von der Deutsche Wohnen SE als auch der 1&1 GmbH heißt es, dass diese Einsprüche getätigt haben oder tätigen wollen. Die Frage, ob man aber überhaupt erst einmal auf diese Art und Weise mit einer Datenschutzbehörde in Kontakt kommen möchte und dann vor einem Amtsrichter am Strafgericht (bei Geldbußen bis zu 100.000 EUR) oder vor der Kammer am Landgericht für Strafsachen (bei Geldbußen ab 100.000 EUR) Fragen der DSGVO erörtern möchte, wenn doch die Richter sich bisher mit Verkehrsordnungswidrigkeiten bzw. Raub und Totschlag befassten, das würde ich als Geschäftsführer wohl mit „Nein“ beantworten. (Also als Anwältin mit jubelndem Herzen mit „JA!“… aber das ist wohl eine andere Perspektive 😉 ).
Sondern inzwischen ist auch die erste Personalsoftware fest im Blick einer Behörde. Genau genommen steht die die von Zalando zur Mitarbeiterbewertung eingesetzte Software Zonar im Blick der Berliner Beauftragten für Datenschutz und Informationssicherheit.
Grund genug einmal einen Blick auf den Fall Zonar sowie auf die grundsätzlichen datenschutz- und arbeitsrechtlichen Anforderungen an Personalsoftware zu werfen.