Zum Inhalt springen Zur Navigation springen
Datenbanken beim Skillmanagement – Was ist zu beachten?

Datenbanken beim Skillmanagement – Was ist zu beachten?

In Unternehmen ist es ab einer gewissen Größe schwierig, die Kompetenzen der einzelnen Mitarbeiter im Detail beurteilen zu können. Skill-Datenbanken schaffen die Möglichkeit im Unternehmen und im Konzern, zielgenau Mitarbeiter mit bestimmten Fähigkeiten zu finden oder Mitarbeiter gezielt zu fördern. Der Datenschutz darf dabei nicht zu kurz kommen.

Was ist eine Skill-Datenbank?

Eine Skill-Datenbank ist eine strukturierte Sammlung von Daten zu Eigenschaften und Qualitäten einzelner Mitarbeiter.

Die Ausgestaltung variiert je nach dem Zweck der Datenbank deutlich. Verdeutlichen kann man die Funktionsweise und die Möglichkeiten vielleicht an folgendem vereinfachten Beispiel:

Skill-Datenbank

Werden diese Informationen in eine entsprechend konfigurierte Datenbank eingepflegt, so können daraus gezielt Informationen gezogen werden. Gesucht werden könnte z.B. nach Mitarbeitern, deren Kenntnisse in dem Bereich c besonders gut sind oder nach Mitarbeitern, die sich mit a, b und c zumindest mittelmäßig auskennen.

Wo liegt das Problem?

Das Problem liegt darin, dass Skill-Datenbanken – wenn sie entsprechend gefüttert werden – tiefe Einblicke in die Fähigkeiten der Mitarbeiter gewähren. Sie können zur Leistungskontrolle oder zum Vergleich der Mitarbeiter untereinander eingesetzt werden. Darüber freut sich der Arbeitgeber, der Arbeitnehmer unter Umständen nicht.

Häufig werden Skill-Datenbanken konzernübergreifend eingesetzt, um Einsatzmöglichkeiten für Mitarbeiter über den Tellerrand des eigenen Unternehmens hinaus zu prüfen. Mangels eines Konzernprivilegs im Datenschutzrecht erwachsen daraus weitere Fallstricke. Bei der Einführung einer Skill-Datenbank sind die Persönlichkeitsrechte der Betroffenen zu wahren.

Rechtliche Zulässigkeit

Ob eine Skill-Datenbank rechtlich zulässig ist, hängt maßgeblich von dem mit ihr verfolgten Zweck, den enthaltenen Daten und der Beschränkung der Zugriffsmöglichkeiten ab. Zu beachten sind insbesondere die Regelungen des Bundesdatenschutzgesetzes (BDSG) und des Betriebsverfassungsgesetzes (BetrVG).

Zulässigkeit nach dem BDSG?

Die Anwendbarkeit des BDSG ergibt sich daraus, dass die Daten einen Personenbezug aufweisen. Aufgrund des großen Gestaltungsspielraums bei dem Aufbau einer Skill-Datenbank, kann kein pauschales Urteil über die Zulässigkeit abgegeben werden.

Eine Skill-Datenbank, die zu dem Zweck der Weiterbildungsplanung betrieben wird, lediglich Abschlüsse und besuchte Fortbildungen enthält und nur von der Personalabteilung und Personen, die mit der Weiterbildungsplanung befasst sind, eingesehen werden kann, ist ohne weiteres datenschutzrechtlich zulässig.

Eine Datenbank, die die interne Konkurrenz steigern soll, für jedermann einsehbar ist und in der Eigenschaften wie Freundlichkeit und Intelligenz bewertet werden hingegen nicht. Es gilt ein Gefühl für die Verhältnismäßigkeit zu entwickeln.

Zu messen ist der Aufbau an § 32 Abs. 1 Satz 1 BDSG. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Durchführung eines Beschäftigungsverhältnisses erforderlich ist. Wird die Erforderlichkeit für die Durchführung eines Beschäftigungsverhältnisses verneint, kann sich die Zulässigkeit unter Umständen aus § 28 Abs. 1 Satz 1 Nr. 2 BDSG ergeben. Voraussetzung dafür ist, dass die Datenerhebung zur Wahrung berechtigter Interessen der verantwortlichen Stelle (also des Arbeitgebers) erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt.

Andernfalls muss eine Einwilligung des Betroffenen als Rechtsgrundlage herhalten. Wichtig ist, dass diese freiwillig und in Kenntnis der Sachlage erteilt wird. Der betroffene Mitarbeiter muss also über den Zweck und den Umfang der Verarbeitung informiert werden und er muss sich gegen eine Teilnahme entscheiden dürfen, ohne negative Konsequenzen befürchten zu müssen. Außerdem ist zu evaluieren, ob eine Vorabkontrolle gemäß § 4d Abs. 5 BDSG durchzuführen ist. Dies ist immer dann der Fall, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen und die Verarbeitung nicht auf eine Einwilligung gestützt wird.

Übermittlung im Konzern

Als Rechtsgrundlagen für die Übermittlung im Konzern kommen neben der Einwilligung der Betroffenen die § 28 Abs. 1 Satz 1 Nr. 2 BDSG (bei berechtigten Interessen des Unternehmens)oder § 28 Abs. 2 Nr. 1a BDSG (bei berechtigten Interessen des Konzerns) in Betracht.

Regelmäßig wird es ausreichen, die Daten pseudonymisiert zu übermitteln. Zum Beispiel unter Verwendung einer Talent-ID. Soll dem betroffenen Mitarbeiter dann tatsächlich eine Stelle in einem anderen konzernangehörigen Unternehmen angeboten werden, kann der Name hinter der Talent-ID angefragt werden. Im Einzelfall stellt sich die Übertragung auch als Auftragsdatenverarbeitung nach § 11 BDSG dar.

Einbindung des Betriebsrates

Mitbestimmungsrechte des Betriebsrates sind aus den §§ 87 Abs. 1 Nr. 6, 94 und 95 BetrVG abzuleiten. In einer Betriebsvereinbarung sollten zumindest folgende Punkte geregelt werden:

  • Zweck der Skill-Datenbank
  • Kategorien der erfassten Daten
  • Verfahren zur Eingabe der Daten (durch Mitarbeiter selbst, durch den Vorgesetzen, Abgleich mit vorhandenen Daten der Personalabteilung?)
  • Freiwilligkeit
  • Löschfristen/Löschverfahren
  • Umfang der Auswertung (ggf. auch aufnehmen, worauf die Daten gerade nicht ausgewertet werden)
  • Zugriffsrechte
  • Schnittstellen zu anderen System

Weitere Hinweise

Neben der:

  • Klärung des datenschutzrechtlichen Erlaubnistatbestandes,
  • einer Vorabkontrolle und
  • der Einbindung der Betriebsrates

sind folgende Punkte zu beachten:

  • Zugriffsrechte sollten restriktiv vergeben werden
  • Die Skill-Datenbank sollte grundsätzlich keine besonderen personenbezogenen Daten im Sinne des § 3 Abs. 9 BDSG enthalten (z.B. ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit)
  • Das Allgemeine Gleichbehandlungsgesetz (AGG) sollte beachtet werden
  • Der Umgang mit der Skill-Datenbank sollte möglichst transparent gestaltet werden (siehe Hinweise zur Betriebsvereinbarung)
  • Es sollten nur relevante Daten aufgenommen werden
  • Die Aktualität sollte gewährleisten werden (praktisch schwierig über einen längeren Zeitraum umzusetzen)
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Hallo Dr. D! Vielleicht können Sie mir weiterhelfen. Leider habe ich keinen passenderen Beitrag gefunden, weswegen ich die Frage hier stelle. Auf welcher Rechtsgrundlage basiert die Erstellung einer Datenbank – 28 I Nr. 2 BDSG? Wie sieht es nach der DSGVO aus – wäre hier das berechtigte Interesse ausreichend? Könnten Sie vielleicht ein paar Tipps geben, was beim Anlegen einer Datenbank sonst so zu beachten ist (bspw. darf ich eine Datenbank mit meinen Dienstleistern anlegen; welche Daten darf ich dann erfassen; was darf ich damit machen?)? Vielleicht lohnt sich ja auch ein Sonderbeitrag dazu. Für eine baldige Rückmeldung wäre ich dankbar. Vielen Dank!

    • Hallo Miriam, vielen Dank für Ihre Anregung. Wir werden prüfen, ob wir Ihre Fragen ggf. in einem Beitrag aufgreifen können. Bitte haben Sie Verständnis dafür, dass wir uns bzgl. des „ob“, „wie“ und „wann“ nicht festlegen wollen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.