Zum Inhalt springen Zur Navigation springen
Diversität in Unternehmen und Datenschutz

Diversität in Unternehmen und Datenschutz

Diversitätskriterien sind für Unternehmen im Wettbewerb immer wichtiger. Doch wie kann ein Unternehmen diese rechtssicher ermitteln? Wie kann der Datenschutz bei einer Diversity, Equity und Inclusion (DE&I) Umfrage aussehen?

Diversity, Equity und Inclusion – was ist das?

Für viele modern Unternehmen, insbesondere die großen, spielen in den letzten Jahren Kriterien der Diversität, im Englischen oft mit „Diversity, Equity and Inclusion“ umschrieben, eine größere Rolle. Es gibt in diesem Bereich Zertifikate, Netzwerke. Insbesondere im Marketing und als attraktiver Arbeitgeber spielt es immer mehr eine Rolle, dass man nicht nur Jahresgewinne ausweisen kann, sondern auch als diverses Unternehmen wahrgenommen wird.

Hierbei werden verschiedene Kriterien angelegt, um Diversität im Unternehmen zu bewerten – oftmals lassen diese sich zusammenfassen zu „was tut das Unternehmen, um marginalisierte Gruppen im Unternehmen zu unterstützen“. Und während theoretische Regelungen, die Gleichstellung, Inklusion und damit Vielfalt der Beschäftigten ermöglichen sollen, natürlich der Anfang sind, steht am Ende immer die Frage: Wirken diese auch? Ist unsere Belegschaft nun tatsächlich „diverser“?

Messbar machen von „Diversität“

Um den Erfolg der Maßnahmen und den noch bestehenden Handlungsbedarf zu ermitteln, muss die Belegschaft entsprechend „vermessen“ werden. Dafür muss ermittelt werden, wie viele Mitarbeitende im Unternehmen entsprechende Diversitätskriterien aufweisen. Und hier wird es ganz schnell schwierig.

Denn fast alle Merkmale, die in den „Diversitäts“-Bereich fallen, sind historisch und bis heute mit Diskriminierung und Entrechtung verknüpft. Geschlecht, Sexualität, Ethnie, „Rasse“, Behinderung, Religionszugehörigkeit, nach all diesen Kategorien wurden und werden Menschen diskriminiert, sodass ihre Erfassung in einer Belegschaft nicht unproblematisch ist.

Artikel 9 DSGVO: besondere Kategorien von Daten

Die meisten Informationen, die in diesem Kontext ermittelt werden sollen, fallen unter die Definition des Artikel 9 DSGVO:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“ (Art. 9. Abs. 1 DSGVO)

Sexualität, Religionszugehörigkeit, Ethnie oder „Rasse“ und Gesundheitsdaten bei jeder Art von Behinderung sind besonders geschützt, sodass ihre Erhebung und Verarbeitung nur in den engen Grenzen des Art. 9 zulässig sein kann. Die Erlaubnistatbestände des Artikel 6 DSGVO gelten nicht – insbesondere existiert keine Rechtsgrundlage wie der Art. 6 f) DSGVO für Daten nach Artikel 9 DSGVO. Es kann daher niemals die Erhebung oder Verarbeitung dieser Daten auf ein berechtigtes Interesse gestützt werden.

Die in Art. 9 Abs. 2 DSGVO aufgeführten Rechtsgrundlagen, nach denen besondere Kategorien von Daten verarbeitet werden dürfen, sind überwiegend für Wirtschaftsunternehmen nicht anwendbar. Einige von Ihnen gelten nur für die öffentliche Hand oder sind auf sehr spezifische Zwecke begrenzt. Als Rechtsgrundlage verbleibt einem Unternehmen daher meist nur die Einwilligung nach Art. 9 Abs. 2 a) DSGVO.

Einwilligungen im Beschäftigungskontext

Hier kommen wir zu einem anderen bekannten Thema: Die Einwilligung im Beschäftigungskontext. Nach teilweise vertretener Meinung ist eine Einwilligung in einer nicht nach Arbeitsvertrag oder gesetzlicher Grundlage direkt erforderliche Datenverarbeitung nicht möglich, wenn Betroffene Arbeitnehmende der verantwortlichen Stelle sind.

Die inzwischen herrschende Meinung geht davon aus, dass Einwilligungen im Beschäftigungskontext möglich sind. Allerdings gelten hierfür besonders hohe Anforderungen. Diese werden noch höher, wenn Artikel 9-Daten von einer Verarbeitung erfasst sind. Es ist daher besonders wichtig, sehr transparent darzulegen, welche Daten hier zu welchen Zwecken verarbeitet werden. Zudem muss die Freiwilligkeit immer gewährleistet sein. Den Mitarbeitenden darf kein Nachteil dadurch entstehen, dass sie eine Erhebung oder Verarbeitung ihrer Daten ablehnen.

Diversity, Equity und Inclusion Umfragen konzipieren

All die oben aufgezeigten Punkte müssen nun bereits vor Beginn einer Erhebung von DE&I-Daten im Unternehmen bedacht werden.

Die Zwecke, für die die Daten erhoben werden, müssen sehr klar sein. Ebenso muss ein Konzept erarbeitet werden, wer welche Daten erhalten soll. Hier geht es insbesondere auch darum, dass Risiken einer Diskriminierung innerhalb des Unternehmens minimiert bis ausgeschlossen werden. Insbesondere sollten daher die direkten Vorgesetzten keinen Zugriff auf Angaben Ihrer Mitarbeitenden bekommen, ebenso wenig wie deren direkte Vorgesetzte. So wird das Risiko minimiert, dass ein direkter Vorgesetzter von etwaigen Datenkategorien Kenntnis erlangt.

Bei den Fragen ist zu berücksichtigen, dass die Regelungen, was erfasst werden darf, in verschiedenen Ländern unterschiedlich ist. Es gibt Länder, in denen es Unternehmen untersagt ist, nach Kriterien wie Sexualität oder „Rasse“ zu fragen. In Deutschland gibt es keine Verbote per se, allerdings ist auch der jeweilige Kontext der Begriffe in den Ländern relevant. Für die USA zum Beispiel sind Angaben zur „Rasse“ übliche demografische Daten, es gibt hier etablierte Zuordnungen. Deutschlandweit ist der Begriff zutiefst nationalsozialistisch geprägt und die meisten Leute nehmen Abstand davon, sich einer „Rasse“ zuzuordnen.

Welche Kriterien in welcher Genauigkeit erfasst werden sollen, sollte gut bedacht werden. Auch im Hinblick auf Gesundheitsdaten gibt es unter Umständen viele verschiedene mögliche Angaben. Welche Auswertungen sind mit den Daten sinnvoll und welche übersteigen die Kapazitäten des Unternehmens? Letztlich ist die Erhebung von DE&I-Daten kein Selbstzweck: welche Erkenntnisse erhofft sich das Unternehmen aus der Erhebung?

Um hier keine groben Fehler zu machen, empfiehlt es sich, den Datenschutzbeauftragten des Unternehmens bereits in frühen Planungsstadien derartiger Erhebungen einzubeziehen.

Datenschutz-Folgenabschätzung

Spätestens wenn das Konzept steht und beschlossen ist, wie und wer bei der Datenerhebung und -verarbeitung beteiligt wird, ist der Datenschutzbeauftragte einzubeziehen. Bei der großflächigen Erhebung von Artikel 9-Daten ist regelmäßig eine Datenschutz-Folgenabschätzung erforderlich. Hierfür muss das ganze Konzept gut dokumentiert sein, und es muss erarbeitet werden, welche Risiken sich für die Betroffenen aus dem Datensatz ergeben.

Um Risiken zu minimieren kann es sich anbieten, die Daten möglichst gar nicht innerhalb des Unternehmens zu erheben und verarbeiten. Es gibt Dienstleister, die entsprechende Services anbieten, um Umfragen durchzuführen und letztlich nur aggregierte Ergebnisse an das Unternehmen zu übergeben.

Diese Konstellation birgt aber eigene Tücken: Hierbei handelt es sich um eine Auftragsverarbeitung, die einen AVV erfordert, bei Drittlandsbezug ggf. auch Standardvertragsklauseln. Zudem Ist der Auftragsverarbeiter eigentlich strikt weisungsgebunden – wenn seine Tätigkeit nicht durch den Auftraggeber überwacht werden kann, weil der Dienstleister nach eigenem Ermessen Daten verarbeitet, ist der Rahmen der Auftragsverarbeitung an sich überschritten. Eine Übergabe derartig sensibler Mitarbeiterdaten an einen Dritten, der damit nach eigenem Ermessen arbeiten dürfte, wäre aber datenschutzrechtlich noch viel schlimmer als eine Auftragsverarbeitung. Gesundheitsdaten und andere Artikel 9-Daten an einen anderen eigenständigen Verantwortlichen weitergeben schafft kein Vertrauen in die sichere Verarbeitung. Da das Konzept der Umfrage vom Unternehmen kommt, und der Dienstleister hier nur die Umsetzung betreuen soll, passt auch keine gemeinsame Verantwortlichkeit.

In der Praxis werden hier Auftragsverarbeitungsverträge abgeschlossen, bei denen vereinbart wird, dass die Daten nach Aggregierung beim Dienstleister gelöscht werden.

Soweit größere Teile der Auswertung im Unternehmen erfolgt, ist die Auswahl und Begrenzung der hiermit betrauten Mitarbeitenden entscheidend.

All diese Teile des Konzeptes werden dann in der Datenschutz-Folgenabschätzung berücksichtigt, um Risiken zu ermitteln und zu bewerten. Mit einem guten Schutzkonzept für die Daten und die Rechte der betroffenen Mitarbeitenden kann diese Risikoabwägung letztlich zum Ergebnis kommen, dass die Erhebung und Verarbeitung möglich ist.

Mitarbeitende informieren, Einwilligungen einholen

Ist alles insofern intern abgesichert, bleibt noch, dass die Informationen für die Mitarbeitenden umfassend und verständlich zusammengefasst und die Einwilligungserklärungen erstellt werden. Nur eine umfassende, transparente und verständliche Information über die Verarbeitung der Daten kann zu einer wirksamen Einwilligung führen. Dass aufgrund der Freiwilligkeit der Teilnahme und Angabe der Daten nicht alle Mitarbeitenden Angaben machen werden, ist klar. Eine gute Information, Zweckbegrenzung und Kommunikation über die Sicherheitsvorkehrungen kann aber das Vertrauen schaffen, um mehr Mitarbeitende zur Teilnahme zu bewegen. Datenschutz schafft dieses Vertrauen, sodass hinterher auch eine bessere Datengrundlage vorhanden ist.

DE&I-Umfragen sind möglich

Wer den Prozess von Anfang an mit Datenschutz im Kopf aufsetzt, kann auch „kritische“ Umfragen durchführen. Wichtig ist dabei, immer die Freiwilligkeit zu berücksichtigen. Zudem braucht es gute Schutzkonzepte und eine ordentliche Dokumentation. Der Datenschutzbeauftragte steht hier gerne beratend und helfend zur Seite, um die Rechte der Betroffenen zu schützen. So entsteht Vertrauen in den Prozess und eine rechtssichere, gute Datenlage, um das Unternehmen voran zu bringen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Die Verarbeitung im Rahmen einer Einwilligung im Beschäftigtenkontext ist durchaus möglich. In Deutschland allerdings nach Maßgabe des § 26 Absatz 2 unter Bedingungen.

  • Vor wenigen Jahren bin ich bei einem Kunden aus UK schier vom Stuhl gefallen, als er auch in D Art. 9 Daten erfassen wollte, um die Diversität nachzuweisen. Heute ist der Mist auch hier angekommen. Ja, Diversität ist wichtig. Keine Frage. Meine Vorstellung einer liberalen Gesellschaft ist aber, dass man sich darauf beschränkt diejenigen zu sanktionieren, die gegen Gesetzen und wichtigen gesellschaftlichen Normen verstoßen. Mit dem AGG haben wir dazu ein hinreichend scharfes Schwert. Alle Anderen soll man gefälligst in Ruhe lassen. Sonst geht man in Richtung Überwachungsstaat. Mit wem ich ins Bett steige und was ich dann dort mache geht ausser der oder den beteiligten Personen mit Verlaub einen Sch…. an, so lange eben wesentliche Aspekte (siehe oben) nicht verletzt werden.

  • Aus der betrieblichen Praxis:
    Die Personalabteilung kennt die Altersverteilung, das Geschlecht, in der Regel auch die Konfession (wichtig für die Wählbarkeit zur MAV in Tendenzbetrieben) sowie Behinderungen und auch Nationalität. Wozu soll man bitte die sexuellen Gewohnheiten und geschlechtliche Identitäten erfragen? Wen interessiert das? Wozu ist das relevant? Habe bei einem Krankenhausträger gearbeitet – die MA-Schaft hatte andere Probleme als Diversity – ein Krankenhaus ist eh ein extrem bunter Laden – mehr Diversity geht fast nicht mehr.

    • Guten Tag,

      diese Metriken interessieren, wenn Förderung von diesen Diversitätskriterien im Unternehmen interessant ist. Unternehmen, die wissen wollen, ob ihre Mitarbeitenden sich sicher genug am Arbeitsplatz fühlen, um dort „out“ zu sein, interessieren sich ggf. dafür. Nach Umfragen in der Gesamtbevölkerung sind erheblich Teile der Menschen, die im privaten Umfeld out sind, nicht am Arbeitsplatz out. Dies ist auch eine Einschränkung, wenn es z.B. Unternehmensfeiern gibt, bei denen auch Partnerpersonen mit eingeladen sind.
      Meist ist dies wie im Artikel auch erläutert eher ein Thema für große und internationale Unternehmen, die mehrere hundert bis tausende Mitarbeitenden haben. Dass Krankenhäuser sich nur dafür interessieren, wie viele Stunden die Mitarbeitenden arbeiten können, ist plausibel – eine proaktive Diversitätsberücksichtigung ist in diesem Bereich generell nicht bekannt, zumal viele Krankenhäuser in der Hand von kirchlichen Trägern sind, die sogar die gesetzlichen Regelungen des AGG missachten dürfen.

  • Ich möchte bitte nicht von meinem Arbeitgeber in irgendeiner Form und für diverse Zwecke „vermessen“ werden. Interessant, die Begründung für die Erhebung dieser Daten ist durchaus vergleichbar mit der des Impfstatus.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.