Diversity-Daten: Schutz sensibler Informationen im Arbeitsverhältnis

Immer mehr Unternehmen bekennen sich zu Diversity. Damit will man in der Regel eine möglichst diverse Belegschaft auf allen Unternehmens- bzw. Konzernebenen erreichen und die Gleichbehandlung sicherstellen. In der Regel werden Frauen, ethnische Minderheiten oder LGTBQ+ Personen gefördert.

Aus rechtlicher Sicht stellt sich die Frage, ob für solche Zwecke auch die entsprechenden Daten von der Arbeitgeberin erhoben, gespeichert oder konzernintern übermittelt werden dürfen. Mit anderen Worten: Darf die Arbeitgeberin bzw. deren Konzernmutter Informationen über Geschlecht, Ethnizität oder sexuelle Orientierung der ArbeitnehmerInnen im Rahmen des Diversity Managements verarbeiten?

Bei Diversity-Daten, die zum Beispiel die sexuelle Orientierung oder die ethnische Zugehörigkeit betreffen, handelt es sich um besondere Kategorien von Daten (mit anderen Worten: sensible Daten). Solche Daten genießen einen erhöhten Schutz: Grundsätzlich dürfen sie von der Arbeitgeberin nicht verarbeitet werden, außer es liegt eine in der Datenschutz-Grundverordnung (DSGVO) vorgesehene Ausnahme vor.

Im Arbeitsverhältnis kommt insbesondere die Erfüllung einer arbeitsrechtlichen Verpflichtung als Ausnahme in Frage. Solche Verpflichtung fehlt gerade bei der Verarbeitung von sensiblen Daten für die Zwecke des Diversity Managements. Das Gleichbehandlungsgesetz regelt zwar den Diskriminierungsschutz bei Diskriminierung, zum Beispiel wegen sexueller Orientierung oder ethnischer Zugehörigkeit, sieht aber keine Verpflichtung der Arbeitgeberin vor, solche Informationen für das Diversity Management zu sammeln. Selbst wenn darin geregelt wird, dass positive Maßnahmen zur Förderung der Personen mit solchen geschützten Merkmalen vorgesehen werden können, ist es zweifelhaft, dass dies eine ausreichende Rechtsgrundlage für die Sammlung sensibler Daten darstellt. Insbesondere hinsichtlich der sexuellen Orientierung besteht ein besonderes Interesse der ArbeitnehmerInnen, diese geheim zu halten.

Auch andere Ausnahmetatbestände kommen hier nicht in Frage. Insbesondere ist die Einwilligung in die Datenverarbeitung nicht geeignet, weil die ArbeitnehmerInnen von ihrer Arbeitgeberin abhängig sind und oft keine freiwillige – und somit gültige – Einwilligung abgeben werden (etwa, weil sie bei Weigerung negative Folgen befürchten).

Im Ergebnis bleibt es der Arbeitgeberin verwehrt, derartige Informationen – sei es im Zuge der Bewerbungen oder im laufenden Dienstverhältnis – zu verarbeiten, um die Umsetzung und Einhaltung von Diversity Policies sicherzustellen.

Dagegen stellen Informationen über das (zumindest binäre) Geschlecht selbst keine sensiblen Daten dar. Das bedeutet insbesondere, dass sich die Arbeitgeberin auf den Ausnahmetatbestand der überwiegenden berechtigten Interessen an der Datenverarbeitung stützen kann. So wäre es zum Beispiel denkbar, dass die Arbeitgeberin Einkommensberichte erstellt und dabei personenbezogene Arbeitnehmerinnen-Daten nach dem Geschlecht aufteilt, um künftig Maßnahmen zur Gleichberechtigung von Frauen und Männern bei der Gehaltsentwicklung zu setzen.

Im Falle der sensiblen Daten ist die Antwort eindeutig: Darf bereits die Arbeitgeberin keine Daten über sexuelle Orientierung oder ethnische Zugehörigkeit verarbeiten, dürfen diese Daten umso weniger mit den Konzerngesellschaften geteilt werden.

Dagegen wäre zum Beispiel eine Offenbarung eines rein geschlechtsbezogenen Einkommensberichts an die Konzernmutter zur Erstellung eines konzernweiten Berichts nicht ausgeschlossen. Bestimmte Regeln sind aber zu beachten.

Grundsätzlich ist die Verarbeitung von personenbezogenen HR-Daten die Sache der Arbeitgeberin. Für die Übermittlung solcher Daten an die Konzerngesellschaft bedarf es ebenfalls einer Rechtsgrundlage nach DSGVO, da die datenschutzrechtlichen Bestimmungen kein Konzernprivileg vorsehen. In gewissen Fällen lässt sich aber ein Interesse an konzernweiter Verarbeitung von HR-Daten zu internen Verwaltungszwecken rechtfertigen.

Ob ein solches berechtigtes Interesse der Konzernmutter besteht, zur Förderung der Gleichbehandlung personenbezogene ArbeitnehmerInnen-Daten aus dem gesamten Konzern zu verarbeiten, hängt vom Einzelfall ab (zum Beispiel von der Konzerngröße und der Struktur des Konzerns). Es ist immer zu prüfen, ob eine anonymisierte Offenbarung und Verarbeitung auch zur Zielerreichung geeignet wären. Bei ArbeitnehmerInnen in Leitungspositionen wird das berechtigte Interesse jedenfalls leichter zu bejahen sein.

Kommt es zu einem Datentransfer außerhalb der EU, müssen – mit Ausnahmen für bestimmte Länder, die ein angemessenes Schutzniveau anbieten – zusätzlich noch besondere Regeln beachtet werden. Die Daten müssen genauso wirksam geschützt werden wie innerhalb der EU. Die DSGVO sieht dabei eine Reihe an Instrumenten vor. Für regelmäßige Übermittlungen von Arbeitnehmerdaten innerhalb des Konzerns erscheint die Einführung von verbindlichen internen Datenschutzvorschriften (die vorab von der zuständigen Aufsichtsbehörde zu bewilligen sind) am geeignetsten.

Werden die Daten nicht rechtmäßig verarbeitet oder weitergeleitet, drohen beträchtliche Geldbußen nach der DSGVO. Verstöße in Zusammenhang mit sensiblen Daten können dabei erschwerend wirken und die Strafe erhöhen.

Fazit: Selbst positive Maßnahmen zu Gunsten von geschützten ArbeitnehmerInnen-Gruppen können zu datenschutzrechtlichen Problemen führen. Dem ArbeitnehmerInnen-Datenschutz ist beim Diversity Management daher besondere Aufmerksamkeit zu schenken.