Skill-Datenbanken werden heute in vielen Unternehmen betrieben, um die Qualifikationen der Beschäftigten gezielt zu nutzen. Teilweise dienen sie sogar in Ausschreibungsverfahren im In- und Ausland als Nachweis für entsprechende Mitarbeiterqualifikationen. Welche Überlegungen müssen mit Blick auf einen rechtlich einwandfreien Umgang mit dem Datenschutz angestellt werden? „Solche Datenbanken sind inzwischen allgegenwärtig in der Arbeitswelt. Auch wenn wir sie oftmals nicht mehr bewusst wahrnehmen, so ist gerade hier ein sensibler Umgang mit den Daten erforderlich“, erklärt UIMC-Datenschutzexperte Dr. Jörn Voßbein aus Erfahrung.
Die Verarbeitung von Beschäftigtendaten und damit der Aufbau einer Skill-Datenbank sind grundsätzlich unproblematisch aus Sicht des Datenschutzes. Zu dieser Bewertung leiten die Paragraphen 4 und 32 des Bundesdatenschutzgesetzes (BDSG). Ganz klar ist darin geregelt, dass personenbezogene Daten eines Beschäftigten erhoben, verarbeitet und genutzt werden können, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Für einen adäquaten Einsatz der Beschäftigten ist es notwendig, sie entsprechend ihres Einsatz- und Aufgabengebietes zu schulen und fortzubilden und entsprechend ihrer Qualifikation einzusetzen. Um dies innerbetrieblich effizient abwickeln zu können, kann eine solche Datenbank aufgebaut werden.
Etwas komplexer wird die datenschutzrechtliche Einordnung, wenn personenbezogene Daten an externe Unternehmen z. B. im Zuge eines Ausschreibungsverfahrens weitergegeben werden. Als Rechtsgrundlage fällt § 32 BDSG dann aus, weil die Datenübermittlung nicht originär der Durchführung eines Beschäftigungsverhältnisses dient. Aber § 28 BDSG ermöglicht eine Interessensabwägung zwischen den berechtigten Interessen der verantwortlichen Stelle und den schutzwürdigen Interessen des Betroffenen. Ergebnis: Zur Wahrung berechtigter Interessen erfolgt die Datenverarbeitung, wenn diese zur Erreichung der Geschäftszwecke der verantwortlichen Stelle (Unternehmen) erforderlich ist. Hierzu zählen auch wirtschaftliche Interessen und damit die Verbesserung des Betriebsergebnisses. Da Aufträge die Grundlage für die wirtschaftliche Entwicklung eines Unternehmens darstellen, ist diese Form der Datenverarbeitung als gerechtfertigt anzusehen. Andernfalls könnten mögliche Auflagen von Ausschreibungsunterlagen nicht eingehalten werden, was dazu führen würde, dass das Unternehmen keine bzw. weniger Aufträge generieren würde.
Die Datenverarbeitung ist aber dann nicht zulässig, wenn das schutzwürdige Interesse der Betroffenen die berechtigten Interessen der verantwortlichen Stelle (Unternehmen) überwiegt, was stets im Einzelfall gemeinsam mit dem Datenschutzbeauftragten geprüft werden sollte. Wichtig ist, dass gemäß dem Prinzip der Datenvermeidung und Datensparsamkeit vorgegangen wird. Deshalb sollten die Qualifikationen der Mitarbeiterinnen und Mitarbeiter nur dann personenbezogen mitgeteilt werden, wenn dies vom ausschreibenden Unternehmen explizit gewünscht wird. Ansonsten ist eine anonyme Darstellungsform zu bevorzugen. Außerdem sollten nur die projektrelevanten Qualifikationen mitgeteilt werden und nicht darüber hinausgehende Informationen (wie beispielsweise „Negativ-Qualifikationen“, wenn durch gesundheitliche Einschränkungen einzelne Tätigkeiten nicht möglich sind).
Einen Sonderfall bilden Teilnahmen bei einer Ausschreibung eines ausländischen Unternehmens. Eine Übermittlung der Daten mit Personenbezug hat zu unterbleiben, wenn in dem Land kein „angemessenes Datenschutzniveau“ gewährleistet ist. Innerhalb der EU-Staaten oder Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder in einem sog. „sicheren Drittland“ (z. B. Kanada, Schweiz) gilt das Datenschutzniveau als angemessen. Ist dies bei einem anderen Land nicht der Fall, bleibt für die Datenübermittlung nur die Einwilligung der Betroffenen. Hierbei ist auf die Freiwilligkeit zu achten. Gute Elemente für die Akzeptanz bei der Belegschaft bilden Transparenz und Offenheit bei der kommunikativen Darstellung.
„Gerade in Zeiten wirtschaftlicher Globalisierung kommt dem Datenschutz eine große Bedeutung zu“, betont UIMC-Geschäftsführer Dr. Jörn Voßbein und rät: „Datenschutzrechtliche Risiken durch die Weitergabe von Mitarbeiterdaten sollten bei einer Ausschreibungsteilnahme genau geprüft werden. Andererseits ist aber an die ausschreibenden Unternehmen zu appelieren, auf unnötigen Personenbezug bei der Anforderung von Qualitätsnachweisen im Rahmen von Ausschreibungsverfahren zu verzichten.“