Kalibrierung von Leistungsbeurteilungen
Bewertung aus datenschutzrechtlicher Sicht
Die Kalibrierung von Leistungsbeurteilungen von Mitarbeitern findet in immer mehr Unternehmen Einzug. Im Rahmen dieses Prozesses werden häufig personenbezogene Daten auch außerhalb der Personalabteilung verarbeitet. Daher ist es für ein Unternehmen unabdingbar, einen datenschutzrechtlichen Rahmen zu schaffen, indem eine effektive Kalibrierung von Leistungsbewertungen stattfinden kann und zugleich datenschutzrechtliche Grundsätze eingehalten werden.
Was wird unter einer Kalibrierung im HR-Bereich verstanden?
So sehr sich Führungsstile unterscheiden, so sehr können sich auch die Leistungsbeurteilungen innerhalb eines Unternehmens unterscheiden. Der gleiche Mitarbeiter kann von zwei verschiedenen Personen komplett unterschiedlich bewertet werden. Um dem entgegen zu wirken und um unternehmens- bzw. konzernweit eine einheitliche Leistungsbewertung sicherzustellen, sind sog. Kalibrierungen der Leistungsbeurteilungen der verschiedenen Führungsmitarbeiter erforderlich. Eine Kalibrierung der Leistungsbeurteilungen soll bezwecken, dass Leistungsbeurteilungen im gesamten Unternehmen / Konzern nach einheitlichen Maßstäben erfolgen und damit fairer, transparenter und auch aussagekräftiger werden.
Datenschutzrechtliche Probleme bei der Kalibrierung
Um festzustellen, ob von allen Führungsmitarbeitern die unternehmensweiten Vorgaben zu Leistungsbewertungen korrekt und gleich umgesetzt werden, ist oftmals die Verarbeitung personenbezogener Daten in einem gesellschaftsübergreifenden Kontext erforderlich. So sind aus unterschiedlichen Bereichen die Bewertungen einzelner Mitarbeiter zu vergleichen, um zu untersuchen, ob bei ähnlicher oder gleicher Leistung die gleichen Ergebnisse / Bewertungen durch unterschiedliche Führungsmitarbeiter erzielt wurden.
Eine Verletzung datenschutzrechtlicher Grundsätze wie z.B. dem „need-to-know“-Prinzip ist in diesen Kalibrierungsrunden eine latente Gefahr.
Auch muss besonderes Augenmerk auf die datenschutzrechtliche Rechtsgrundlage gelegt werden, da diese Verarbeitungen zumeist nicht zur Durchführung eines Beschäftigungsverhältnisses „erforderlich“ sind.
Sollte man eine Verarbeitung diesbezüglich auf das berechtiget Unternehmensinteresse gem. Art. 6 Abs. 1 lit. f) DSGVO stützen wollen, so ist besondere Sorgfalt bei der Interessenabwägung geboten.
Insbesondere sollten hierbei mildere Mittel angedacht werden. Es wäre daher datenschutzrechtlich zumindest nötig, mit Pseudonymen zu arbeiten, soweit eine Anonymisierung keine geeigneten Ergebnisse mehr liefern würde. Es ist dabei zumeist zur Erfüllung des Zweckes ausreichend, wenn allein die zuständige Stelle in der HR Abteilung eine Zuordnung zu bestimmten Mitarbeitern vornehmen kann.
Überlegungen und to dos zur Beachtung des Datenschutzes bei Kalibrierungen im Bereich HR
- Zweck und Umfang der Kalibrierung und auch der Kalibrierungsbesprechungen festlegen und dokumentieren
Bevor im Unternehmen ein Prozess zur Kalibrierung von Leistungsbeurteilungen eingeführt wird, sollte stets geklärt werden, was der Zweck der Kalibrierung sein soll und in welchem Umfang diese stattfinden soll und auf welche Rechtsgrundlage die Kalibrierung gestützt werden kann. Welche personenbezogenen Daten müssen dabei zwingend verarbeitet werden? Sind ähnlich gute Ergebnisse auch ohne die Verarbeitung personenbezogener Daten möglich? Nach welchen Kriterien werden die zu besprechenden Mitarbeiter ausgewählt? Wie erfolgt die Präsentation der Ergebnisse?
- Teilnehmerkreis der Kalibrierungsbesprechungen prüfen
Bei der Festlegung des Teilnehmerkreises der Kalibrierungsrunden / Kalibrierungsmeetings ist der „need-to-know“-Grundsatz zu beachten. Zudem muss darauf geachtet werden, inwieweit personenbezogene Daten Personen in anderen Gesellschaften oder sogar anderen Ländern (Drittstaaten) offengelegt werden und auf welche Rechtsgrundlage dies gestützt werden könnte. Bei Drittstaatenbezug ist auch die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten in den jeweiligen Drittstaat zu prüfen.
- Bewusstsein für Datenschutz durch Schulungen
Führungsmitarbeiter sind gerade im Bereich der Leistungsbewertungen auf die Sensibilität der verarbeiteten Daten zu schulen. Dabei sind auch die Vorgaben zur Einhaltung des Datenschutzes im Rahmen der Kalibrierung zu schulen.
- Einbeziehung des Betriebsrats
Der Betriebsrat ist zwingend zu beteiligen.
- Information der Beschäftigten nach Art. 12, 13 DSGVO
Die Beschäftigten müssen neben der Datenverarbeitung der Leistungsbewertungen auch über die Durchführung der Kalibrierung informiert werden, soweit personenbezogene Daten in diesem Zusammenhang verarbeitet werden. Auch eine Pseudonymisierung würde diese Verpflichtung auslösen, da weiterhin personenbezogene Daten vorliegen.
Datenschutzrechtliche Dokumentation
Der gesamte Prozess der Kalibrierung ist im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Je nach Art des Prozesses kann auch die Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO erforderlich sein.
Kalibrierungsprozesse sind in Unternehmen sehr unterschiedlich ausgestaltet. Die datenschutzrechtliche Zulässigkeit dieser Prozesse hängt dabei wie so häufig von mannigfachen Details ab, die im Einzelfall geprüft werden müssen. Bei Beachtung der oben genannten Grundsätze sind Kalibrierungsprozesse aber mit der DSGVO vereinbar.
Gerne unterstützen wir Sie bei der Prüfung Ihres Prozesses. Sprechen Sie uns an!