Diversität kommt nicht nur aus dem Lateinischen und bedeutet Vielfalt und Vielfältigkeit, sondern spielt auch für Unternehmen im Wettbewerb eine immer wichtigere Rolle. Doch wie kann ein Unternehmen diese rechtssicher ermitteln und den Datenschutz bei einer Diversity, Equity und Inclusion (DE&I) Umfrage einhalten?
Diversität ermitteln
Für viele moderne Unternehmen ist ein wertschätzender Umgang mit Diversität enorm wichtig. So gibt es in diesem Bereich Zertifikate und auch Netzwerke. Neben einem entsprechenden Marketing wollen diese vor allem auch als diverses Unternehmen wahrgenommen genommen werden. Dazu sind in diesen Unternehmen verschiedene Kriterien vorhanden, um Diversität im Unternehmen zu bewerten. Diese tragen dazu bei, marginalisierte Gruppen im Unternehmen zu unterstützen. Doch wirken diese auch und ist die Belegschaft in diesen Unternehmen dann tatsächlich diverser?
Messbar machen von „Diversität“
Um den Erfolg und den noch bestehenden Handlungsbedarf der Maßnahmen zu ermitteln, ist die Belegschaft entsprechend zu „vermessen“. Dafür ist zu ermitteln, wie viele Mitarbeitende im Unternehmen entsprechende Diversitätskriterien aufweisen. Doch Vorsicht, hier wird es leider schwierig. Denn die meisten Merkmale, welche in den Bereich der Diversität fallen, sind bis selbst heute bedauerlicherweise mit Diskriminierung und Entrechtung verknüpft. Das Geschlecht, die Sexualität, die Ethnie, eine Behinderung und auch die Religionszugehörigkeit sind Kategorien, nach welchen auch heute noch Menschen diskriminiert werden, sodass deren Erfassung auch in einer Belegschaft nicht unproblematisch sind.
Besondere Kategorien von Daten
Die meisten der zuvor genannten Kategorien, fallen unter die Definition des Artikel 9 der DSGVO:
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Art. 9. Abs. 1 DSGVO
Diese Kategorien sind also besonders geschützt, sodass ihre Erhebung und Verarbeitung nur in den engen Grenzen des Art. 9 zulässig ist. Die Erlaubnistatbestände aus Artikel 6 und insbesondere Art. 6 f) der DSGVO sind keine Rechtsgrundlage für Daten nach Artikel 9 DSGVO. Daher lässt sich die Erhebung oder Verarbeitung dieser Daten niemals auf ein berechtigtes Interesse stützen. Die in Art. 9 Abs. 2 DSGVO aufgeführten Rechtsgrundlagen, nach denen besondere Kategorien von Daten verarbeitet werden dürfen, sind überwiegend für Wirtschaftsunternehmen nicht anwendbar. Einige von Ihnen gelten nur für die öffentliche Hand oder sind auf sehr spezifische Zwecke begrenzt. Als Rechtsgrundlage verbleibt daher nur die Einwilligung nach Art. 9 Abs. 2 a) DSGVO.
Einwilligungen im Beschäftigungskontext
Bisher galt eine Einwilligung im Beschäftigungskontext in einer nicht nach Arbeitsvertrag oder gesetzlicher Grundlage direkt erforderliche Datenverarbeitung als nicht möglich, wenn die betroffene Person zugleich Arbeitnehmende der verantwortlichen Stelle ist. Doch inzwischen gehen herrschende Meinung geht davon aus, dass Einwilligungen im Beschäftigungskontext möglich sind. Allerdings gelten hierfür besonders hohe Anforderungen. Diese werden noch höher, wenn Daten nach Art. 9 der DSGVO von einer Verarbeitung betroffen sind. Es ist daher besonders wichtig, sehr transparent darzulegen, welche Daten hier zu welchen Zwecken verarbeitet sind. Zudem muss die Freiwilligkeit immer gewährleistet sein, denn Mitarbeitenden darf kein Nachteil entstehen, wenn diese eine Erhebung oder Verarbeitung ihrer Daten ablehnen.
Konzept entscheidend
Die bereits aufgezeigten Punkte sind also bereits vor Beginn einer Erhebung von Daten zur Diversität im Unternehmen zu beachten. Die Zwecke, für die die Daten erhoben werden, müssen klar sein. Ebenso muss ein Konzept bestehen, wer welche Daten erhält. Hier geht es insbesondere auch darum, dass Risiken einer Diskriminierung innerhalb des Unternehmens minimiert bis ausgeschlossen sind. Daher haben insbesondere direkte Vorgesetzte keinen Zugriff auf Angaben Ihrer Mitarbeitenden zu bekommen. So lässt sich das Risiko minimieren, dass ein direkter Vorgesetzter von etwaigen Datenkategorien Kenntnis erlangt.
Zudem ist genau zu bedenken, welche Kriterien in welcher Genauigkeit erfasst werden sollen. Auch im Hinblick auf Gesundheitsdaten gibt es unter Umständen viele verschiedene mögliche Angaben. Welche Auswertungen sind mit den Daten sinnvoll und welche übersteigen die Kapazitäten des Unternehmens? Letztlich ist die Erhebung dieser Daten kein Selbstzweck und welche Erkenntnisse erhofft sich daher das Unternehmen aus der Erhebung?
Um hier keine groben Fehler zu machen, empfiehlt es sich, den Datenschutzbeauftragten des Unternehmens bereits in frühen Planungsstadien derartiger Erhebungen einzubeziehen.
Datenschutz-Folgenabschätzung (DSFA)
Die umfassende Erhebung von Artikel 9‑Daten macht eine Datenschutz-Folgenabschätzung erforderlich. Dafür muss das ganze Konzept gut dokumentiert sein, und es muss wiedergeben, welche Risiken sich für die Betroffenen aus dem Datensatz ergeben. Um Risiken zu minimieren, bietet es sich an, die Daten möglichst gar nicht innerhalb des Unternehmens zu erheben und verarbeiten.
Es gibt Dienstleister, die entsprechende Services anbieten, um Umfragen durchzuführen und letztlich nur die Ergebnisse an das Unternehmen zu übergeben. In der Praxis sind hier natürlich Auftragsverarbeitungsverträge abzuschließen, bei denen vereinbart wird, dass die Daten nach Aggregierung beim Dienstleister gelöscht werden. So weit größere Teile der Auswertung im Unternehmen erfolgt, ist die Auswahl und Begrenzung der hiermit betrauten Mitarbeitenden entscheidend.
All diese Teile des Konzeptes werden dann in der Datenschutz-Folgenabschätzung berücksichtigt, um Risiken zu ermitteln und zu bewerten. Mit einem guten Schutzkonzept für die Daten und die Rechte der betroffenen Mitarbeitenden kann diese Risikoabwägung letztlich zum Ergebnis kommen, dass die Erhebung und Verarbeitung möglich ist.
Informationspflicht erfüllen
Auch die Informationen für die Mitarbeitenden muss umfassend und verständlich zusammengefasst sein und die Einwilligungserklärungen ist zu erstellen. Nur eine umfassende, transparente und verständliche Information über die Verarbeitung der Daten kann zu einer wirksamen Einwilligung führen. Dass aufgrund der Freiwilligkeit der Teilnahme und Angabe der Daten nicht alle Mitarbeitenden Angaben machen, versteht sich wohl von selbst. Aber eine gute Information, Zweckbegrenzung und Kommunikation über die Sicherheitsvorkehrungen kann das Vertrauen schaffen, um mehr Mitarbeitende zur Teilnahme zu bewegen.
Datenschutz schafft dieses Vertrauen, sodass hinterher auch eine bessere Datengrundlage vorhanden ist.
Also lassen Sie sich gut beraten.