DSGVO-konforme Mitarbeitervernetzung

Jedes HR-Tool, das Daten verarbeitet, ist ein Datenschutz-Tool. Das trifft auf Vernetzungsplattformen besonders zu. Sie verbinden Menschen, erstellen Profile, tracken Interaktionen und speichern persönliche Informationen. Das alles ist datenschutzrechtlich relevant. Dieser Artikel zeigt, was HR-Verantwortliche wissen müssen, um DSGVO-Konformität nicht als Hürde zu sehen, sondern als Fundament eines Tools, dem Mitarbeitende vertrauen.

Rechtsgrundlagen für Vernetzungstools

Die DSGVO gibt es nicht. Es gibt nur Rechtsgrundlagen, die eine konkrete Datenverarbeitung rechtfertigen. Für Vernetzungstools sind drei zentral.

Artikel 6 DSGVO: Die klassischen Rechtsgrundlagen

Art. 6 bietet mehrere Optionen, welche Sie wählen hängt davon ab, welche Daten Sie verarbeiten und wie.

• Abs. 1 lit. a) Einwilligung: Sie fragen Mitarbeitende ausdrücklich, ob Sie ihre Daten nutzen dürfen, um sie mit anderen zu vernetzen. Das ist die sicherste Option rechtlich, erfordert aber explizites Opt-in (nicht Opt-out) und kann jederzeit widerrufen werden.
• Abs. 1 lit. f) Berechtigtes Interesse: Sie können argumentieren, dass Vernetzung ein berechtigtes Interesse des Unternehmens ist (bessere Zusammenarbeit, Wissensfluss, Mitarbeitendenbindung). Dazu muss eine Interessenabwägung zeigen, dass Sie nicht in die Grundrechte der Beschäftigten überwiegen.

Einwilligung ist rechtlich breiter als berechtigtes Interesse, erfordert aber mehr Aufwand. Berechtigtes Interesse ist weniger eingriffsintensiv, wenn das Vernetzungstool transparent ist und Mitarbeitende echte Kontrolle haben. Die Realität vieler Unternehmen: Sie arbeiten mit einer Mischung aus beiden.

Artikel 88 DSGVO und Betriebsvereinbarung

Art. 88 ist die wichtigste Norm für Beschäftigtendatenschutz. Sie ermöglicht es Mitgliedstaaten, abweichende Regeln für die Datenverarbeitung im Beschäftigungsverhältnis zu schaffen, soweit die Grundrechte der Beschäftigten gewährleistet bleiben. Das bedeutet in Deutschland konkret:

Nach §26 Bundesdatenschutzgesetz (BDSG) können Sie personenbezogene Daten von Beschäftigten verarbeiten, wenn:

• Die Verarbeitung erforderlich ist für Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses oder für die Wahrnehmung von Aufgaben, die sich aus dem Betriebsverfassungsgesetz ergeben, oder
• Sie eine Betriebsvereinbarung haben, die das ausdrücklich zulässt.

Das ist der Schlüssel: Ein Vernetzungstool lässt sich über eine Betriebsvereinbarung rechtfertigen. Das ist schneller als die Einwilligung jedes Beschäftigten, rechtlich sauberer als ein berechtigtes Interesse allein, und es gibt dem Betriebsrat reale Einflussmöglichkeiten.

Praktische Empfehlung: Welche Route wählen?

Bei Betriebsrat über 20 Personen: Betriebsvereinbarung. Das ist der Standard-Weg. Bei keinem oder sehr kleinem Betriebsrat: Kombination aus transparenter Information (Art. 13/14 DSGVO) und berechtigtem Interesse plus Opt-out-Möglichkeit. Einwilligung allein ist zu fragil rechtlich.

Betriebsrat und Mitbestimmung

Das Betriebsverfassungsgesetz (BetrVG) gibt dem Betriebsrat Mitspracherechte bei personalwirtschaftlichen Maßnahmen. Ein Vernetzungstool ist eine solche Maßnahme, weil es die Arbeit und den Arbeitsalltag betrifft.

Wann der Betriebsrat mitbestimmen muss (§87 BetrVG)

Der Betriebsrat hat nach §87 Abs. 1 BetrVG ein Mitbestimmungsrecht bei folgenden Fragen:

• Grundsätze und Richtlinien über die Personalplanung
• Richtlinien über die Auswahl, Einstellung und Eingruppierung
• Maßnahmen zur Förderung der Mitarbeitenden
• Sicherheitsmaßnahmen und zum Schutz der Gesundheit

Ein Vernetzungstool betrifft mehrere dieser Punkte: Es ist eine Maßnahme zur Personalentwicklung und Förderung, es verarbeitet sensible Daten (Sicherheit, Datenschutz) und es kann der Gesundheit oder dem Wohlbefinden zuträglich sein. Das ist genug für Mitbestimmung.

Betriebsratsbeteiligung in der Praxis

Das bedeutet nicht, dass der Betriebsrat ein Veto-Recht hat. Es bedeutet, dass HR das Tool nicht einfach einführen kann. Stattdessen: Transparenz mit dem Betriebsrat früh, in der Planung. Ein gemeinsames Verständnis darüber, welche Daten warum verarbeitet werden, wie Mitarbeitende kontrollieren können, wer ihre Profile sieht. Das spart später Konflikte und schafft eine Betriebsvereinbarung, die rechtsicher ist.

Welche Daten werden verarbeitet?

Ein Vernetzungstool ist ein Matching-System. Das heißt, es braucht Daten über Mitarbeitende, um sie zu verbinden. Welche Daten sind rechtlich unkritisch, welche brauchen besondere Rücksicht?

Unkritische Basisdaten

• Name, Vorname, Funktion (minimale Identität)
• Abteilung, Team, Standort (organisatorischer Kontext)
• Fachgebiet, Expertise, Kompetenzen (für Matching notwendig)

Diese Daten sind notwendig für das Tool und rechtlich unproblematisch, wenn sie am Ort des Arbeitsvertrags bleiben (nicht extern weiterverkauft werden).

Sensible Daten, die besondere Aufmerksamkeit brauchen

• Interessen, Hobbys, persönliche Leidenschaften: Diese können zu Profiling führen und sollten freiwillig sein.
• Mentor:innen/Mentee-Status: Das zeigt Entwicklungsstand und kann zu Diskriminierung führen.
• Generations- oder Altersgruppen: Die genaue Kontrolle von Altersgruppen ist nicht notwendig für Matching; es reicht die Abteilung.
• Gesundheitsangaben, familiärer Status, religiöse Zugehörigkeit: Diese sollten niemals in einem Vernetzungstool sein.

Datenminimierung: Das Prinzip

Der DSGVO liegt ein einfaches Prinzip zugrunde: Verarbeite nur die Daten, die du wirklich brauchst. Das ist nicht nur rechtlich geboten, sondern auch sinnvoll für das Tool. Ein schlankes Profil funktioniert besser als ein überladenes.

Technische Anforderungen

Technische Sicherheit ist Datenschutz. Hier die praktischen Anforderungen.

Verschlüsselung

Alle Daten müssen in der Übertragung (TLS 1.2 oder höher) und im Ruhezustand (AES-256 oder äquivalent) verschlüsselt sein. Das ist Standard, aber nicht selbstverständlich. Fragen Sie nach.

Zugriffskontrolle

Nur die Mitarbeitenden, die das Vernetzungstool nutzen, sollten ihre eigenen Profile sehen und kontrollieren können. Administratoren brauchen Zugang aus technischen und Support-Gründen, aber nur mit Protokollierung und Audit-Logs, die die Zugriffe dokumentieren.

Datenminimierung in der Architektur

Das System sollte so designed sein, dass nicht mehr Daten erhoben oder gespeichert werden als notwendig. Ein gutes Zeichen: Matching funktioniert anonym, und nur die Vorschläge (nicht die Matching-Kriterien) werden den Nutzern gezeigt.

Serverstandort und Datentransfer

Server sollten in Deutschland oder der EU sein. Transfers in Länder ohne Angemessenheitsbeschluss (USA, Vereinigtes Königreich seit dem Austritt) sind rechtlich problematisch und erfordern zusätzliche Garantien wie Standard-Vertragsklauseln und eine Vorab-Risikoanalyse.

Aufbewahrungsfristen

Daten sollten nicht "für immer" gespeichert werden. Eine sinnvolle Aufbewahrungsfrist ist: So lange wie das Arbeitsverhältnis besteht, plus 3 Jahre danach (Archivierungspflicht). Nach dieser Zeit sollten Daten gelöscht oder vollständig anonymisiert werden. Das sollte automatisiert erfolgen, nicht manuell.

Compliance-Checkliste für HR

Diese Punkte sollten vor der Einführung abgehakt sein.

• Datenschutzfolgeabschätzung (DPIA): Gemäß Art. 35 DSGVO müssen Sie prüfen, ob die Verarbeitung ein hohes Risiko mit sich bringt (das ist bei Vernetzungstools eher nicht der Fall, aber die Dokumentation ist wichtig).
• Verarbeitungsverzeichnis: Alle Datenverarbeitungen sollten dokumentiert sein: Welche Daten, zu welchem Zweck, wie lange, an wen weitergegeben, technische Maßnahmen.
• Auftragsverarbeitungsvertrag (AVV): Der Anbieter des Tools muss einen unterzeichneten AVV haben. Das ist ein Standardvertrag, der regelt, dass der Anbieter Daten nur nach Weisung der HR verarbeitet.
• Informationspflicht (Art. 13/14 DSGVO): Mitarbeitende müssen wissen, dass ein Vernetzungstool läuft, welche Daten verarbeitet werden, wer Zugang hat, und wie lange die Daten gespeichert werden. Das kann in der Betriebsvereinbarung oder in einem Merkblatt geregelt sein.
• Betriebsvereinbarung: Wenn es einen Betriebsrat gibt (über 20 Personen), sollte eine Betriebsvereinbarung zur Einführung des Tools geschlossen werden.
• Betroffenenrechte: Mitarbeitende haben das Recht, ihre Daten zu sehen (Auskunftspflicht), fehlerhafte Daten zu korrigieren (Berichtigungsrecht), und in einigen Fällen Löschung zu fordern. Das Tool oder die HR muss das handhaben können.
• Datenschutzbeauftragte (sofern vorhanden): Die DSB sollte die Einführung früh sehen und ein Okay geben.

Häufige Fehler

Was gut gemeinte HR-Teams oft falsch machen:

Fehler 1: Keine Betriebsratsbeteiligung

Ein Vernetzungstool ohne Betriebsrat ist rechtlich brüchig. Der Betriebsrat wird es später trotzdem erfahren (Mitarbeitende berichten) und dann gibt es Ärger. Besser von Anfang an transparent.

Fehler 2: Keine definierten Aufbewahrungsfristen

Daten sammeln sich an, weil keiner klar gemacht hat, wann sie gelöscht werden. Das ist nicht nur datenschutzrechtlich problematisch, es macht das System auch mit der Zeit träger und risikobehafteter.

Fehler 3: Profilinformationen ohne Einwilligung

Ein häufiger Fall: Basisdaten (Name, Abteilung) sind okay, aber dann fragt das System nach Interessen, Mentoringstatus oder Lieblingsprojekten, ohne dass Mitarbeitende aktiv einwilligen. Das sollte optional sein, nicht implizit erhoben werden.

Fehler 4: Profiling ohne Transparenz

Das System erstellt Risikomodelle oder "Fluktuation-Scores" auf Basis von Netzwerk-Aktivität. Mitarbeitende erfahren nicht, dass sie so analysiert werden. Das ist nicht konform. Alle automatisierte Entscheidungen müssen transparent sein.

Fehler 5: Externe Weitergabe ohne Klärung

Die Vernetzungsdaten werden an eine externe Organisations- oder Talentförderungs-Plattform weitergegeben, weil das Tool integriert ist. Das geht nur mit expliziter Einwilligung oder einer separaten Betriebsvereinbarung.

Zertifizierungen und Standards

Ein Anbieter zu fragen "Sind Sie DSGVO-konform?" ist wie einen Arzt zu fragen "Sind Sie medizinisch kompetent?" Es ist zu vage. Besser sind konkrete Nachweise.

ISO 27001

ISO 27001 zertifiziert, dass ein Unternehmen ein Informationssicherheitsmanagementsystem hat. Das ist keine Datenschutz-Zertifizierung, aber es zeigt, dass Sicherheit strukturiert angegangen wird. Ein gutes Zeichen.

SOC 2 Typ II

SOC 2 ist ein amerikanischer Standard für Cloud-Dienste. Er deckt Sicherheit, Verfügbarkeit und Confidentiality ab. Für Deutschland und Europa ist SOC 2 weniger relevant, aber es zeigt Professionalität.

C5 (BSI Cloud Computing Compliance Criteria)

Das ist der deutsche Standard für Cloud-Sicherheit. Wenn der Anbieter C5-zertifiziert ist oder anstrebt, ist das ein starkes Signal für deutsche Compliance-Standards.

Faustregel: ISO 27001 sollte vorhanden sein. C5 oder SOC 2 sind Nice-to-have, aber ISO 27001 ist das Minimum für deutsche HR-Tools.

DSGVO-konforme Vernetzung mit Workdate

Workdate ist mit Blick auf Datenschutz designed und betrieben:

• Server in Deutschland: Alle Daten sind in deutschen Rechenzentren. Keine Transfers außer der EU ohne expliziten Opt-in.
• DSGVO-konform by design: Das System erfüllt Datenminimierung durch seine Architektur. Matching läuft anonym, nur Ergebnisse werden angezeigt.
• ISO 27001-orientiert: Workdate arbeitet zu ISO-27001-Standards. Das System wird regelmäßig intern geprüft und extern auditiert.
• Betriebsrat-freundlich: Workdate unterstützt das Einführungs-Prozess mit Betriebsräten durch Dokumentation und Transparenz über Datenverarbeitung.
• Auftragsverarbeitungsvertrag: Standard-AVV liegt vor. Konfigurierbare Aufbewahrungsfristen sind in der Plattform verfügbar.
• Betroffenenrechte: Mitarbeitende können ihre Daten über ein Self-Service-Portal einsehen, korrigieren oder löschen.

Häufig gestellte Fragen

Verwandte Themen