Datenschutzgrundverordnung in der Praxis des Ideenmanagements

Die Walldorfer dacuro GmbH stellt den externen Datenschutzbeauftragten für Unternehmen, hilft bei der Erfüllung der Dokumentationspflichten und berät rund um den Themenkomplex Datenschutz. Erfüllen der Anforderungen der DSGVO, ohne den Alltag zu blockieren, ist der Anspruch der dacuro GmbH. Das Team aus Juristen und IT-Spezialisten unterstützt bei allen Herausforderungen der DSGVO, seien sie juristischer oder technischer Natur.

Die europäische Datenschutzgrundverordnung (DSGVO) gilt seit dem 25. Mai 2018 und entfaltet immer mehr Wirkung. Im letzten Jahr haben sich viele Unternehmen auf den Weg gemacht, diese gesetzlichen Anforderungen umzusetzen. Nicht zuletzt deswegen hat auch die Zahl der DSGVO-Ratgeber und Implementierungshilfen zugenommen. Es stellen jedoch einige Unternehmen fest, dass bei der Umsetzung der DSGVO, wie bei einem Frühjahrsputz, viele der problematischen Ecken erst nach und nach erkennbar werden. Eine solche „Ecke“, die beim Datenschutz häufig noch vernachlässigt wird, ist das Ideenmanagement.

In diesem Artikel wollen wir für Sie als Ideenmanager praxisgerecht erläutern, über welches Grundwissen zum Datenschutz Sie verfügen sollten. Aus unseren Erläuterungen ergeben sich konkrete Handlungsempfehlungen, die wir am Schluss tabellarisch zusammenfassen. Dieser Artikel soll Sie in die Lage versetzen, die Thematik Datenschutz mit einem internen oder externen Datenschutzbeauftragten fachbezogen zu diskutieren und darauf aufbauend für Ihren Verantwortungsbereich im Ideenmanagement die Regelungen auf Vollständigkeit und Rechtskonformität zu prüfen.

Unsere Ausführungen können natürlich keine Rechtsberatung darstellen. Zudem werden manche Anforderungen der DSGVO erst nach und nach in der behördlichen Anwendung und Rechtsprechung klar, so dass es zum gegenwärtigen Zeitpunkt unmöglich ist, sich über die Vollständigkeit der Ausführungen sicher zu sein.

Die target-Software greift direkt innerhalb der SAP-Software auf die notwendigen Personaldaten zu, so dass eine Datenschnittstelle mit redundanter Speicherung von Personaldaten in der Ideenmanagement-Software entfällt. Dieser Tatbestand erleichtert beträchtlich die Einhaltung der DSGVO, weil die personenbezogenen Daten im Ideenmanagement nur in pseudonymisierter Form gespeichert werden. Ideendaten enthalten Personalnummern für Einreicher, Gutachter, Realisierer etc. Nur unter Hinzuziehung zusätzlicher Informationen aus den Personaltabellen im SAP-System können die Ideen einer spezifischen Person zugeordnet werden.

Die DSGVO beschreibt einige Grundsätze, die bei jedem Verarbeitungsprozess personenbezogener Daten beachtet werden müssen. Diese sind die Grundsätze der Zweckbindung, Datensparsamkeit bzw. Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Zudem gilt für jede Datenverarbeitung die Rechenschaftspflicht des Verantwortlichen. Diese Rechenschaftspflicht begründet die Notwendigkeit der Führung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO, auf das wir später noch eingehen werden. Selbstverständlich sollte in diesem Verzeichnis auch ein Eintrag zum Ideenmanagement zu finden sein, aus dem sich insbesondere Zugriffsrechte und Löschfristen ablesen lassen.

Bei der Umsetzung des Ideenmanagements sind insbesondere die Grundsätze der Zweckbindung und der Datenminimierung zu beachten, d. h. die personenbezogenen Daten müssen dem Zweck „Ideenmanagement“ angemessenen sowie auf das notwendige Maß beschränkt sein.

Personalnummer, Name, E-Mail-Adresse oder die organisatorische Zuordnung, aus der sich der Vorgesetzte oder der Ideenmanager ergibt, sind offensichtlich notwendige Informationen, damit Ideenmanagement funktionieren kann. In anderen Fällen kommt es auf die Ausgestaltung an. Persönliche Adressdaten sind z. B. notwendig, wenn das Ideenmanagement an einen Prämienshop angebunden ist, der Sachpreise an die private Anschrift versendet. In den meisten Fällen dürften private Adressdaten jedoch unnötig sein.

In vielen Fällen wird es von der Rolle des Nutzers in Bezug zu einer Idee ankommen, welche personenbezogenen Daten dem Nutzer angezeigt werden. Bei einer allgemeinen Ideen-Recherche z. B. nach Schlagworten werden dem Nutzer die Ideen angezeigt, die seinen Suchkriterien genügen und vom Unternehmen für diese Recherche zugelassen sind (z. B. nur abgeschlossene, keine offenen Ideen). Wenn man nach dem Zweck dieser Recherche fragt, wird man verschiedene Antworten erhalten, wie „Ich habe da eine Idee, aber vielleicht ist die schon bekannt“ oder „Ich habe da ein Problem, vielleicht gibt es schon eine Lösung.“ Eine Anzeige der Einreicher oder gar die Anzeige der gezahlten Prämien ist für diese Zwecke unerheblich, also sollte das entfallen. In anderen Fällen ist die Entscheidung schwieriger. Darf der Einreicher sehen, wer das Gutachten verfasst hat und was im Gutachten steht? Dazu kann es unterschiedliche Auffassungen geben, die im Zusammenhang mit der gelebten Unternehmenskultur stehen.

Eine Nutzung von Informationen wie Geschlecht, Alter oder Nationalität mit denen Statistiken zur Beteiligungsquote differenziert dargestellt werden könnten, ist u. E. in der Regel nicht zulässig, weil diese Daten zur Abwicklung des Ideenmanagements nicht benötigt werden. Sollte eine statistische Erhebung zum Gebrauch des Ideenmanagement in einem Unternehmen notwendig geworden sein, so lässt sich diese, zeitlich begrenzte Erhebung als separate Verarbeitungstätigkeit darstellen. Diese muss dann jedoch eigenständig den Anforderungen der Rechtmäßigkeit (unten ausgeführt) und den oben genannten Grundprinzipien genügen. Dies im Einzelnen darzustellen würde allerdings den Rahmen dieses Artikels sprengen.

Die Rechenschaftspflicht liegt beim Ideenmanagement, d.h. das Ideenmanagement muss die Einhaltung der Grundsätze nachweisen können.

Die DSGVO begründet auch rechtlich durchsetzbare Rechte für Betroffene. Diese sind das Recht auf Information/Auskunft und eine Kopie der vorgehaltenen Daten, das Recht auf Richtigkeit der verarbeiteten Daten und das Recht auf Löschung oder Einschränkung der Verarbeitung dieser Daten.

Für das Ideenmanagement praxisrelevant ist hier das Recht des Mitarbeiters, dass Informationen über seine Mitwirkung in Ideen (als Einreicher, Gutachter, Realisierer oder in einer sonstigen Rolle) gelöscht werden, wenn dieser es verlangt oder wenn diese personenbezogenen Daten nicht mehr für die Zwecke des Ideenmanagements benötigt werden. Das Recht auf Löschung besteht allerdings nicht, wenn die Erfüllung einer rechtlichen Verpflichtung dem entgegensteht.

Das Recht auf Löschung personenbezogener Daten erfordert auch nicht, dass die Idee zu löschen ist. Die Ideenhistorie (Beschreibungen, Kommentare, Nutzenkalkulation etc.) kann durchaus erhalten bleiben. Das Recht auf Löschung meint vielmehr, dass die Beziehungen zu Personen entfernt werden müssen. Dieser Grundsatz der Lösung des Personenbezugs schließt aber mehr ein, als im ersten Moment ersichtlich ist.

Zunächst wollen wir aber der Frage nachgehen, wann personenbezogene Daten in einer abgeschlossenen Idee nicht mehr für die Zwecke des Ideenmanagements benötigt werden.

In der Regel werden in einer Betriebsvereinbarung die folgenden Fristen festgelegt, die die Aufbewahrung der Idee über die reine Umsetzung oder Ablehnung hinaus regeln:

Als Faustformel kann somit gelten, dass personenbezogene Daten in den Ideen für die Zwecke des Ideenmanagements nach ca. drei Jahren nicht mehr benötigt werden. Achtung: dies heißt allerdings nicht, dass die personenbezogenen Daten nach dieser Frist in allen Ideen generell entfernt werden dürfen, da Sie zusätzlich steuerrechtliche Vorschriften beachten müssen.

Wegen solcher steuerrechtlichen Vorschriften müssen Sie bezüglich der Löschfrist prämierte Ideen von nicht prämierten Ideen unterscheiden. Für nicht prämierte Ideen kann jedoch schon mal festgehalten werden, dass der Personenbezug nach ca. drei Jahren entfernt werden muss.

Prämien führen zu zusätzlichen Daten in der Lohn- und Gehaltsabrechnung. In der Praxis handelt es sich dabei um Lohnarten mit den Angaben Personalnummer, Lohnart-ID, Betrag, Entstehungsdatum, ID des Vorschlags zu Referenzzwecken und ggf. Kostenstellen-ID für eine Kostenzuordnung der Prämie auf die nutzende Kostenstelle der Idee. Diese Daten fallen unter die gleichen Vorschriften und Aufbewahrungsfristen wie andere lohn- und gehaltsrelevante Daten.

Nach steuerrechtlichen Vorschriften (Abgabenordnung) gilt für Abrechnungsunterlagen und Buchungsbelege eine Aufbewahrungsfrist von 10 Jahren. Diese Frist kann sich jedoch noch verlängern, z. B. wenn die Steuerfestsetzung für einzelne Jahre nur vorläufig erlassen wurde. Diese Aufbewahrungsfrist betrifft in erster Linie die Abrechnungsstelle in Ihrem Unternehmen. Zu diskutieren ist nun, ob sich die lange Aufbewahrungsfrist nun auch auf die personenbezogenen Daten in den Ideen bezieht.

Nach unserer Einschätzung ist die Frage zu bejahen, d.h.  die lange Aufbewahrungsfrist ist auch für  die personenbezogenen Daten im Ideenmanagement zu beachten.  In den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) heißt es: „Neben den außersteuerlichen und steuerlichen Büchern, Aufzeichnungen und Unterlagen zu Geschäftsvorfällen sind alle Unterlagen aufzubewahren, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen im Einzelfall von Bedeutung sind (vgl. BFH-Urteil vom 24. Juni 2009, BStBl II 2010 S. 452).“

Auf gut Deutsch: es reicht nicht aus, nur den digitalen Lohnartenbeleg für die Prämienzahlung in der Abrechnungsstelle aufzubewahren. Ein Prüfer könnte Einsicht in die entsprechende Idee (einschließlich der personenbezogenen Daten) verlangen, weil nur dadurch die Prämie überprüft werden kann. Die personenbezogenen Daten sind erforderlich, da die Prämie von personenbezogenen Fakten, wie z. B. dem Anteil des Einreichers und der Einschätzung der Nähe zum Aufgabengebiet, abhängen kann.

Einfach und pragmatisch ist der Ansatz, grundsätzlich alle nicht prämierten Idee nach ca. 3 Jahren und alle prämierten Ideen nach Ablauf der Aufbewahrungsfrist (10 Jahre und mehr) zu löschen. Nachteilig ist der Verlust der Historie, jedoch sollte sich jedes Unternehmen fragen, ob überhaupt Ideen, die vor mehr als 10 Jahren abgeschlossen wurden, noch wert sind, aufbewahrt zu werden.

Statt des Löschens wäre es natürlich auch denkbar, die Ideen als solche zu behalten und nur den Personenbezug zu entfernen. Dies kann sich aber in der Praxis als schwierig und mit einem hohen Aufwand verbunden darstellen.

Es ist nämlich nicht auszuschließen, dass im beschreibenden Fließtext einer Idee Bezüge zu Personen stehen, die nicht so einfach erkennbar sind. Alle Informationen und Angaben, die eine Identifizierung erlauben, machen aus einem Datensatz personenbezogene Daten. Wenn etwa aus dem Text klar wird, dass der Einreicher männlich war, es aber zur relevanten Zeit nur einen (bekannten) Mann in der entsprechenden Abteilung gab, so liegen personenbezogene Daten vor. Gleiches ist denkbar, wenn z.B. Herkunft, Sprache, körperliche Besonderheiten o.ä. eine Rolle spielen. Solche Merkmale lassen es häufig zusammen etwa mit Informationen zur Abteilung oder der Funktion zu, dass Personen auch ohne Angaben zu Namen oder Kontaktdaten identifiziert werden können.

Ferner enthalten elektronische Dokumente, die einer Idee beigefügt sein können, häufig in den sogenannten „Metadaten“ personenbezogene Daten. So ist über die Dokument-Eigenschaften häufig z.B. der Verfasser oder die letzte Änderung protokolliert. Auch hierbei handelt es sich um personenbezogene Daten. Das ist oberflächlich nicht sofort sichtbar und dürfte Vielen gar nicht bewusst sein.

Das Löschen der gesamten Idee ist daher die vorsichtigere Variante.

Als letzten Punkt muss genannt werden, dass Daten auch auf Antrag des Betroffenen, u.U. vor dem Ablauf „normaler“ Aufbewahrungsfristen, gelöscht werden müssen. Zieht ein Einreicher etwa seine Idee zurück und verwirkt so Prioritätsansprüche, und hat er keine Prämie erhalten, so müssen Ideendaten unverzüglich nach Anfrage gelöscht, bzw. der Personenbezug entfernt werden. Ein eigenes Interesse an diesen (personenbezogenen) Daten kann eine Firma dann ohne Rückgriff auf rechtliche Pflichten nicht geltend machen. Allerdings heißt dies nicht unbedingt, dass nicht die Substanz des Verbesserungsvorschlages trotzdem erhalten und umgesetzt werden kann. Der betroffene Mitarbeiter hat dann u.U. nur eine informationelle Verbindung zu seinem Einreichen dieser Idee unmöglich gemacht.

Wir fassen zusammen: Die Pflicht zur Löschung personenbezogener Daten im Ideenmanagement besteht in Bezug auf nicht prämierte Ideen nach ca. drei Jahren, in Bezug auf prämierte Ideen frühestens nach 10 Jahren. Eine Verlängerung tritt ein, wenn Gründe für eine längere Aufbewahrung von Abrechnungsunterlagen gegeben sind. Die Erfüllung steuerrechtlicher Vorschriften erlaubt keine frühere Löschung personenbezogener Daten der prämierten Ideen. Auf Anfrage ist eine Löschung allerdings vorher möglich – vor allem wenn keine weiteren Vorgänge, wie etwa Prämierung, durch die Idee ausgelöst wurden. Die steuerrechtlichen Aufbewahrungspflichten gehen einem Löschgesuch generell vor.

Die target-Software bietet alle Möglichkeiten, das „Recht auf Vergessenwerden“ abzubilden, unabhängig davon, welchen der möglichen Wege der Kunde wählt.

Wie schon oben erwähnt, findet auch das Ideenmanagement seinen Niederschlag im Verzeichnis der Verarbeitungstätigkeiten. Die hier aufgenommene Information kann der Ideenmanager häufig maßgeblich beeinflussen. Obwohl das Verzeichnis der Verarbeitungstätigkeiten vielleicht als eine mühsame Übung erscheinen mag, ist sein Inhalt doch äußerst relevant. So wird nicht nur der Datenschutzbeauftragte seine Risikobewertungen nach den hier gespeicherten Informationen ausrichten, auch die Aufsichtsbehörden fragen im Beschwerdefall regelmäßig die entsprechenden Einträge im Verzeichnis ab. Die hier gelieferte Beschreibung beeinflusst dann die behördliche Bewertung der beanstandeten Situation.

Das Ideenmanagement muss einen Verfahrenseintrag erstellen, aus dem u.a. die Zweckbestimmung der Daten, die Rechtsgrundlage der Erhebung, die Kategorie der verarbeiteten Daten, die Zugriffsberechtigung und die Regelfristen für die Löschung hervorgehen, sowie das Vorhandensein eines Auftragsverhältnisses.

Hier ist darauf zu achten, dass die Datenverarbeitung in Bezug auf die im Ideenmanagement vorhandenen Rollen klar beschrieben wird, und auch die verschiedenen möglichen Fälle klar (z. B. Mit/Ohne Prämierung) deutlich definiert werden, um spätere Beanstandungen durch die Behörden zu vermeiden.

Wir fassen die sich aus den obigen Erläuterungen für Sie ergebenden Handlungsempfehlungen nach den folgenden Gliederungspunkten zusammen:

• Dokumentation der Verarbeitungsvorgänge
• Auswahl des Partners für Software und Dienstleistung
• Konfiguration und Betrieb der Software

Im Hinblick auf „Dokumentation“ sollten Sie beachten:

• Erstellen Sie eine Intranet-Seite mit Datenschutz-Hinweisen für das Ideenmanagement.
• Erstellen Sie einen Eintrag im Verfahrensverzeichnis.

Im Hinblick auf „Auswahl des Partners für die Software und Dienstleistung“ sollten Sie beachten:

• Wählen Sie nur einen Partner aus, der hinreichende Garantien gemäß DSGVO bietet.
• Schließen Sie einen Vertrag zur Auftragsdatenverarbeitung.

Im Hinblick auf „Konfiguration und Betrieb der Software“ sollten Sie beachten:

• Minimieren Sie die personenbezogenen Daten.
• Zeigen Sie rollen- und aufgabenangemessen nur die notwendigen Daten.
• Verlinken Sie auf die Datenschutz-Hinweise in der Ideenmanagement-Software und in allen E-Mails, die zum Ideenmanagement verschickt werden.
• Verlinken Sie auf die Betriebsvereinbarung in der Ideenmanagement-Software.
• Sehen Sie im Einreichformular eine obligatorische Checkbox zur Einwilligung vor.
• Informieren Sie eine Person jedes Mal, wenn sie einer Idee zugeordnet wird.
• Löschen Sie nicht prämierte Ideen nach ca. drei Jahren – oder - entfernen Sie dann personenbezogene Daten in nicht prämierten Ideen.
• Löschen Sie prämierte Ideen nach Ablauf der Aufbewahrungspflicht (10 Jahre und mehr) – oder – entfernen Sie dann personenbezogene Daten in prämierten Ideen.

Weitere Informationen sind für target-Kunden im „my target“-Bereich verfügbar (Login erforderlich).

Vielen Firmen wird erst nach und nach der Umfang der datenschutzrechtlichen Verpflichtungen klar. So wird es nicht wenige geben, die das Ideenmanagement bei der Umsetzung der DSGVO noch gar nicht bedacht haben. Da allerdings auch in diesem Kontext personenbezogene Daten verarbeitet werden, kommt die DSGVO voll zum Zuge.

Diese Tatsache soll aber kein Anlass zur Panik sein. Obwohl es zur datenschutzkonformen Umsetzung des Ideenmanagements einige Punkte zu beachten gibt, wird hier doch von keinem Unmögliches verlangt. Die oben genannten Handlungsempfehlungen werden sich in aller Regel unter dem Einsatz von etwas Sorgfalt und Zeit gut umsetzen lassen.