BusFactor
Anmelden
Zur Standards-Übersicht
DSGVODSGVO

DSGVO & betriebliche Wissensdatenbanken: Was rechtssicher in einem Wissenssystem stehen darf

EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679)

Von BusFactor RedaktionVeröffentlicht Aktualisiert

Wissensdatenbanken speichern naturgemäß, was Mitarbeiter wissen — und damit personenbezogene Daten. Ob das DSGVO-konform ist, hängt nicht vom Tool ab, sondern von Zweckbindung, Rechtsgrundlage und der Mitbestimmungsfrage. Wir gehen Artikel für Artikel durch, was geht und was nicht.

Relevante Klauseln im Wortlaut

Art. 6 Abs. 1 lit. b/f DSGVO

Verarbeitung ist rechtmäßig, wenn sie zur Erfüllung des Arbeitsvertrags erforderlich ist (lit. b) oder berechtigte Interessen des Verantwortlichen überwiegen (lit. f)."

Art. 9 DSGVO — besondere Kategorien

Daten zu Gesundheit, Religion, Gewerkschaftszugehörigkeit etc. unterliegen einem grundsätzlichen Verarbeitungsverbot mit eng gefassten Ausnahmen."

Art. 88 DSGVO i.V.m. §26 BDSG

Verarbeitung im Beschäftigungskontext ist zulässig, soweit sie zur Durchführung des Arbeitsverhältnisses erforderlich ist — nicht: zur Mitarbeiterbewertung oder -überwachung."

Typische Audit-Findings

  • Keine getrennte Zweckbindung zwischen Wissensspeicher und HR-Beurteilung.
  • Mitbestimmung des Betriebsrats nach §87 Abs. 1 Nr. 6 BetrVG nicht eingeholt.
  • Datenschutz-Folgenabschätzung (Art. 35 DSGVO) fehlt, obwohl KI-gestützte Auswertung vorliegt.
  • Auftragsverarbeitungsvertrag mit KI-Anbieter unvollständig (kein Audit-Recht, keine Subverarbeiterliste).

Die typische Falle: Zweckbindung

Die meisten DSGVO-Probleme bei Wissensdatenbanken entstehen nicht aus der Technik, sondern aus unklarer Zweckbindung. Wird das System als reine Wissenssicherung eingeführt, ist Art. 6 Abs. 1 lit. f DSGVO mit dem berechtigten Interesse an Geschäftskontinuität meist tragfähig. Sobald das System aber für Mitarbeiterbewertung, Produktivitätsanalyse oder Vergleich zwischen Mitarbeitern genutzt wird — auch nur theoretisch —, kippt die Rechtsgrundlage. §26 Abs. 1 BDSG verlangt im Beschäftigungskontext eine engere Erforderlichkeitsprüfung als Art. 6 lit. f. Eine "scope creep" hin zur Leistungsmessung ist juristisch das größte Risiko.

In der Praxis empfehlen wir: Zweckbindung explizit in der Datenschutz-Folgenabschätzung niederlegen, technisch durch Funktionstrennung absichern (kein Aggregations-Dashboard nach Personen) und dem Betriebsrat schriftlich zusichern.

Mitbestimmung — der zweite Stolperstein

§87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein erzwingbares Mitbestimmungsrecht bei "technischen Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen". Eine KI-gestützte Wissensdatenbank fällt nach herrschender Meinung unter diese Klausel — auch wenn keine aktive Überwachung beabsichtigt ist; entscheidend ist die objektive Eignung. Die Konsequenz: Ohne Betriebsvereinbarung droht ein Unterlassungsanspruch und in der Folge die Pflicht, das System abzuschalten. Wer das ignoriert, hat im Worst Case ein zertifiziertes Compliance-Risiko statt Compliance-Vorteil.

Wie BusFactor diese Anforderungen umsetzt

BusFactor wurde bewusst so gebaut, dass die typischen DSGVO-Stolpersteine vermieden werden: keine Aggregations-Dashboards nach Personen, keine vergleichenden Leistungsmetriken, keine Speicherung besonderer Datenkategorien. Die Daten liegen in einem deutschen Rechenzentrum (Frankfurt). Eine Vorlage für die Datenschutz-Folgenabschätzung und einen Mustertext für die Betriebsvereinbarung stellen wir Kunden zur Verfügung. Das ersetzt keine Beratung durch Datenschutzbeauftragten und Betriebsrat, beschleunigt aber die Einführung erheblich.

Umsetzungs-Checklisten

Vor dem Roll-out

  • Zweckbindung schriftlich fixieren: „Sicherung rollenbezogenen Erfahrungswissens“ — nicht: Leistungsbewertung
  • Rechtsgrundlage benennen: in der Regel Art. 6 Abs. 1 lit. f i. V. m. überwiegendem Interesse an Geschäftskontinuität
  • Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn KI-Modelle eingesetzt werden
  • Betriebsrat einbeziehen, bevor das System eingeführt wird, nicht danach

Inhaltsregeln für die Wissensdatenbank

  • Erlaubt: Verfahrensbeschreibungen, Checklisten, Tools, Lessons Learned, Kunden-Spezifika ohne Personenbezug
  • Vermeiden: Bewertungen einzelner Mitarbeiter („A war besser als B“), Vergleichsmetriken, Performance-Kommentare
  • Verboten: Gesundheitsdaten, Gewerkschaftszugehörigkeit, politische Ansichten — auch wenn der Mitarbeiter sie selbst nennt

Technische Maßnahmen

  • Hosting in EU-Rechenzentrum (kein Drittlandtransfer ohne EU-Standardvertragsklauseln)
  • Rollenbasiertes Zugriffskonzept dokumentiert nach §32 BDSG
  • Löschkonzept: Was passiert mit dem Wissen einer ausgeschiedenen Person?

Häufige Fragen

Brauchen wir eine DSFA, wenn wir BusFactor einsetzen?

In der Regel ja. Sobald KI-gestützte Verarbeitung mit Personenbezug erfolgt, greift Art. 35 DSGVO. Die DSFA ist auch ein gutes Argument gegenüber dem Betriebsrat.

Dürfen wir das Wissen ausgeschiedener Mitarbeiter behalten?

Ja — sofern es um sachbezogenes Verfahrenswissen geht, nicht um personenbezogene Bewertungen. Empfehlung: nach Austritt anonymisieren (Autor entfernen) statt löschen.

Reicht eine Einwilligung der Mitarbeiter aus?

Im Beschäftigungskontext ist Einwilligung wegen des Über-/Unterordnungsverhältnisses oft nicht freiwillig im Sinne der DSGVO. Wir empfehlen Art. 6 Abs. 1 lit. f als Rechtsgrundlage.

Quellen & weiterführend

Weiterlesen

Standard · Mitbestimmung
Mitbestimmung beim Wissensmanagement: §87 BetrVG bei KI-gestützten Wissensdatenbanken
Blog · Grundlagen
Bus-Faktor erklärt: Warum die Frage „Was, wenn morgen niemand mehr da ist?“ über die Zukunft Ihres Unternehmens entscheidet

DSGVO-konform mit BusFactor

Wir liefern eine Mapping-Tabelle, die Auditoren direkt nutzen können — und unterstützen bei der Datenschutz-Folgenabschätzung sowie Betriebsvereinbarung.

Compliance-Beratung anfragen