Arbeitszeugnisgeneratoren

Ich habe eine Frage zu Diensten, die aus Angaben eines Arbeitgebers ein Arbeits- oder Zwischenzeugnis für den Arbeitnehmer generieren, wie z.B. den Haufe Zeugnismanager.

Meine Frage: Müssen Arbeitnehmer über die Verwendung solcher Dienste in Kenntnis gesetzt werden?

Immerhin erhalten die Dienstleister dabei durchaus sensible Arbeitnehmerdaten inklusive Beurteilung, daher wäre nach meinem Rechtsempfinden eine Einwilligung oder zumindest eine Information erforderlich.
Dummerweise ist mein Rechtsempfinden i.d.R. nicht maßgeblich…

Grundsätzlich gilt hier, wie auch sonst, wenn der Anbieter als Auftragsdatenverarbeiter auftritt, langt es wenn der, wie in diesem Fall, Arbeitgeber einen ADV mit dem Dienstleister abgeschlossen hat. Siehe hierzu u.a. Art. 28 DSGVO. Eine Offenlegung des Anbieters gegenüber dem Betroffenen muss nicht erfolgen.

Ich hoffe, das stimmt nicht: „I.d.R“ sollte dein Rechtsempfinden schon maßgeblich sein!

Die vorangehende Antwort halte ich für korrekt und will nur ergänzen: Dein Rechtsgefühl, dein Gedanke oder deine Frage findet in DSGVO 13 (1) e und 14 (1) e eigentlich aber doch nur scheinbar eine Stütze!
Du hast also im Grunde den richtigen Ansatz.

Dort heißt es:

(1) Werden personenbezogene Daten … erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: …

e. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten …

Quelle:
https://dsgvo-gesetz.de/art-13-dsgvo/
https://dsgvo-gesetz.de/art-14-dsgvo/

Jedoch ist gerade der Grund für die Einführung der Auftragsverarbeitung nach DSGVO 28 der, die Dinge zu vereinfachen: Aufgrund der strengen Bindung (Vertrag!) und Kontrollpflicht des Auftraggebers (Arbeitgeber) mit dem Auftragnehmer (Haufe) wird der Auftragnehmer nicht als weitere getrennte Einheit betrachtet, sondern sozusagen mit dem Auftraggeber (Arbeitgeber) verschmolzen.
Der Arbeitgeber nutzt Haufe auch nur als eines von vielen Instrumenten.
Und Haufe hat dem Arbeitgeber auch zu gehorchen, was den Datenumgang angeht: Die Oberhoheit liegt beim Arbeitgeber. Haufe ist insoweit völlig abhängig, muss beispielsweise SOFORT löschen, korrigieren etc., wenn der Arbeitgeber das verlangt.

Haufe hat die Problematik auch erkannt bzw. erkennbar auch den von ihnen jeweils zu unterschreibenden Vertrag mit dem Arbeitgeber gelesen, denn auf deren Webseite heißt es u.a.

Wie der Zeugnisgenerator die Sicherheit Ihrer Daten garantiert

Datenschutz

Machen Sie sich keine Sorgen hinsichtlich der Sicherheit, Kontrolle und Schutz Ihrer Daten. Wir bieten unseren Kundinnen und Kunden das, was sie von uns erwarten.

• Regelmäßige Sicherheitsüberprüfungen durch externe Stellen

• Alle Daten bleiben in Deutschland

• Erstellte Zeugnisse können jederzeit manuell oder automatisch gelöscht werden

• Vertrag mit allen Dienstleistenden gem.- Art. 28 DSGVO

Regelmäßig führen externe Stellen für uns Sicherheitsüberprüfungen durch. Unsere Hoster verfügen unter anderem über folgende Zertifikate.

Deshalb also handelt es sich beim Auftragsverarbeiter fiktiv (!) nicht um einen „Dritten“.

Er muss deshalb dem Arbeitnehmer den Namen oder auch die Tatsache der Auftragsverarbeitung so wenig mitteilen, wie die Tatsache, dass er mit seiner IT (Computer, Telefonanlage etc. - Datenverarbeiter!) mit Dritten über dich spricht, faxt oder mailt.
Oder seinem Steuerberater deine Lohnunterlagen ständig übermittelt etc.

Vielen Dank für die Antworten.

Mit meinem Rechtsempfinden ist das so eine Sache. Den Begriff der „Informationellen Selbstbestimmung“ nehme ich eher wörtlich und stelle bei Gelegenheiten wie dieser Frage dann doch oft fest, dass es damit nicht weit her ist. Da werden Daten über mich oder Untergebene von mir an Stellen verarbeitet, von denen ich nichts weiß und auf die ich keinerlei Einfluss habe.
Dass der Dienstleister „auf Wunsch“ die Zeugnisse löscht, ist ja schön, aber derjenige, der das veranlassen könnte, nämlich der Arbeitgeber, hat daran gar kein Interesse. Und das Zeugnis ist ja nur das Ergebnis eines Prozesses, bei dem die Erstellung eines Profiles unausweichlich ist. Mein Vertrauen, dass dieses ggf. wertvolle Profil nicht doch behalten bzw. an anderer Stelle vermarktet wird, ist eher gering. Überprüfen kann ich das nicht, weil ich als normaler Arbeitnehmer von dem ganzen Ablauf ja gar nichts erfahre.

Genau, und eben das ist nicht geeignet, das Rechtsempfinden des Opfers zu stärken!

Verträge, die irgendwer mit irgendwem hat, oder Regeln, die es für irgendwas gibt, []alleine[/u], erzeugen genau gar kein Vertrauen, wenn man nicht einmal um Erlaubnis ersucht wird, und es nicht verhindern oder kontrollieren kann.

Das ist die Krux an dem ganzen Kram.

Das mag sein, aber Arbeitgeber müssen ihren Betrieb irgendwie sinnvoll organisieren - für die meisten kleineren Betreibe heißt das, dass sie eine externe Buchhaltung beauftragen. Die weiß dann nicht nur Dein Geburtsdatum, sondern auch Deine Sozialversicherungsnummer, Familienstand, Kinder, Religionszugehörigkeit, Steuerklasse, Krankenzeiten …

Ich weiß, dass „das war schon immer so“ kein Argument ist, aber „das geht nicht anders“ ist eins. Die DSGVO hat dafür die Kategorie der Auftragsdatenverarbeitung eingeführt. Notwendige Aufgaben darf der Arbeitgeber auslagern. Und ein rechtswirksames Zeugnis zu verfassen, ist eine Aufgabe, die die meisten Arbeitgeber bei weitem überfordert. (Das war nicht schon immer so )

Deswegen ist das in meinen Augen ein Gesetz zur digitalen Ausbeutung der Menschen.
Daß es zu unserem Schutz sei, ist nur der Vorwand, um es den Menschen zu verkaufen.

„Die deutsche Bundesregierung hat in dem Gesetzgebungsprozess vor allem die Interessen der Wirtschaft vertreten"

© Jan Philipp Albrecht zur DS-GVO

Ich weiß gar nicht mehr, was ich zu solchen Äußerungen sagen soll … was wäre denn ohne die DSGVO? Dann wäre das auch erlaubt. Das war schon immer erlaubt.

Niemand hatte jemals die Absicht, externe Buchhaltungen oder andere B2B-Dienstleistungen zu verbieten - auch Jan Philipp nicht. Niemand! Es war erlaubt, es ist erlaubt und es wird auch erlaubt bleiben.

Damit hat die DSGVO nicht das geringste zu tun, sie nennt es bloß jetzt Auftragsdatenverarbeitung und knüpft daran Pflichten der beteiligten Unternehmen, die vorher nicht bestanden.

Die DSGVO ist aus Verbrauchersicht ÜBERALL eine Verbesserung.

Der Arbeitgeber muss den AN über die Datenverarbeitungen in seinem Unternehmen informieren. idR gibt es im Intranet/der internen Datenschutzwebsite Datenschutzhinweise für Mitarbeiter. Dort muss der AG auch über Empfänger oder Kategorien von Empfängern informieren. Darunter fallen auch Auftragsverarbeiter.

Frage doch einfach einmal in euerer Datenschutzabteilung/beim DSB oder HR nach, wann die Daten gelöscht werden. Bei einem Zeugnismanager sollte nach der Generierung des Zeugnisses eigentlich gar nichts mehr bereitstehen oder höchstens eine sehr kurze Aufbwahrungszeit für den Download.
Das Zeugnis selbst wird aber in der Personalakte gespeichert, vmtl. noch einige Jahre. Aber auch das kannst du HR mal fragen.