Der gläserne Beschäftigte – die betriebliche Interessenvertretung kann und muss viel tun

smartphone_schloss_adobestock_77531765Nun ist es so weit. Es gibt den vollkommen durchsichtigen Beschäftigten. Jetzt kann  man in die Belegschaft hineinhorchen, Schlüsselstellungen aufzeigen, Meinungsführer und Cliquen herausfiltern, die Arbeitsweise des Einzelnen und die Beziehungen untereinander offenlegen. Das ist Realität im Betrieb geworden, weil nun eine vielfältige Software dazu serienreif geworden ist und schon angeboten wird.

Mit der neuesten Analysesoftware können Arbeitgeber die kompletten innerbetrieblichen Kommunikationsbeziehungen auswerten, die gläserne Belegschaft ist Realität geworden. Nach mehreren Datenschutzskandalen in jüngerer Vergangenheit ist der Arbeitnehmerdatenschutz wieder in den Fokus gerückt.

Doch die betriebliche Interessenvertretung kann und muss der Auswertung der riesigen Datenberge in den Unternehmen auch in Zeiten von Social Media und Big Data einen Riegel vorschieben. Für die praktische Betriebs- oder Personalratsarbeit kann die folgende Checkliste eine große Hilfe sein und auch eine Möglichkeit bieten, sich in das komplizierte Thema einzuarbeiten.

Es handelt sich bei den neuen Überwachungsmöglichkeiten nicht – wie Arbeitgeber oft beschwichtigend meinen, um harmlose Suchtools, die lediglich das Auffinden von Dateien und Dokumenten erleichtern. Es sind hoch leistungsfähige Programme entstanden, die genaueste Auswertungen ermöglichen.

Am bekanntesten ist das Analysetool “Delve”, das im aktuellen Office-365-Paket von Microsoft mit angeboten wird. Microsoft erweitert Office 365 um dieses Analyse-Tool, das in Unternehmen die Effektivität der Angestellten misst. Das Tool stammt vom Unternehmen VoloMetrix, das Microsoft nun gekauft hat. Die Idee hinter VoloMetrix dürfte die Manager begeistern und den Betriebsräten den Angstschweiß entlocken: Das Tool analysiert anhand von Kalendereinträgen, E-Mails und Kontaktdaten, wie effizient jeder einzelne Angestellte ist. Das Ganze wird „Organizational Analytics“ genannt und zeigt dem Management z.B. bei einem angestellten Verkäufer, wie viel Zeit er mit Kunden verbringt, wie viele Kunden er kontaktiert, wie stark sein Kunden-Netzwerk ist. Und damit lässt sich letztlich auch ausrechnen, wie das Kosten-Nutzen-Verhältnis für die Firma ist, denn dazu kann man das Gehalt, also die Personalkosten des Angestellten gegen seine generierten Umsätze aufrechnen.

Das Toul soll auch helfen, die Arbeitsprozesse zu messen.

Wie jeder schon im privaten Bereich erfahren hat, ist es bei der Internetnutzung leicht möglich, Opfer von krimineller Beobachtung zu werden. Die technischen Möglichkeiten geben das ja her und lassen auch im beruflichen Bereich mindestens ein erhebliches Kontrollpotential zu. Hier wie da ist der Übergang in mindestens rechtswidriges und/oder schadensersatzrelevantes Verhalten fließend.

Die betriebliche Interessenvertretung kann und muss der Auswertung der riesigen Datenberge in den Unternehmen auch in Zeiten von Social Media und Big Data einen Riegel vorschieben.

Der Datenschutz ist derzeit noch das effektivste Mittel und kann den Betriebsräten hilfreich sein.

Die zentralen Hebel sind dabei

  • die Zweckbindung der Daten und die Zugriffsberechtigung auf die Datenberge. Das ist im § 87 Abs. 1 Nr. 6 BetrVG geregelt: (Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen – Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen) zu Leistungs- und Verhaltenskontrollen hat die Mitbestimmung hier den Fuß in der Tür.
  • die Belegschaftsvertretung hat darauf zu achten, dass sie Kontrollsysteme und deren Auswertungsmöglichkeiten nicht noch durch den Abschluss von Betriebsvereinbarungen fördert, denn diese sind nach § 4 BDSG (Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat) als andere Rechtsvorschrift eine datenschutzrechtliche Erlaubnisnorm.
  • Verbote sowie Rechte der Beschäftigten auf Transparenz, Korrektur und Schadenersatz.
  • die institutionalisierte Kontrolle durch den Datenschutzbeauftragten, die Aufsichtsbehörden sowie durch den Betriebs- oder Personalrat.
  • zahlreiche wichtige Urteile nationaler und internationaler Gerichte die das Datenschutzrecht präzisiert haben.
  • neben dem BDSG sind auch weitere Datenschutzvorschriften zu beachten, diese sind etwa im Bundesbeamtengesetz, in der Bildschirmarbeitsverordnung, im Betriebsverfassungsgesetz, den Personalvertretungsgesetzen oder im Gendiagnostikgesetz enthalten.

Für die praktische Betriebs- oder Personalratsarbeit kann die folgende Checkliste eine große Hilfe sein und auch eine Möglichkeit, sich in das komplizierte Thema einzuarbeiten:

  1. Schriftliche Regeln und Unterlagen zum Beschäftigtendatenschutz
  • Liegen dem Datenschutzbeauftragten alle Betriebsvereinbarungen zur Einführung und Anwendung technischer Kontrolleinrichtungen vor und sind diese auf dem aktuellen Stand geführt?
  • Gibt es Arbeits-/Verfahrensanweisungen für den Prozess der Einführung und Änderung automatisierter Verfahren, die sich unter anderem an die IT-Abteilung, den Vertrieb oder an die Personalabteilung richten?
  • Existiert für alle Mitarbeiter und Führungskräfte eine verbindliche Datenschutzrichtlinie (oft auch Datenschutzordnung genannt)?
  • Liegt eine Datenschutzanweisung – gegebenenfalls in Einzelregelungen – vor, die ein umzusetzendes Datenschutzkonzept beschreibt?
  • Sind Strukturen und Prozesse im betrieblichen Datenschutzmanagement unter Berücksichtigung des Beschäftigtendatenschutzes beschrieben?
  • Liegen konkrete Arbeitsanweisungen/Richtlinien/Merkblätter/Konzepte zum Datenschutz und zur Datensicherheit vor?
  • Ist das Verfahrensverzeichnis von der IT-Abteilung vollständig erstellt, wird es vom Datenschutzbeauftragten aktuell geführt und überprüft dieser jährlich die Aktualität des Verfahrensverzeichnisses?
  • Liegt eine schriftliche Richtlinie für den rechtskonformen Umgang mit »Datenabfluss und Datenpannen« nach § 42a BDSG vor und ist der Datenschutzbeauftragte dabei eingebunden?
  1. Sensible personenbezogene Daten

Vorabkontrolle

  • Werden sensible Daten der Beschäftigten gemäß § 3 Abs. 9 BDSG erhoben, verarbeitet oder genutzt und automatisierte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Mitarbeiter oder der Kunden des Unternehmens aufweisen, vorab vom Datenschutzbeauftragten kontrolliert?
  • Ist die Bedeutung von besonders sensiblen Daten zum Beispiel in der IT-Abteilung, Personalabteilung, im Rechnungswesen oder im Vertrieb bekannt?
  • Sind Vorabkontrollen durchgeführt und ausreichend dokumentiert worden?
  • Ist die Notwendigkeit einer Vorabkontrolle in bestimmten Fällen der Datenverarbeitung allen Verantwortlichen bekannt und ein Meldewesen an den Datenschutzbeauftragten eingerichtet, damit er die Zulässigkeit prüfen kann?
  • Ist schriftlich festgehalten worden, wann eine Vorabkontrolle erforderlich und durchzuführen ist?
  • Erhält der Datenschutzbeauftragte rechtzeitig, das heißt zur Beginn der Planungsphase eines IT-Projekts, alle erforderlichen Unterlagen für eine eventuell erforderliche Vorabkontrolle nach § 4 d BDSG?
  • Kann der Datenschutzbeauftragte in Zweifelsfällen bei der Vorabkontrolle die zuständige Aufsichtsbehörde kontaktieren?
  • Ist der Umgang mit »Datenpannen« nach § 42 a BDSG als Verfahrensanweisung geregelt und der Datenschutzbeauftragte eingebunden?
  1. Mitbenutzung der Informations- und Kommunikationstechniken durch Fremdfirmen
  • Gibt es eine Liste der Auftragnehmer nach § 11 BDSG »Auftragsdatenverarbeitung«?
  • Liegen Auftragsdatenverarbeitung, Funktionsübertragung an Fremdfirmen oder Fernwartung vor?
  • Gibt es für Fernwartung interne schriftliche Regeln?
  • Sind Drittfirmen vor Aufnahme ihrer Tätigkeit anhand von Zertifikaten sorgfältig überprüft und unter Einbindung des Datenschutzbeauftragten ausgewählt worden?
  • Werden Kontrollen der Datenverarbeitung in Form eines Audits während der Auftragsdatenverarbeitung vom Arbeitgeber durchgeführt, dokumentiert und an den Kontrollen der Datenschutzbeauftragten und die Belegschaftsvertretung beteiligt?
  • Sind in den Verträgen mit Drittfirmen auch das Einhalten von Betriebsvereinbarungen, die Vorlage eines Datensicherheitskonzepts, die Zustimmung zum Einschalten von Unterauftragnehmern und jederzeitige Kontrollmöglichkeiten vereinbart?
  1. Regelungen für die IT-Abteilung
  • Sind in besonderen Fällen, zum Beispiel Überprüfung eines E-Mail-Accounts oder Auswertung einer Videoaufzeichnung, mindestens ein Vier-Augen-Prinzip und damit die Hinzuziehung gegebenenfalls des Datenschutzbeauftragten und des Betriebsrats vorgeschrieben?
  • Sind Zugriffsberechtigungen von Administratoren nach Erforderlichkeit vergeben?
  • Sind für die IT-Abteilung Stellenbeschreibungen erstellt und regelmäßig aktualisiert?
  • Ist eine Administrationsrichtlinie erlassen worden?
  • Sind alle Administratoren auf das Datengeheimnis und gegebenenfalls Fernmeldegeheimnis vom Datenschutzbeauftragten verpflichtet worden?
  1. Regelungen zur Beschaffung und Verfügbarkeit von Hard- und Software
  • Gibt es ein schriftliches Programmfreigabeverfahren?
  • Gibt es aktuelle und vollständige Verzeichnisse der eingesetzten Hard- und Software?
  • Sind eingesetzte webbasierte Software-Lösungen, Sicherheits-Software und Datensicherungs- und Fernwartungs-Tools ausreichend dokumentiert?
  • Ist die Nutzung von mitgebrachten Privatgeräten (»BYOD«: Bring Your Own Device) geregelt?
  1. Rechtsstellung und Fachkunde des betrieblichen Datenschutzbeauftragten
  • Ist ein Datenschutzbeauftragter nach § 4 f BDSG ordnungsgemäß und schriftlich bestellt?
  • Liegt eine Begründung vor, wenn keine Bestellung vorgenommen worden ist?
  • Handelt es um eine freiwillige Bestellung?
  • Wird in der Bestellung Weisungsfreiheit, Unterstützung, rechtzeitige Information über neue Vorhaben, ausreichendes Zeit- und Mittelbudget und ein Meldewesen zum Verfahrensverzeichnis zugesichert?
  1. Verfahrensverzeichnis
  • Liegt ein aktuelles internes Verfahrensverzeichnis beim Datenschutzbeauftragten vor, das von der IT-Abteilung erstellt ist?
  • Entspricht das Verfahrensverzeichnis den Vorgaben nach §§ 4 e und 4 g BDSG?
  • Sind alle wesentlichen »Verfahren« dokumentiert?
  • Benutzt das Unternehmen eine normgerechte Vorlage?
  • Steht ein Jedermann-Verzeichnis nach § 4 g Abs. 2 Satz 2 BDSG für Anforderungen bereit?
  • Ist eine Prozedur bei Nachfragen zur Jedermann-Verfahrensübersicht eingeführt worden?
  • Ist ein regelmäßiges Meldewesen von den Verfahrensverantwortlichen an den Datenschutzbeauftragten für die Aktualisierung des Verfahrensverzeichnisses eingerichtet, beispielsweise im Intranet?
  1. Datenschutzmanagementsystem
  • Existiert ein Datenschutzmanagementsystem, das die Zuständigkeiten, Ansprechpartner und die Zusammenarbeit der beteiligten Stellen im Datenschutz regelt?
  • Sind die Inhalte der Datenschutzanweisung/-ordnung allen Beschäftigten aufgrund von Schulungsmaßnahmen bekannt?
  • Wie wird sichergestellt, dass die Beschäftigten nach den schriftlichen Vorgaben des Datenschutzbeauftragten handeln?
  • Wird der Datenschutzbeauftragte bei jeder Einführung oder Änderung von IKT-Systemen und bei allen datenschutzrelevanten Vorgängen rechtzeitig eingebunden und hat er dabei stets ein Anhörungsrecht?
  • Prüft der Datenschutzbeauftragte Tests von Software mit nicht-anonymisierten Originaldaten der Beschäftigten vorab auf Zulässigkeit?
  • Existiert für Testverfahren in der IT-Abteilung eine vom Datenschutzbeauftragten erstellte Richtlinie?
  • Kontrolliert der Datenschutzbeauftragte regelmäßig gemäß § 4 g Abs. 1 Nr. 1 BDSG die ordnungsgemäße Anwendung von IKT-Systemen?
  • Führt der betriebliche Datenschutzbeauftragte angekündigte und nicht-angekündigte Kontrollen an Arbeitsplätzen durch?
  1. Schulungsmaßnahmen nach § 4 g Abs. 1 BDSG
  • Liegen Nachweise über durchgeführte Mitarbeiterschulungen im Datenschutz vor?
  • Für welche speziellen Zielgruppen sind (regelmäßige) Schulungsmaßnahmen vorgesehen?
  • Existierten ein aktueller Schulungsplan und ein Schulungskonzept?
  • Ist das Schulungskonzept mit der Interessenvertretung abgestimmt worden?
  • Weisen die Schulungsinhalte einen konkreten Praxisbezug auf?
  1. Verpflichtung gemäß § 5 BDSG und § 88 TKG
  • Liegen Nachweise über Verpflichtungen auf das Datengeheimnis oder das Fernmeldegeheimnis vor?
  • Werden neue Mitarbeiter zeitnah verpflichtet und unterrichtet aufgeklärt?
  • Ist das Formular für die Verpflichtung auf das Datengeheimnis rechtskonform?
  • Ist die Verpflichtung der Mitarbeiter an einer Unterrichtung des Datenschutzbeauftragten gekoppelt?
  • Wird die Verpflichtung auf das Datengeheimnis regelmäßig aktualisiert?
  1. Information und Beratung
  • Wird der Datenschutzbeauftragte von der Geschäftsleitung über alle datenschutzrelevanten Vorhaben unterrichtet?
  • Erhält der Datenschutzbeauftragte die Unterlagen zu allen geplanten IKT-Verfahren und bei wesentlichen Änderungen (Neuanlage, Änderung, Löschung) bestehender IKT-Verfahren vor dem Produktivstart? Sind Melde-, Abstimm-, Freigabe- und Kontrollverfahren für neue IKT-Verfahren und Änderungen bestehender IKT-Verfahren schriftlich geregelt, in denen der Datenschutzbeauftragte eingebunden ist, und funktionieren diese Prozesse?
  • Werden neue IKT-Verfahren erst dann produktiv, wenn die Rückmeldung des Datenschutzbeauftragten vorliegt und seine Anforderungen umgesetzt worden sind?
  • Ist die Aufbewahrung und Auswertung aller maschinell erzeugten Protokolle in einer Prozessbeschreibung geregelt?
  1. Organisatorische Verfahren zur Sicherstellung der Rechte der Beschäftigten
  • Hat der Datenschutzbeauftragte ein Verfahren zur Sicherstellung der Rechte von Betroffenen gemäß § 33 ff. BDSG schriftlich dokumentiert?
  • Ist zum Beispiel bei einem Auskunftsersuchen eine schnelle und zweckmäßige Bearbeitung gewährleistet?
  • Ist der Prozess der Bearbeitung und Beantwortung einer Datenschutzbeschwerde geregelt?
  • Inwieweit wird der Datenschutzbeauftragte beim Bewerberdatenschutz tätig?
  • Ist im Unternehmen die Schweigepflicht des Datenschutzbeauftragten und gegebenenfalls seines Hilfspersonals allen Beschäftigten erklärt worden?
  • Wird im Jahresbericht vom Datenschutzbeauftragten anonymisiert über die Beschwerden, Datenschutzprobleme und Eingaben der Beschäftigten berichtet?
  1. Umsetzung von § 9 und Anlage zu § 9 BDSG
  • § 9 (Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht) und Anlage zu § 9 BDSG (Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind)
  • Gibt es eine aktuelle Übersicht zu den Maßnahmen nach § 9 BDSG im Unternehmen?
  • Hat der Datenschutzbeauftragte diese technisch-organisatorischen Maßnahmen abgenommen oder sind (zertifizierte) Audits durchgeführt worden?
  • Inwieweit werden mobile Datenträger verschlüsselt und ist der Datenschutzbeauftragte am Prozess beteiligt?
  • Sind konkrete Maßnahmen zum Trennungsgebot besonders bei der Verarbeitung sensibler Daten umgesetzt worden?
  • Inwieweit existieren für die IT-Verfahren mit personenbezogenen Daten der Beschäftigten schriftliche Berechtigungskonzepte und wird die Einhaltung und Notwendigkeit von Berechtigungen stichprobenartig überprüft?
  • Existieren ein Datenträgerverzeichnis und Richtlinien zur Datenträgerentsorgung, Vernichtung von Papier und Entsorgung von Hardware?

 

Für diejenigen, die sich mit dem Thema weiter beschäftigen möchten, hat der Altmeister des Arbeitsrechts, Dr. Wolfgang Däubler, Professor für Deutsches und Europäisches Arbeitsrecht, Bürgerliches Recht und Wirtschaftsrecht an der Universität Bremen, das Buch: Internet und Arbeitsrecht, Web 2.0, Social Media und Crowdwork, herausgegeben. Reihe: Recht Aktuell Verlag: Bund-Verlag, Frankfurt.                                     ISBN: 978-3-7663-6427-2

Aus dem Inhalt:

  • Internet als Arbeitsmittel: Einführung und Benutzung, Arbeitsschutz, Arbeitszeit
  • Unerlaubte Privatnutzung und andere Pflichtverletzungen
  • Das Kontrollpotenzial des Arbeitgebers und seine Begrenzung durch den Arbeitnehmerdatenschutz
  • Arbeitnehmerdaten im Netz
  • Betriebsrat, Personalrat und EBR im Netz
  • Mögliche Inhalte von Betriebsvereinbarungen

Ein Anhang dokumentiert nützliche Internet-Adressen rund um das Arbeitsrecht und Arbeit 4.0.

Dieses Buch ist auch für Nicht-Juristen geschrieben. Es ist eine kompakte, aber auch hervorragend verständliche Darstellung des Themas, kombiniert mit Praxisbeispielen und ermöglicht einen schnellen Einstieg in die jeweiligen Themenbereiche.

Für die gewerkschaftliche Betriebsarbeit wird es immer wichtiger, sich mit dem Thema Überwachung auseinander zu setzen. Die technische und mediale Entwicklung schreitet in diesem Bereich so rasant fort, wie wohl in keinem anderen Lebensbereich. Die Grenzen zwischen beruflicher Tätigkeit und Privatsphäre verschwimmen mehr und mehr, genauso wie die Grenzen für die staatlichen Zugriffsmöglichkeiten auf Beschäftigtendaten.

 

Quellen: www.cua-web.de,dgb,

Bild: dgbrechtschutz.de