FORBA – Themen

Rahmenbetriebsvereinbarung zur personenbezogenen Datenverwendung

In Betrieben ist der Einsatz von Informations- und Kommunikationssystemen im Sinne des § 96a Arbeitsverfassungsgesetz jeweils in einer Betriebsvereinbarung zu regeln. Der Abschluss einer Rahmenbetriebsvereinbarung zur Verwendung von personenbezogenen Daten kann dabei die Arbeit der Betriebsräte und Personalvertretungen erleichtern. Eine Rahmenbetriebsvereinbarung definiert allgemeine Spielregeln für die Verarbeitung personenbezogener Daten und die Mitwirkungsrechte des Betriebsrates. In der Folge regeln dann konkrete Zusatzvereinbarungen für die unterschiedlichen Informations- und Kommunikationssysteme die Verwendung und Auswertung der Daten sowie den Zugriff darauf. Beispiele aus der Praxis sind Zusatzvereinbarungen für die Gehaltsverrechnung, die elektronische Zeit- oder Zutrittserfassung, für die Bereiche Telefon, E-Mail oder Internet, sowie für den Einsatz einer digitalen Videoerfassung. Durch die Trennung in eine Rahmenvereinbarung und verschiedene Zusatzvereinbarungen kann die Transparenz der Verwendung von personenbezogenen Daten im Betrieb verbessert werden.

SAP R/3 und SAP ERP

SAP ist, wenn es um die betriebliche Informationsverarbeitung geht, in aller Munde. Hinter dem Unternehmen und dem Produkt SAP steht eine Anwendungssoftware, die alle betrieblichen Bereiche unterstützt. Es werden Lösungen für die Personalwirtschaft, das Finanzwesen und die Logistik angeboten, aber auch fast alle anderen branchenspezifischen Anforderungen können in SAP bearbeitet werden.

Einer der größten Vorteile von SAP liegt in der zentralen Datenbank, die den Zugriff und Austausch von Informationen zwischen verschiedenen betrieblichen Bereichen massiv erleichtert. gerade durch die Vielzahl der in diesem System vorhandenen Anwendungsgebiete ist es für Betriebsräte oder Personalvertretungen schwierig, eine umfassende übersicht über alle personenbezogenen Daten zu erhalten.

Beim Abschluss von Betriebsvereinbarungen ist eine der zentralen Herausforderungen, die Vielfalt der personenbezogenen Daten offen zu legen und deren betriebliche Verwendung zu vereinbaren. Dies kann durch eine Kategorisierung der Daten entsprechend ihrer datenschutzrechtlichen Bedeutung erleichtert werden. Die Kategorien bewirken unterschiedliche Mitwirkungsrechte des Betriebsrates bzw. der Personalvertretung und liefern organisatorische Regeln für die SAP-UserInnen in ihrer täglichen Arbeit.

Die Akte X jedes/jeder MitarbeiterIn

Informatisierung und Digitalisierung sind nun bei den Personalhandakten angekommen. In Betrieben werden diese zunehmend in digitale Akten umgewandelt und erzeugen somit zusätzliche personenbezogene MitarbeiterInnendaten, die geschützt und gesichert werden müssen.

Schon seit vielen Jahren werden Dokumente und Briefe in digitaler Form gespeichert. In vielen Branchen - man denke nur an die Vielzahl an Kundenverträgen - gehört das zum Alltag. Nun werden auch die in Papierform vorliegenden Personalakten elektronisch verwaltet: Beginnend mit Bewerbungsunterlagen, Zeugnissen und amtlichen Dokumenten sind der betrieblichen Sammelleidenschaft keine Grenzen mehr gesetzt. Die Teilnahme an einem Seminar, die Ergebnisse eines MitarbeiterInnengesprächs, Anmerkungen von Vorgesetzten, Unterweisungen und Ermahnungen: alles ist einfach zu digitalisieren und zu speichern.

Im Vergleich zum Papierakt können diese Dokumente einfacher vervielfältigt oder übermittelt werden. Werden nicht schon zu Beginn dieser Entwicklung aktiv die Regelungen des Datenschutzes und der Datensicherheit mitgedacht, bleibt Betriebsräten oder PersonalvertreterInnen oft nur der mühsame Weg, Transparenz in die nun technisch unterstützte Verwaltung dieser Dokumente zu bringen. Folgende Fragen sind dabei von besonderer Bedeutung: Wer hat Zugriff auf diese Informationen? Dürfen einzelne Dokumente kopiert werden? Inwieweit erhalten die Betroffenen Auskunft über die gespeicherten Informationen bzw. Dokumente? Und: Wann müssen diese gelöscht werden? Betriebsvereinbarungen können Antworten auf diese Fragen geben.

Web 2.0 und neue Aufgaben der Personalarbeit

Das Zusammenwachsen verschiedener betrieblicher Informationssysteme ermöglicht es Unternehmen, Teile der Personalarbeit neu zu strukturieren und beispielsweise personalwirtschaftliche Aufgaben - ähnlich wie beim Telebanking - an die Beschäftigten "auszulagern". Über so genannte "Portale", die über Internet oder Intranet erreichbar sind, können Beschäftigte direkt auf Informationen und Dienste zugreifen. Dabei wird die Verantwortung der Dateneingaben, wie etwa das Ändern allgemeiner Stammdaten, direkt an die jeweilig betroffenen Beschäftigten übergeben. Zusätzlich werden aber auch betriebliche Prozesse in den Informationssystemen durch Beschäftigte beeinflusst. So können Wünsche nach Urlaub oder Weiterbildungsmaßnahmen, aber auch Bewertungen von Führungskräften, MitarbeiterInnenbefragungen bzw. einzelne vorbereitende Schritte zum MitarbeiterInnengespräch über diese Portale erfasst und somit betriebliche Prozesse angestoßen oder unterstützt werden. Durch diese organisatorischen Veränderungen werden neue Aspekte des Datenschutzes angesprochen, die eine betriebliche Mitgestaltung des Betriebsrates erfordern. Inwieweit diese Veränderungen sinnvoll sind und welche neuen Regelungsbereiche damit einhergehen, sollte zwischen Betriebsrat und Unternehmen vorab geregelt werden.

Über die Datensicherheit zum Datenschutz

Für Betriebsvereinbarungen zu konkreten Informations- und Kommunikationssystemen ist eine Beschreibung des tatsächlichen Ist- Standes der Verwendung von personenbezogenen Daten der Beschäftigten notwendig.

Das Datenschutzgesetz fordert in § 14 DSG 2000 von Betrieben Maßnahmen zur Sicherheit ihrer Daten. Im Umgang mit personenbezogenen Daten sowohl von KundInnen als auch von Beschäftigten - müssen deren ordnungsgemäße Verwendung sowie der Schutz vor unbefugter Einsichtnahme, Verlust und Zerstörung gewährleistet sein.

Diese Tatsache können Betriebsräte zur besseren Ausgestaltung von Betriebsvereinbarungen nützen. Betriebsräte finden somit im Datenschutzgesetz Unterstützung, denn dieses fordert, dass

• Daten nur dann verwendet werden dürfen, wenn klare Regeln zur Verwendung vorliegen,
• die Verantwortlichkeiten ausdrücklich festgelegt sind,
• die Zugriffsrechte auf Daten, Programme und Datenträger definiert sind und
• Protokoll über die rechtmäßige Verwendung geführt wird.

Videoüberwachung

Informations- und Kommunikationstechnologien (IKT) werden von BetriebsrätInnen und PersonalvertreterInnen häufig mit Kontrolle von Beschäftigten in Verbindung gebracht. Wo dies jedenfalls zutreffen kann, ist die Überwachung betrieblicher Bereiche durch Kameras. Dieses an sich nicht neue Thema erhält jedoch durch technologische Entwicklungen eine andere Dimension: Durch eine neue Generation von Kameras, wie z.B. Webcams, werden Bewegungen nicht mehr in analoger Form, sondern digital als Bildfolgen aufgezeichnet (oft mehrere Dutzend Bilder/Minute), wobei jedes Bild für sich ein einzelnes Datenfile darstellt. Somit befindet sich auf betrieblichen Rechnern eine Unmenge von elektronischen Bildern, die beispielsweise (zufällig) in einen überwachten Bereich eintretende Personen enthalten. Die betroffenen Personen wissen mitunter nichts über diese Erfassung. Wurden in der Vergangenheit Bewegungen in sensiblen Bereichen wie Geldschaltern oder Einfahrten bzw. Eingängen mittels Aufzeichnung auf Videokassetten erfasst und im Anlassfall eingesehen (d.h., das Band wurde abgespielt), so verändert sich die Funktionalität heutiger Videoerfassungen durch die digitale Erfassung von Bildern. Diese Bilder/Datenfiles können auf erheblich einfachere Art und Weise ausgewertet, übermittelt (früher mussten Videobänder kopiert werden) oder von externen Arbeitsplätzen (z.B. über Netzwerke wie das Internet) eingesehen und somit einer größeren Gruppe an Personen zur Verfügung gestellt werden. BetriebsrätInnen und PersonalvertreterInnen befinden sich in dem Dilemma, einen Interessensausgleich zwischen dem unternehmerischen Wunsch nach mehr Sicherheit im Betrieb und der Angst der MitarbeiterInnen vor vermehrtem Eingriff in die Persönlichkeitsrechte herzustellen.

Data Warehouse

Betriebe setzen vermehrt Data Warehouse-Lösungen (übersetzt: "Datenlagerhaus") ein, um strategisch bedeutende Daten aus unterschiedlichen Anwendungen miteinander verknüpfen und auswerten zu können. Darunter können auch personenbezogene Daten von MitarbeiterInnen fallen, was eine Analyse dieser Systeme aus Sicht des Datenschutzes und der Datensicherheit notwendig macht.

In allen Unternehmensbereichen, wie Personalwesen, Produktion, Finanzwesen, Vertrieb oder Marketing, wird in unterschiedlichen Anwendungen eine Vielzahl an Daten erfasst, gespeichert und ausgewertet. Daten aus diesen verschiedenen Anwendungen können in den Data Warehouse-Systemen zusammengefasst und nach logischen, in sich abgeschlossenen Gesichtspunkten (z.B. Entwicklung der Verkaufszahlen, Veränderungen der KundInnenstruktur, Produktivitätsanalysen) gegliedert werden. So ist eine Analyse von strategisch wichtigen Informationen (bei Konzernenauch betriebs- und/oder länderübergreifend) möglich. Bei einer Bewertung dieser Systeme ist aus der Sicht des Betriebsrates bzw. der Personalvertretung zu hinterfragen, welche personenbezogenen Daten in diesen Systemen erfasst und in welcher Form diese Daten analysiert werden. So bieten beispielsweise viele Systeme die technische Möglichkeit, dass Informationen, die kleinere Gruppen (3-5 Personen) betreffen und wo daher leicht ein Personenbezug herstellbar wäre, nicht in Auswertungen aufscheinen.

Voice Over Ip

Telefonieren über das Internet findet immer weitere Verbreitung. Grundlage für Voice over IP ist die weltweite Verbreitung des Internet und die schnelle Übertragung immer größerer Datenmengen. So war es nur eine Frage der Zeit, bis die Übermittlung von Sprache in einer qualitativ hochwertigen Form möglich wurde.

Während Privatpersonen Dienste von Anbietern wie Skype vermehrt annehmen, um kostengünstig telefonieren zu können, eröffnen sich für Unternehmen neben dieser kostengünstigen Form der Kommunikation weitere Optionen. Durch die Zusammenführung von Computer und Telefon erweitert sich die Funktionalität an den Arbeitsplätzen. Da nicht nur Sprache übermittelt werden kann, sondern parallel dazu auch Bilder oder andere Informationen, ist die Bearbeitung früher getrennter Aufgaben in einem System möglich. Beispiele hierfür sind Videokonferenzen, der Austausch von Textmeldungen (z.B. Chat) oder das gemeinsame Arbeiten an Dokumenten. Dies kann zu einer Arbeitsintensivierung bzw. zu Veränderungen in den Arbeitsinhalten führen. Parallel dazu können diese Arbeitsvorgänge protokolliert werden und bieten somit die Möglichkeit zur Kontrolle.

Verwendung von biometrischen Daten im Betrieb

Mit Hilfe von biometrischen Daten, wie beispielsweise dem Fingerabdruck oder dem Bild eines Auges, können Personen eindeutig identifiziert werden. Dies nützen neue Zutrittskontrollsysteme, die biometrische Muster erfassen und verarbeiten. Derartige Systeme werden in zunehmendem Maße zum Schutz von betrieblichen Daten vor unbefugtem Zugriff verwendet.

Beim Einsatz dieser Kontrollsysteme kommt es zu einer Überschneidung der Abbildung körperlicher Merkmale und der Verarbeitung personenbezogener Informationen, die jedenfalls eine Mitwirkung des Betriebsrates erfordert. Dass diese Verarbeitung zu einer übersteigerten Kontrolle der Beschäftigten und damit zu einer möglichen Beeinträchtigung der Menschenwürde führen kann, wurde erst vor kurzem in einer Entscheidung des Obersten Gerichtshofes bestätigt: Wenn "diese Kontrolle in übersteigerter Intensität organisiert ist und jedes Maß überschreitet, das für ein Arbeitsverhältnis dieser Art typisch und geboten ist", kann der Betriebsrat diese Form der Kontrolle ablehnen.