Leitung des Forums: Kai Schindler Berliner Wasserbetriebe
Protokollführung: Karl Geigenberger Stadtwerke München
Referent: Dr. Johann Bizer Landeszentrum für Datenschutz Schleswig-Holstein

Nach kurzer Vorstellungsrunde wurde schnell klar, dass dieses Thema sehr hohe Brisanz für die anwesenden Betriebsräte hat. Von den Forumsteilnehmern wurde eine Liste mit Fragen zusammengetragen.

Fragen:

  • Versteckte Kontrollen von personenbezogenen Daten,
  • Auf was ist zu achten bei Auswertungen,
  • Was ist Leistungs- und Verhaltenskontrolle,
  • Datenübernahme SAP-HR in das Business Warehouse,
  • Umstellung von anonymisierter Leistungskontrolle auf personenbezogene Leistungskontrolle, (ESS – Leistungserfassung)
  • Beauftragung Dritter und wo bleibt der Datenschutz,
  • Prüfdienste – Leistungskontrolle des Standortes,
  • Rahmenbetriebsvereinbarung,
  • Leistungsbezogene Bezahlung,
  • Auftrags- und Leistungskontrolle,
  • Mitarbeiterüberwachung,
  • Fahrzeugüberwachung (Standort) am Beispiel RBL für Bus und Straßenbahn.

Der Referent Dr. Bizer erklärte am gravierenden Beispiel der versteckten Kontrolle von personenbezogenen Daten die Grundsätze des Datenschutzes und die Sicherungsmöglichkeiten. Grundsätzlich regelt das Bundesdatenschutzgesetz BDSG alles nötige für die Sicherung von personenbezogenen Daten.

§4 BDSG Zulässigkeit der Datenerhebung, -verarbeitung und -Nutzung
Dr. Bizer nennt die wichtigsten Schritte um eine versteckte Kontrolle im Arbeitsverhältnis zu verhindern. Das ist von entscheidender Bedeutung  für die Mitarbeiter und Betriebsräte.

Für die Sicherheit und Kontrolle:
Anhang zum §9 BDSG: Technische und organisatorische Maßnahmen

Für den Standard der Technik:
BSI – Grundschutz
IT – Grundschutzhandbuch

Revisionsfähigkeit von IT – Systemen
Über die Nutzer- und die Administratoraktivitäten sollten Protokolldaten über deren Tätigkeiten aufgezeichnet werden. Voraussetzung dafür ist, dass Rollen und deren Ausübung definiert werden und entsprechende Kontrollen durch IT-Sicherheit und bDSB erfolgt.
Es müssen mit dem Arbeitgeber bzw. dessen Vertretern zur IT – Sicherheit und dem betrieblichen Datenschutzbeauftragten (dDSB) eine Regelung geschaffen werden, die regelt wer, wie, und was kontrolliert wird und wie bei Verstößen damit umgegangen wird. Kontrolle kann aber nur durchgeführt werden wenn die Protokollierung nicht abgeschaltet worden ist. Dabei ist folgendes von entscheidender Bedeutung:

Qualitätssicherung der IT
Dies kann erreicht werden durch offene Kontrolle der Administratoren und was diese im System eingestellt und gepflegt haben. Dabei muss geprüft werden was an Zugriffen zugelassen wird und welche Berechtigungen vergeben wurden. Der Arbeitgeber sollte dazu ein Konzept dem Betriebsrat vorlegen, wie er zu Wohle aller das Problem lösen will.

IT – Konzept
IT – Sicherheit ist gleich Risikomanagement:

  • Sicherheit
  • Datenschutz
  • Risikobeurteilung
  • techn. organisatorische Maßnahmen

Es entstand eine Diskussion was der Betriebsrat tun sollte, um die Mitarbeiter zu schützen. Dabei wurde durch Dr. Bizer immer wieder auf die in seinem Vortrag aufgestellten Thesen, für die Frage ob die Datenerhebung korrekt ist, verwiesen.

  • Rechtsgrundlage muss nachgefragt werden.
  • Zweckbindung muss fest definiert werden
  • Erforderlichkeit der Datenerhebung abklären
  • Transparenz muss gewährleistet werden
  • Sicherheit des Systems muss geklärt werden
  • Kontrolle muss offen durchgeführt werden

Diese Punkte wurden nochmals anhand von Beispielen den Teilnehmern dargestellt. Dabei wurde auch klar, dass nicht nur der Betriebsrat ein starkes Interesse daran haben muss, sondern auch der Arbeitgeber sich und seine Firma mit diesen Mitteln vor unabwägbaren Risiken schützen kann. Dies wird besonders klar, wenn man bedenkt, dass man nur so eine revisionssichere Datenverarbeitung aufbauen kann. Dafür kann man ganz sicher, neben der Revisionsabteilung, auch die IT – Sicherheit und den betrieblichen Datenschutzbeauftragten als Verbündete gewinnen.

Es blieben zwar noch vielen Fragen offen und es wären noch viele Beispiele von den Teilnehmern gekommen, doch leider war in der kurzen Zeit bei diesem spannenden Thema kein nahes Ende der Diskussionen abzusehen.

Der Arbeitskreis SAP / NT wird aber ganz sicher weiterhin den Kontakt zum Dr. Bizer aufrechterhalten und das Thema „Datenschutz“ in geeigneter Weise auf den nächsten Konferenzen wenn nötig einbringen.

Der Arbeitskreis SAP / NT verweist noch darauf, dass im Arbeitsverhältnis der §28 BDSG Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke von entscheidender Bedeutung ist.

Für die eigene Recherchen haben wir nützliche Verweise zu Internetquellen aufgelistet: