Leiter des Forums: | Gerhard Brillisauer, Arbeitskreis |
Protokollführung: | Manfred Lösch, Arbeitskreis |
Fachliche Begleitung: | Karin Schuler, Unternehmensberaterin, Bonn |
Zu Beginn des Forums wird auf Wunsch der TeilnehmerInnen auf eine Vorstellungsrunde verzichtet. Frau Schuler sieht das Thema unter dem Gesichtspunkt „Datenschutz und die neuen Techniken“. In Bezug auf Datenschutz-Anforderungen erhalten neue Techniken keine Sondergenehmigungen. Es müssen neue Regelungen gefunden werden (u.a. Daten-schutzkonzept, Rahmen-BV/DV „Datenschutz“, IT-Sicherheitshandbuch.
Die Forumsteilnehmer beschließen in der Veranstaltung 5 Themen zu behandeln.
Thema 1: Datenschutz und IT-Sicherheit
Was haben die beiden miteinander zu tun?
Datenschutz | IT-Sicherheit | |
Maßnahmen zum §9 BDSG Maßnahmen zum Schutz | Schutz des informationellen techn. und der Untern. IT | Maßnahmen zum Schutz Betroffenen Maßnahmen Verfälschung u.a. |
personenbezogene Daten | Unternehmensdaten |
Erkannt wird, bei IT-Sicherheit geht es um Unternehmenswerte (Systeme, sensible Daten und IT-Ressourcen). Bei Überschneidung von Datenschutz und IT-Sicherheit ist § 9 BDSG maßgebend. Hier sind Prinzipien festgeschrieben. Auf niedrige Ebenen, z.B. wie eine E-mail verschlüsselt wird, wird hier nicht eingegangen.
Thema 2: Datenschutz und Mitbestimmung
Zunächst wird betont, diejenigen Mitarbeiter sind zu schützen, die Daten nach außen geben. Dies ist nicht originäre Sache des BR sondern allgemeiner Datenschutz. Schlechte Datenschutzkultur ist es, wenn BR und AN ihren Datenschutzbeauftragten nicht kennen.
Hier fühlt sich niemand für den Datenschutz sensibilisiert. Klar gilt, dass der vom Unternehmen gestellte DSB nicht in Interessenskonflikt mit seinem Job (z.B. Chef der DV-Abt.) kommen darf.
Die innerbetrieblichen Akteure sind der Betriebliche DSB und der BR. Für den DSB gilt als Grundlage das BDSG, für den BR das BetrVG. Über §80 Betr.VG und den daraus ergebenden Aufgaben hat der BR Möglichkeiten auf den DSB einzuwirken, d.h. es bestehen Beziehungen zwischen Datenschutzregelungen und Betr.VG. So wird der DSB verpflichtet, Betriebsverein-barungen einzuhalten wenn darin personenbezogene Daten stehen. Die DS-Revision ist das klassische Instrument um zu prüfen, ob Gesetze eingehalten sind. Während der DSB bei negativem Ergebnis einen Bericht schreibt und mahnt kann der BR (Bsp: BV wird nicht eingehalten) die Einigungsstelle oder das Gericht ins Spiel bringen. BR kann über Mitbestimmung verweigern bzw. neues Projekt verlangen. Idealfall ist die enge Verzahnung zwischen DSB und BR.
Zum Abschluß des Themas wird ein Fall besprochen. Hier möchte die GF Fotos der AN im Internet veröffentlichen. Die GF ist auf der sicheren Seite nach BDSG wenn alle AN hierzu ihre Zusage geben. Aber die GF darf die Veröffentlichung nicht vornehmen, wenn der BR die Zustimmung verweigert.
Thema 3: Protokolle der Internet-Nutzung
Lokale Netzwerke (LAN) mit ihren div. Server (CTI, JVR/VRU/R/3 Datenbank, R/3 Applikation, R/3-Client) und deren betrieblichen Schutzsysteme für den Zugang ins Internet (Firewall) werden besprochen. Alle Firewall-Systeme (z.B. Firewall Application Gateway, Mail Relay, Virenscanner, Content-Scanner, Intrusion Detection System) haben gemeinsam: Sie protokollieren. Nur besonders ausgewählte Personen haben Zugriff zu Protokollen der Firewall. Das Prinzip der Mitbestimmung (§87) ist angesprochen. Regelungsbedarf: Überwachung und Sicherheit (was ist gewollt?). Schutz der AN-Daten auf Rechnern im internen Netz, Verhinderung von Verfälschungen, spionieren von AN-Daten, Schutz vor Leistungs- und Verhaltenskontrolle. Wichtig sind: Eindeutig definierter Zweck von Schutzsystemen, vollständige Dokumentation der eingesetzten Systeme, Administrationsregelungen, Revisionspläne, Rechte BR und AN umsetzen.
Während der Themabehandlung wird die Frage gestellt, ob der Arbeitgeber Teledienstleister sei. Dies ist nach der herrschenden Meinung nicht so, wenn er die private Nutzung des Internets untersagt. Die Nutzung des Internets stellt keinen geldwerten Vorteil dar. Begeht der AN eine Straftat ist es keine Sache des Arbeitgebers der Strafermittler zu sein. Hier gibt es die entsprechenden Ämter.
Thema 4: SAP Heimarbeitsplätze/Datenschutz
Einig sind sich die Teilnehmer darüber ein „Totschlagthema“ mit vielen Aspekten (auch ohne SAP) angesprochen zu haben. Hierfür (IT-Sicherheit, Ergonomie, Datensicherheit, Soz. Auswirkungen usw.) ist ein gesondertes Seminar nötig. Auf jeden Fall muß BR eingebunden sein. Eine Rahmenbetriebsvereinbarung ist zu empfehlen. Es gibt kein Generalkonzept, d.h. jeder soll werten was ihm wichtig ist.
Frau Schuler empfiehlt für nähere Informationen das virtuelle Beratungsbüro „On ForTe“ über www.onforte.de aufzurufen.
Thema 5: Pseudoanymisierung/Anonymisierung in SAP
In den wenigen verbleibenden Minuten wird zum Thema bezogen auf Datenvermeidung und Datensparsamkeit eingegangen. Oft ist es zweckmäßig nicht den eigenen Namen sondern nur ein Pseudonym anzugeben. Ist die Offenbarung des Namens nötig? Warum muss auf der Kreditkarte noch des Name des Kontoinhabers stehen?