Die Einführung von Software und Diensten erfolgt regelmäßig, um einen dienstlichen oder geschäftlichen Zweck zu erreichen. Dazu werden IT-Projekte aufgesetzt, die sich unterschiedlicher Hilfsmittel bedienen.

In der aktuellen Corona-Krise dominieren Projekte zur Förderung der agilen und virtuellen Zusammenarbeit. Das Aufrechterhalten der Abläufe in Unternehmen und in der öffentlichen Verwaltung erfordert Lösungen, um Dienstbesprechungen und Teamsitzungen im virtuellen Raum durchführen zu können. 

Veränderungen an den Prozessen und der eingesetzten Software sollen einen Ausgleich zwischen dem Wunsch nach mehr Selbstbestimmtheit am Arbeitsplatz und dem Schutz des Unternehmens und der Mitarbeiter zu erreichen und die Flexibilisierung von Arbeitszeit und Arbeitsort unterstützen. 

Ziele der software-gestützten virtuellen Zusammenarbeit sind:

  • Veränderung der Arbeitskultur hin zu einem agileren Arbeiten
  • Unterstützung neuer Zusammenarbeits- und Kommunikationsformen
  • Steigerung der Attraktivität des Arbeitsplatzes durch moderne IT-Ausstattung

Für die IT-Abteilungen ist dies eine „Gratwanderung“, denn es gehen auch Verantwortlichkeiten und Entscheidungsbefugnisse aus Ihrem Kernbereich zurück an die Mitarbeiter(innen) und Führungskräfte. Daneben stehen die dazu genutzten Dienste und Lösungen bisweilen im Ruf, es mit dem Datenschutz nicht so genau zu nehmen.  

Möglichkeit der Leistungs- und Verhaltenskontrollen durch Software

Grundsätzlich kann jede Software dazu geeignet sein, Daten für eine Leistungs- und Verhaltenskontrolle zu generieren. Es spielt dabei keine Rolle, ob die Daten im eigenen Rechenzentrum (On-Premise) oder durch einen Dienstleister (Provider) oder Clouddienst verarbeitet werden.

So kann eine zunächst „unschuldige“ Software wie z.B. Microsoft Excel mit den „falschen“ Daten zu einer Auswertung führen, die geeignet ist, einen Konflikt in der Leistungs- und Verhaltenskontrolle herbeizuführen.

Im gewählten Beispiel würde das Verfahren „Excel“ als Anwendung „neutral“ eingestuft werden, die konkrete Auswertung einer Datenkomposition jedoch als „überprüfungswürdig“.

Vergleichbar wäre auch das Werkzeug „Microsoft Forms“: Eine Umfrage zum Thema „An welchem Tag soll das Sommerfest stattfinden“ würde eher neutral eingestuft – die Abfrage zum Thema „Gestaltung der zukünftigen Arbeitsplätze“ wäre unter Umständen diskussionswürdig.

Einbeziehung der Mitarbeitervertretung unerlässlich

Im Rahmen der Informationssicherheits- und Datenschutzprüfung ist sicherzustellen, dass die Datenverarbeitung rechtskonform erfolgt. Die rechtlichen Grundlagen für die Arbeit und Befugnisse der Betriebs- und Personalräte leiten sich aus verschiedenen Regelwerken ab:

  • § 87 BetrVG: Mitbestimmungsrechte – Leistungs- und Verhaltenskontrolle (Art. 75 BayPVG für die öffentlich Bediensteten in Bayern)
  • § 80 BetrVG: Allgemeine Aufgaben – Einhaltung des Datenschutzrechts (DSGVO & BDSG)
  • Art. 88 DSGVO: Datenverarbeitung im Beschäftigtenkontext
  • § 26 BDSG: Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (Art. 8 BayDSG für öffentliche Stellen in Bayern)
  • Kollektiv-Vereinbarungen (Betriebs-/ Dienstevereinbarung)

Wenn der Arbeitgeber Mitarbeiterdaten verarbeiten möchte, die nicht in unmittelbarem Zusammenhang mit der Begründung, Durchführung, oder Beendigung des Arbeitsverhältnisses stehen, braucht er häufig die Zustimmung des Betriebs- oder Personalrats. Die Mitbestimmung im Bereich der Informations- und Kommunikationstechnologie streift typischerweise die folgenden Bereiche:

  1. Sicherheit: Prüfung, ob die Datenverarbeitung und Datenhaltung der Dienste die Sicherheitsanforderungen erfüllt. Diese Aufgabe ist intern zunehmend an Informations- /IT- Sicherheitsbeauftragte delegiert (ISB, CISO).
  2. Datenschutz: Prüfung, ob die eingesetzten Dienste die Anforderungen zum Datenschutz (DSGVO, BDSG etc.) erfüllen. (§ 80 BetrVG). Diese Aufgabe fällt gesetzlich dem betrieblichen / behördlichen Datenschutzbeauftragten (DSB) zu.
  3. Regeltreue („Compliance“): Prüfung, ob die Dienste und Anwendungen im rechtlichen Rahmen des Unternehmens eingesetzt werden können (§ 80 BetrVG). Die Verantwortung dafür liegt meist bei Compliance-Beauftragten / Innenrevision (Compliance Officer, Auditor).
  4. Transparenz: Vereinbarung über (un-) zulässige Mittel der Verhaltens- und Leistungskontrolle (§ 87 BetrVG) nach der Prüfung des Umgangs mit den Daten. Die Einhaltung überprüft der DSB  (allgemein) und die Mitarbeitervertretung (in Bezug auf Leistungs- und Verhaltenskontrolle). 

Betriebs- und Personalräte dürfen sich in der Regel auf die Vorarbeit und Empfehlungen ihrer Kollegen für die ersten drei Themenfelder verlassen.

„Gestaltungswerkzeug“ Betriebs- / Dienstevereinbarung

Kollektivvereinbarungen sind in § 26 Abs.1 und 4 BDSG explizit erwähnt. Betriebsvereinbarungen besitzen den Charakter einer „anderen Rechtsvorschrift“. Sie regeln im besten Fall nicht die Eignung eines IT-Systems zur Erfassung von Daten zur Leistungs- oder Verhaltenskontrolle, sondern dokumentieren die Zweckbindung der Daten und schaffen Instrumente zur Überwachung und Sanktionierung.

Die Betriebsvereinbarung definiert also, wie mit dokumentierten und undokumentierten Verfahren bzw. Verarbeitungsprozessen umgegangen wird. Auf diese Weise wird zudem die Software für die Datenhaltung vom Einsatzzweck eines darauf laufenden Verarbeitungsprozesses entkoppelt.

Wandel der Betrachtungsweise?

Im Zusammenhang mit dem Umgang mit modernen Kommunikations- und Zusammenarbeitswerkzeugen erscheint an vielen Stellen das „Need-to-protect“-Prinzip gegenüber dem „Need to know“-Prinzip praxisgerechter, d.h. Informationen und Werkzeuge sollen in der Organisation möglichst vielen zugängig sein. Die Grenzen ziehen die jeweiligen Compliance-Anforderungen (z.B. Gesetze, Verträge, unternehmerische Interessen), die den Schutzbedarf bestimmen.

Fazit

Der Betriebs- /Personalrat hat eine zentrale Rolle beim Schutz der Arbeitnehmerdaten. Diese ergibt sich nicht aus dem Datenschutzrecht selbst, sondern aus dem Betriebsverfassungsgesetz bzw. Personalvertretungsrecht. Die Mitarbeitervertretung sollte ihre Einflussmöglichkeiten nutzen und die Ausgestaltung der technischen Einrichtungen so absichern, dass sie nicht missbräuchlich eingesetzt werden. 

Damit sie diese Aufgabe wahrnehmen kann, muss der Arbeitgeber sie umfassend informieren und ihr alle erforderlichen Unterlagen zugänglich machen – bis hin zur Vorlage von Rollen- oder Berechtigungskonzepten für bestimme Softwaresysteme oder von Verträgen mit Softwarefirmen und Dienstleistern. Daran knüpft die Überprüfung vorhandener und Gestaltung neuer adäquater Betriebs- / Dienstvereinbarungen an.

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more
    Datenschutz bei Veranstaltungen

    Datenschutz bei Veranstaltungen

    Einladungen, Veranstaltungsbilder, Videoaufnahmen – öffentliche Veranstaltungen zu organisieren bergen viele Herausforderungen, vor allem aus datenschutzrechtlicher Sicht. Gerade im Rahmen der Öffentlichkeitsarbeit werden von Gemeinden verschiedenste Veranstaltungen...

    read more