Die Einführung von Software und Diensten erfolgt regelmäßig, um einen dienstlichen oder geschäftlichen Zweck zu erreichen. Dazu werden IT-Projekte aufgesetzt, die sich unterschiedlicher Hilfsmittel bedienen.
In der aktuellen Corona-Krise dominieren Projekte zur Förderung der agilen und virtuellen Zusammenarbeit. Das Aufrechterhalten der Abläufe in Unternehmen und in der öffentlichen Verwaltung erfordert Lösungen, um Dienstbesprechungen und Teamsitzungen im virtuellen Raum durchführen zu können.
Veränderungen an den Prozessen und der eingesetzten Software sollen einen Ausgleich zwischen dem Wunsch nach mehr Selbstbestimmtheit am Arbeitsplatz und dem Schutz des Unternehmens und der Mitarbeiter zu erreichen und die Flexibilisierung von Arbeitszeit und Arbeitsort unterstützen.
Ziele der software-gestützten virtuellen Zusammenarbeit sind:
- Veränderung der Arbeitskultur hin zu einem agileren Arbeiten
- Unterstützung neuer Zusammenarbeits- und Kommunikationsformen
- Steigerung der Attraktivität des Arbeitsplatzes durch moderne IT-Ausstattung
Für die IT-Abteilungen ist dies eine „Gratwanderung“, denn es gehen auch Verantwortlichkeiten und Entscheidungsbefugnisse aus Ihrem Kernbereich zurück an die Mitarbeiter(innen) und Führungskräfte. Daneben stehen die dazu genutzten Dienste und Lösungen bisweilen im Ruf, es mit dem Datenschutz nicht so genau zu nehmen.
Möglichkeit der Leistungs- und Verhaltenskontrollen durch Software
Grundsätzlich kann jede Software dazu geeignet sein, Daten für eine Leistungs- und Verhaltenskontrolle zu generieren. Es spielt dabei keine Rolle, ob die Daten im eigenen Rechenzentrum (On-Premise) oder durch einen Dienstleister (Provider) oder Clouddienst verarbeitet werden.
So kann eine zunächst „unschuldige“ Software wie z.B. Microsoft Excel mit den „falschen“ Daten zu einer Auswertung führen, die geeignet ist, einen Konflikt in der Leistungs- und Verhaltenskontrolle herbeizuführen.
Im gewählten Beispiel würde das Verfahren „Excel“ als Anwendung „neutral“ eingestuft werden, die konkrete Auswertung einer Datenkomposition jedoch als „überprüfungswürdig“.
Vergleichbar wäre auch das Werkzeug „Microsoft Forms“: Eine Umfrage zum Thema „An welchem Tag soll das Sommerfest stattfinden“ würde eher neutral eingestuft – die Abfrage zum Thema „Gestaltung der zukünftigen Arbeitsplätze“ wäre unter Umständen diskussionswürdig.
Einbeziehung der Mitarbeitervertretung unerlässlich
Im Rahmen der Informationssicherheits- und Datenschutzprüfung ist sicherzustellen, dass die Datenverarbeitung rechtskonform erfolgt. Die rechtlichen Grundlagen für die Arbeit und Befugnisse der Betriebs- und Personalräte leiten sich aus verschiedenen Regelwerken ab:
- § 87 BetrVG: Mitbestimmungsrechte – Leistungs- und Verhaltenskontrolle (Art. 75 BayPVG für die öffentlich Bediensteten in Bayern)
- § 80 BetrVG: Allgemeine Aufgaben – Einhaltung des Datenschutzrechts (DSGVO & BDSG)
- Art. 88 DSGVO: Datenverarbeitung im Beschäftigtenkontext
- § 26 BDSG: Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (Art. 8 BayDSG für öffentliche Stellen in Bayern)
- Kollektiv-Vereinbarungen (Betriebs-/ Dienstevereinbarung)
Wenn der Arbeitgeber Mitarbeiterdaten verarbeiten möchte, die nicht in unmittelbarem Zusammenhang mit der Begründung, Durchführung, oder Beendigung des Arbeitsverhältnisses stehen, braucht er häufig die Zustimmung des Betriebs- oder Personalrats. Die Mitbestimmung im Bereich der Informations- und Kommunikationstechnologie streift typischerweise die folgenden Bereiche:
- Sicherheit: Prüfung, ob die Datenverarbeitung und Datenhaltung der Dienste die Sicherheitsanforderungen erfüllt. Diese Aufgabe ist intern zunehmend an Informations- /IT- Sicherheitsbeauftragte delegiert (ISB, CISO).
- Datenschutz: Prüfung, ob die eingesetzten Dienste die Anforderungen zum Datenschutz (DSGVO, BDSG etc.) erfüllen. (§ 80 BetrVG). Diese Aufgabe fällt gesetzlich dem betrieblichen / behördlichen Datenschutzbeauftragten (DSB) zu.
- Regeltreue („Compliance“): Prüfung, ob die Dienste und Anwendungen im rechtlichen Rahmen des Unternehmens eingesetzt werden können (§ 80 BetrVG). Die Verantwortung dafür liegt meist bei Compliance-Beauftragten / Innenrevision (Compliance Officer, Auditor).
- Transparenz: Vereinbarung über (un-) zulässige Mittel der Verhaltens- und Leistungskontrolle (§ 87 BetrVG) nach der Prüfung des Umgangs mit den Daten. Die Einhaltung überprüft der DSB (allgemein) und die Mitarbeitervertretung (in Bezug auf Leistungs- und Verhaltenskontrolle).
Betriebs- und Personalräte dürfen sich in der Regel auf die Vorarbeit und Empfehlungen ihrer Kollegen für die ersten drei Themenfelder verlassen.
„Gestaltungswerkzeug“ Betriebs- / Dienstevereinbarung
Kollektivvereinbarungen sind in § 26 Abs.1 und 4 BDSG explizit erwähnt. Betriebsvereinbarungen besitzen den Charakter einer „anderen Rechtsvorschrift“. Sie regeln im besten Fall nicht die Eignung eines IT-Systems zur Erfassung von Daten zur Leistungs- oder Verhaltenskontrolle, sondern dokumentieren die Zweckbindung der Daten und schaffen Instrumente zur Überwachung und Sanktionierung.
Die Betriebsvereinbarung definiert also, wie mit dokumentierten und undokumentierten Verfahren bzw. Verarbeitungsprozessen umgegangen wird. Auf diese Weise wird zudem die Software für die Datenhaltung vom Einsatzzweck eines darauf laufenden Verarbeitungsprozesses entkoppelt.
Wandel der Betrachtungsweise?
Im Zusammenhang mit dem Umgang mit modernen Kommunikations- und Zusammenarbeitswerkzeugen erscheint an vielen Stellen das „Need-to-protect“-Prinzip gegenüber dem „Need to know“-Prinzip praxisgerechter, d.h. Informationen und Werkzeuge sollen in der Organisation möglichst vielen zugängig sein. Die Grenzen ziehen die jeweiligen Compliance-Anforderungen (z.B. Gesetze, Verträge, unternehmerische Interessen), die den Schutzbedarf bestimmen.
Fazit
Der Betriebs- /Personalrat hat eine zentrale Rolle beim Schutz der Arbeitnehmerdaten. Diese ergibt sich nicht aus dem Datenschutzrecht selbst, sondern aus dem Betriebsverfassungsgesetz bzw. Personalvertretungsrecht. Die Mitarbeitervertretung sollte ihre Einflussmöglichkeiten nutzen und die Ausgestaltung der technischen Einrichtungen so absichern, dass sie nicht missbräuchlich eingesetzt werden.
Damit sie diese Aufgabe wahrnehmen kann, muss der Arbeitgeber sie umfassend informieren und ihr alle erforderlichen Unterlagen zugänglich machen – bis hin zur Vorlage von Rollen- oder Berechtigungskonzepten für bestimme Softwaresysteme oder von Verträgen mit Softwarefirmen und Dienstleistern. Daran knüpft die Überprüfung vorhandener und Gestaltung neuer adäquater Betriebs- / Dienstvereinbarungen an.
