ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der ├╝berarbeiteten Webseite unter www.datenschutzzentrum.de.

BTQ-Fachtagung in Kooperation mit ver.di Fachbereich Handel
Die Zukunft im Handel hat schon begonnen!

vom 15. bis 17. November 2004 in Moers

Moderne IT-Systeme und Arbeitnehmerdatenschutz

Thilo Weichert, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)

 

Übersicht:

Vortragsfolien als PDF-Datei [89kB]

  1. Der aktuelle politische Rahmen
  2. Die ubiquitäre Überwachung hat den Betrieb erreicht
  3. Die neuen Qualitäten des automatisierten Arbeitsplatzes
  4. Beispiel Betrugsbekämpfung
  5. Schlussfolgerungen

I. Der aktuelle politische Rahmen

Auf den ersten Blick haben wir es im Bereich der Überwachung von Arbeitnehmerinnen und Arbeitnehmern im Betrieb mit einer paradoxen Situation zu tun: Seit Jahren, ja seit zwei Jahrzehnten kündigen Bundesregierungen unterschiedlicher Couleur ein Arbeitnehmerdatenschutzgesetz an. Doch es tut sich nichts. Hierüber müsste mensch als Datenschützer ebenso wie als Arbeitnehmer, Gewerkschafter oder betrieblicher Arbeitnehmervertreter unglücklich und verärgert sein: Auf breiter Ebene werden soziale, kollektive und individuelle Arbeitnehmerrechte abgebaut. Und nun gibt es einen Bereich, wo die rot-grünen Koalitionspartner und die Bundesregierung beim Ausbau von Arbeitnehmerrechten einig zu sein scheinen - und es passiert nichts.

Doch bei einer zweiten Betrachtung ist der Anlass für Verärgerung nicht ganz so groß: Tatsächlich haben wir eine relativ gut gesicherte und grundrechtsfreundliche Rechtsprechung der Arbeitsgerichte in Sachen Arbeitnehmerdatenschutz. Und es ist mehr als ungewiss, was eine Bundesregierung in das abgekündigte Arbeitnehmerdatenschutzgesetz hineinschreiben würde. Viel besser als das, was derzeit die Arbeitsgerichte entscheiden, würde es sicher nicht werden, zumal die Bundesregierung offensichtlich die Parole verfolgt, der Arbeitgeberseite keine weiteren Zumutungen mehr zumuten zu wollen. Und die Festschreibung des Datenschutzes im Betrieb wird - leider und zu Unrecht - offensichtlich derzeit immer noch von Regierungs- wie von Unternehmensseite als eine solche Zumutung angesehen.

Dennoch ist die aktuelle Situation für die Arbeitnehmerseite alles andere als komfortabel. Zwar ist eine Änderung der Rechtsprechung weniger wahrscheinlich als eine Verschlechterung der Gesetze. Bei der Zulassung grundrechtsbeeinträchtigender Datenverarbeitung war der Gesetzgeber in jüngster Vergangenheit oft schnell bei der Hand. Auch die mit der Gesetzgebung einhergehende öffentliche demokratische und parlamentarische Debatte streitet nicht für ein Arbeitnehmerdatenschutzgesetz. Der Abbau von Arbeitnehmerrechten wie von Bürgerrechten wird oft von Regierungen mit stillschweigender Billigung der Parlamente ohne gesellschaftliche Diskussion im Hauruck-Verfahren durchgezogen.

Das zentrale Problem ist vielmehr die aktuell stattfindende informationelle Aufrüstung der Arbeitnehmerüberwachung in den Betrieben. Diese findet zwar schon seit Jahren statt. Doch erreichen wir derzeit eine Qualität, die eine neue Positionsbestimmung nötig macht. Eine solche Positionsbestimmung wurde auch von der Europäischen Kommission angestrebt, als sie eine EU-weite Anhörung zum Regelungsbedarf in Punkto Persönlichkeitsschutz für Arbeitnehmer durchführte. Das Ergebnis dieser Anhörung ist an Eindeutigkeit kaum zu   überbieten: Angesichts der neuen technischen Bedrohungen ist nicht nur eine nationale, sondern auch eine europäische, möglichst einheitliche Regulierung anzustreben. Doch diese objektive Sachverhaltsdarstellung ist, ebenso wie jede Ankündigung der Bundesregierung zu diesem Thema - bisher - ergebnislos verhallt. Ob die begrüßenswerte Initiative der EU von ihr selbst erneut aufgegriffen und weiterverfolgt wird, ist nicht absehbar. Angesichts der disparaten politischen Situation ist es sinnvoll, eine eigene Positionsbestimmung vorzunehmen. Dies wird im rechtlichen Bereich Wolfgang Däubler mit der nötigen Pointiertheit machen. Ich selbst will auf einige technische Entwicklungen aufmerksam machen, aus denen sich sowohl betriebliche wie politische Konsequenzen ergeben.

II. Die ubiquitäre Überwachung hat den Betrieb erreicht

Wir befinden uns derzeit in einer technischen Umbruchsphase, die sich wie folgt beschreiben lässt: Die bisherige zielgerichtete und spezifizierte Überwachung von Arbeitnehmern wird ungezielt und ubiquitär, d.h. zeitlich und räumlich allgegenwärtig. Hintergrund dieser Überwachung ist weniger der böse Wille der Arbeitgeber, ihre Mitarbeiter einer strengeren Knute zu unterwerfen. Vielmehr stecken dahinter in der Regel vielfältige andere Zwecke und - ganz banal - die technische Entwicklung. Die Zwecke liegen vor allem in der Rationalisierung der Abläufe durch Automation sowie in der Erhöhung der Produktionssicherheit wie allgemein der Sicherheit angesichts neuer Risiken. Die technische Entwicklung lässt sich kurz und prägnant damit beschreiben, dass der Einsatz von Informationstechnologie (IT) für Kontrollzwecke immer billiger, einfacher anwendbar, komplexer, "intelligenter" und vernetzter wird.

Einige Beispiele:

Videoüberwachung war bisher eine verpönte Technologie im Betrieb: Sie war relativ aufwändig, insbesondere was den Aufbau eines vernetzten Kamera-Monitorsystems und dessen Aufsicht betraf. Dies hatte zur Folge, dass Videoüberwachung in den Außenanlagen und an den Werktoren eingesetzt wurde. Die undankbare Aufgabe der Monitorüberwachung wurde oft einem schlecht bezahlten Sicherheitsdienst oder dem Pförtner übertragen. Inzwischen hat sich die Situation verändert: Videoüberwacht werden nun - zumindest in zweiter Linie - auch die Arbeitnehmer am Arbeitsplatz. Im Fokus stehen die Arbeitsabläufe, bei denen die Arbeitnehmer zwangsläufig gezielt oder nebenbei ins Blickfeld geraten. Die alte Kamera-Monitor-Überwachung wird abgelöst durch Mustererkennungssysteme, die nur dann Aufmerksamkeit auf sich lenken bzw. aktiv werden, wenn programmtechnisch nicht vorgesehene Abläufe stattfinden, etwa, wenn nicht vorgesehene Bewegungen detektiert werden oder programmwidrige Störungen im Ablauf. In diesen Fällen sind die Systeme aber "gnadenlos", d.h. sie zeichnen automatisch auf und verfolgen automatisiert den weiteren Prozess.

Die gute alte Stechuhr wurde lange Zeit als ein Disziplinierungsmittel von Arbeitgebern in Sachen Pünktlichkeit angesehen. Inzwischen sind kontaktlose Betriebs-Chipausweise eingeführt, die beim Ein- und Auschecken nur noch flüchtig vor ein Lesefeld gehalten werden müssen und die zugleich als Zutrittsschlüssel verwendet werden. Das Schließsystem ist nicht mehr von vergessenen und verlierbaren Schlüsseln abhängig, es lässt sich nach Belieben konfigurieren. Ganz nebenbei lassen sich nicht nur das Kommen und Gehen protokollieren, sondern auch das Betreten und Verlassen von einzelnen Räumen. Dies kann in datensicherheitsrelevanten Bereichen sogar für Datenschützer ein erfreulicher Nebeneffekt sein. Entstehen können über den Karteneinsatz aber auch betriebsinterne Bewegungsprofile der einzelnen Mitarbeiter. Zudem lässt sich der Ausweis als Zahlungsmittel in der Kantine, als Karte für das digitale Signieren von elektronischen Dokumenten oder als Berechtigungskarte für Serviceangebote des Arbeitgebers nutzen. Daraus entstehen in der Kantine Konsumprofile, in Freizeiteinrichtungen Interessenprofile und im Intranet Tätigkeitsprofile.

Fast harmlos erscheint insofern der Einsatz von Biometrie im betrieblichen Alltag. Mit Fingerabdruck-, Iris-, Stimm- oder Gesichtserkennung wird das lästige Zücken des Betriebsausweises überflüssig. Zugleich erfolgt eine sichere Identifizierung des Arbeitnehmers nicht nur beim Betreten des Arbeitsplatzes, sondern auch beim Einloggen ins Firmennetz oder beim Betreten einer Sicherheitszone. Der Nebeneffekt für den Arbeitgeber unterscheidet sich nur wenig von einem Chipausweis, da dieser an den biometrischen Daten kein gesteigertes Interesse haben dürfte. Anders liegt der Fall für staatliche Stellen, etwa für die Polizei oder die Staatsanwaltschaft, die im Verdachtsfall die Gesichtsbilder oder die Fingerabdruckprofile mit verdächtigen Spuren abgleichen können.

In verwandten Bereichen wird auch die Transpondertechnik eingesetzt, die jüngst unter dem neudeutschen Namen "Radio Frequency Identification" - kurz RFID - populär geworden ist. In einem Betriebsausweis eingebracht, entfällt das lästige und defektanfällige Einstecken der Chipkarte. Ihren Ursprung hat aber die RFID-Technik in der Markierung von Produktpaletten und Produkten zur Automation des Nachschubs bzw. generell der Logistik: Ein Produkt lässt sich von der Anlieferung über die Lagerung, über das Auslegen des Warenangebots bis zum Verkaufsvorgang verfolgen. So lassen sich Produktlaufzeiten verkürzen, die Lagerhaltung optimieren, generell die Logistikabläufe rationalisieren. Im   Interesse einer effektiven Produktlaufkontrolle werden dann auch die eingesetzten Mitarbeiter identifiziert, was über den RFID-Betriebsausweis oder über vergleichbare sog. Tags in der Kleidung oder sonstwo am Arbeitsplatz erfolgt. Ging es zunächst nur um die Optimierung der Logistik, so ist doch plötzlich auch der Arbeitnehmer als Nebenprodukt in die Workflow-Kontrolle integriert.

Natürlich möchte jeder Spediteur gerne wissen, wo sich gerade seine Lastwagen und die damit transportierte Ladung befindet. Zur Beschaffung dieser Information ist die Mobilfunktechnik und die Satellitennavigation bestens geeignet. Auch sonstige Funktionalitäten im LKW, die bisher im Führerhaus zusammenliefen (von der Geschwindigkeitskontrolle bis hin Angaben über den Status des Motors), werden inzwischen in digitaler Form erfasst und längerfristig gespeichert oder sofort in eine Zentrale übertragen, um z.B. Gefahrenquellen frühzeitig zu identifizieren. Durch die faktische Pflicht zum Einbau der Onboard-Units zur Abrechnung der LKW-Maut wird inzwischen die gesamte bundesdeutsche LKW-Flotte mit dieser Technologie ausgestattet. Diese Peilsender eignen sich nicht nur zur Bezahlung von Autobahngebühren, zum Dirigieren von Ladungen und zum Aufspüren von Defekten, sondern auch zur Fahrerkontrolle: Wann ist der LKW von seiner Route abgewichen? Wann und wo machte der Fahrer eine Pause? An die Stelle der Freiheit des Truckerberufs tritt das elektronische Gängelband des Chefs.

Die Zeiten des unbeobachteten Telefonierens im Betrieb dürften schon heute weitgehend vorbei sein. Nach Ablösung der Analogtechnik durch die digitale Telefonie mit Weiterleitungs-, Speicher-, Protokollierungs-, Anzeige- und Rückruffunktionalitäten kann ein Vorgesetzter feststellen bzw. feststellen lassen, wer wie lange mit wem telefoniert hat und wann sich jemand am Telefonarbeitsplatz befindet. Stellt der Arbeitgeber den Mitarbeitern Mobiltelefone zur Verfügung, so können weitere Verkehrsdaten, z.B. Standortdaten, erlangt werden. All diese Anwendungen dienen zunächst dem bequemeren Telefonieren, nutzbar sind sie aber auch zur Kontrolle durch den Vorgesetzten.

Allgegenwärtig ist die Kontrollmöglichkeit inzwischen auch am PC-Arbeitsplatz. Der PC-Arbeitsplatz ist heute zum Standardarbeitsplatz des Standard-Arbeitnehmers geworden. Der Systemadministrator des Betriebs hat alle Möglichkeiten der Überwachung: Welche Emails werden geschrieben und abgesandt, welche Texte werden erfasst, welche Webseiten besucht, welche Dokumente ausgedruckt? Die Arbeitsgeschwindigkeit beim Tippen von Texten, beim Verfassen eines Briefes oder beim Bearbeiten eines Vorganges lässt sich minutiös nachvollziehen. Wird am PC eine Kamera integriert für Zwecke der Bildtelefonie, so ist auch die optische Überwachung des Arbeitsplatzes machbar. Die wenigsten Arbeitgeber in Deutschland dürften ein generelles Interesse an einer solchen Vollkontrolle ihrer Mitarbeiter haben. Doch die Technik ermöglicht die Kontrolle, die dafür benötigte Software ist immer einfacher zu haben.

Der Bildschirmarbeitsplatz gibt aber nur einen Vorgeschmack von dem, was noch kommen kann und zumindest für viele abhängig Beschäftigte auch kommen wird: Die Integration von Video, Telefon, Peilsender, Betriebsausweis mit Transpondertechnik und PC in vom Arbeitgeber gestellten mobilen Personal Digital Assistants (PDA) gibt den totalen elektronischen Arbeitskomfort auf Reisen, am betriebsinternen Arbeitsplatz wie auch im Außendienst. Dieser Komfort wird aber erlangt über die ebenso totale Kontrollierbarkeit.

III. Die neuen Qualitäten des automatisierten Arbeitsplatzes

Die Konsequenzen der Automation sind nicht nur bedrohlich, sie sind u.U. zugleich mit einem Gewinn an Selbstbestimmung für den Arbeitnehmer verbunden. Diese drückt sich in flexiblen Arbeitszeiten aus und in der weitgehend von Arbeitgebern eingeräumten Befugnis der unentgeltlichen privaten Nutzung der elektronischen Arbeitsmittel. Dieser Gewinn ist zugleich auch eine Herausforderung an die Disziplin von Arbeitgeber und Arbeitnehmer. Die Verschränkung von Privatem und Dienstlichem verlangt vom Arbeitnehmer Zurückhaltung beim Gebrauch, vom Arbeitgeber Zurückhaltung bei der Kontrolle. Den Arbeitgeber geht das, was der Arbeitnehmer am Rande seines Arbeitsplatzes privat macht, definitiv nichts an, allenfalls die dabei aufgewendete Zeit und die dabei entstandenen Telekommunikationskosten. Tatsächlich kann der Chef aber die private Email mitlesen, die beobachtete Pornoseite im Internet aufspüren und den Abstecher zur Geliebten oder in die Kneipe während eines Dienstgangs nachvollziehen.

Die Grenzlinien zwischen Privatem und Dienstlichem sind in Betriebsvereinbarungen festzulegen. Dies erfolgt wegen der hohen Datenschutzanforderungen im Hinblick auf die Kontrollfeiheit und Anonymität von allgemeinen Telekommunikationsdiensten i.d.R. dadurch, dass eine private Nutzung der dienstlichen EDV-Infrastruktur grds. verboten und zugleich - evtl. augenzwinkernd - geduldet wird. Eine solche Regelung verschiebt das Kontrollrisiko einseitig auf die Arbeitnehmerseite, der auf die wohlwollende Duldung des Arbeitgebers angewiesen ist. Komplizierter, zugleich aber für alle Seiten mit einer größeren Rechtssicherheit verbunden sind Regelungen in Betriebsvereinbarungen, die einen ausdrücklichen Interessenausgleich vornehmen, z.B. durch Definition von privaten neben dienstlichen Accounts oder durch die rechtliche und technische Festlegung von zugelassenen privaten Email- oder WWW-Nutzungen.

Die Macht des Chefs bei IT-Anwendungen ist beschränkt. Sie ist nicht nur arbeitsrechtlich eingegrenzt. Faktisch relevanter ist, dass der Chef zumeist nicht über die technische Kompetenz verfügt, um die Mitarbeiterkontrolle selbst auszuüben. Er bedarf hierfür der Unterstützung durch die Systemadministration. Dies ist im Interesse der Vermeidung von übermäßiger Arbeitnehmerkontrolle einerseits ein Segen. Systemadministratoren gehören i.d.R. nicht dem Topmanagement an. Es ist daher nicht unrealistisch, dass sich die Systembetreuer nicht so leicht zum Handlanger der Unternehmensleitung machen lassen, sondern als IT-Verantwortliche betätigen, die sich für das Wohl des Gesamtbetriebes ebenso verantwortlich sehen wie für die Privatsphäre der Kolleginnen und Kollegen. Zugleich sind aber sowohl die Leitungs- wie die Anwenderebene vollständig von den Technikverantwortlichen abhängig, ja sogar erpressbar. Damit wird die Macht der Systemadministration ein Thema sowohl für deren Kontrolle durch die Unternehmensleitung als auch durch den Betriebsrat und den betrieblichen Datenschutzbeauftragten.

Auch dieses Thema kann in einer Betriebsvereinbarung für alle Seiten gewinnbringend bearbeitet werden, indem dem Betriebsrat eigenständige Informations-, Kontroll- und auch Initiativrechte gegenüber der Systemadministration eingeräumt werden, evtl. unter Einbindung des betrieblichen Datenschutzbeauftragten. In jedem Fall sollte gewährleistet werden, dass bei bestimmten persönlichkeitsrechtlich sensiblen Auswertungen der Systemadministration, die der Verhaltens- und Leistungskontrolle dienen oder die hierfür geeignet sind, Vertreter des Betriebsrates eingebunden werden. Entsprechendes ist dringend bei individuellen Auswertungen in Verdachtsfällen zum Zweck der Feststellung von EDV-Missbräuchen oder von sonstigen arbeitsrechtlichen Pflichten geboten (s.u.). Durch eine solche - u.U. technisch abgesicherte - Einbindung der Arbeitnehmerseite kann der Arbeitgeber zugleich das Entstehen des Verdachtes von - unzulässigen - heimlichen Arbeitskontrollen vermeiden.

Die informationstechnische Aufrüstung der Arbeitsplätze bringt eine weitere qualitative Veränderung mit sich: Technische Systeme sind technisch manipulierbar. Sie basieren nicht mehr auf Mechanismen sozialer Kontrolle und Kommunikation, können also bei entsprechendem technischen Know-how des Mitarbeiters unbeobachtet so verändert werden, dass die Kontrolle ausgeschlossen oder fehlgeleitet wird. Dazu tragen Verschlüsselungsprogramme, Anonymisierungsdienste und Auswertungswerkzeuge bei, die teilweise unentgeltlich aus dem Internet beschafft werden können. Das Tauschen von Passwörtern oder Chipkarten oder sonstige Manipulationen können zu individuellen Fehlbewertungen, z.B. durch den Arbeitgeber führen. Schließlich ermöglicht ein Zugriff von Mitarbeitern auf die Betriebssytemebene der Manipulation von personenbezogenen Dokumenten und Protokollierungen Tür und Tor. Was im positiven Sinn als Selbstdatenschutz angesehen werden könnte, entpuppt sich im betrieblichen Zusammenhang als Gefahr für die Kollginnen und Kollegen und für den Betrieb als Ganzes. Der Kontrolleur muss nicht der Arbeitgeber sein, der böswillige Kollege kann ebenso in diese Rolle schlüpfen.

Während die Nutzung von Instrumenten des technischen Selbstdatenschutzes im Konsumbereich eine Ergänzung des sonstigen datentschutzrechtlichen Instrumentariums darstellt, kann dies nicht für den Arbeitsbereich gelten, da hier nicht die eigene Hard- und Software zum Einsatz gelangt, sondern eine Manipulation der Arbeitgeber-EDV erfolgt, was zu einer Gefährdung der anderen Mitarbeiter als auch des eigenen Betriebes führt. Dies schließt aber nicht aus, dass das Selbstschutzinstrumentarium im Arbeitsbereich nicht nutzbar gemacht werden könnte. Dies kann dadurch erfolgen, dass den Mitarbeiterinnnen und Mitarbeitern im Rahmen von Betriebsvereinbarungen die Möglichkeiten des Einsatzes solcher Mittel zugestanden werden, wobei jedoch die Verantwortlichkeit des Arbeitsgebers dadurch gesichert bleiben muss, dass diesem über Melde- und Genehmigungspflichten die nötigen Kenntnisse und Einflussmöglichkeiten eingeräumt werden. Denkbar ist aber auch, dass der Betriebsrat allgemein seine Mitverantwortung für den Datenschutz dadurch wahrnimmt, dass er Selbstschutzmechanismen - in Absprache mit dem Arbeitgeber - zur freiwilligen Nutzung der Beschäftigten anbietet.

IV. Beispiel Betrugsbekämpfung

Vom betrieblichen Datenschutzbeauftragten einer großen Einzelhandelskette wurde das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) um Vermittlung zwischen den Arbeitnehmer- und Arbeitgeberinteressen beim Einsatz einer Revisionssoftware mit der Bezeichnung "Loss Prevention" gebeten. Mit diesem Verfahren lassen sich bei der Kassenbedienung Verlustquellen, die durch Manipulationen oder Fehlbedienungen entstehen, erkennen und beheben. Dabei werden sämtliche Kassenaktivitäten zentral erfasst, also z.B. An- und Abmeldungen, die Nutzung elektronischer Zahlungsmittel, Kassenaktivitäten ohne Verkauf usw.. Diese Daten werden unter teilweise nicht genau definierten Fragestellungen mit Hilfe von Data-Mining-Instrumenten analysiert.

Der Einsatz dieses Verfahrens hat eine große persönlichkeitsrechtliche Relevanz, da über die Kassennummern und Anwenderkennungen präzise Rückschlüsse auf einzelne Bedienstete möglich sind. So lässt sich bei der Auswertung der Daten erkennen, wann Pausen eingelegt wurden, in welchem Umfang die Bediensteten für Kassenarbeiten eingesetzt waren, wie schnell sie hierbei arbeiteten, wieviel Fehlbedienungen durch Korrekturen und Stornos erfolgten. Es erfolgt eine zeitlich nahelos lückenlose elektronische Auswertung des Kassenbedienverhaltens. So legitim das Interesse des Arbeitgebers ist, die Gründe für Kassenverluste und evtl. Betrügereien ausfindig zu machen, so legitim ist das Interesse der Bediensteten, hierbei nicht bis in das individuelle Verhalten hinein kontrolliert zu werden. Das System dokumentiert aber undifferenziert das Verhalten von Verdächtigen wie von Unverdächtigen. Es geht vor allem darum, im Vorfeld eines Anfangsverdachtes Datenauswertungen vorzunehmen, mit denen Anhaltspunkte für einen Kassenfehlgebrauch gewonnen werden. Zweifellos gehen die Auswertungsmöglichkeiten eines solchen Systems über die Möglichkeiten der Aufdeckung von Inventurdifferenzen und des manipulativen Kassenfehlgebrauchs weit hinaus. Es war aber im konkreten Fall erklärtes Ziel des Arbeitgebers, mit Hilfe dieses Instruments keine individuelle Leistungskontrolle der Arbeitnehmer durchzuführen.

Die hier erfolgende Vorfeldermittlung des Arbeitgebers ist - anders als im Bereich polizeilicher Überwachung - nicht grundsätzlich unzulässig. Vielmehr muss es zu einem Interessenausgleich zwischen den vertraglichen Rechten und Pflichten auf beiden Seiten des Arbeitsverhältnisses kommen, also zwischen berechtigten Interessen des Arbeitgebers und den schutzwürdigen Interessen der Arbeitnehmer. Ein solcher Interessenausgleich ist über Regelungen in einer Betriebsvereinbarung möglich. In einer solchen Betriebsvereinbarung können materielle und prozedurale Festlegungen erfolgen, die zu einer für die Arbeitnehmerseite akzeptabeln Einschränkung der Auswertungsmöglichkeiten führen.

Zu diesen Festlegungen gehört zunächst eine möglichst präzise Definition des verfolgten Zweckes, also hier das "Erkennen und Reduzieren von Vermögensverlusten aus Manipulationen und Fehlbedienungen sowie durch organisatorische Defizite". Weiterhin ist festzulegen, welche konkreten Formen der Datenverarbeitung hierfür nötig sind und erfolgen sollen. Hierzu gehört eine Benennung der erfassten Daten, des Zeitraums von deren Aufbewahrung (Löschfristen) sowie eine präzise Beschreibung der Art der Auswertung. Durch die dadurch erlangte Transparenz für die Beschäftigten können sich diese bei ihrem Verhalten während der Arbeit auf   die Art der stattfindenden informationstechnischen Kontrolle und die möglichen Reaktionen durch den Arbeitgeber einstellen. Gegen rechtswidrige Nutzungen können Vorkehrungen getroffen werden; diese können erkannt werden und hiergegen kann vorgegangen werden. Die möglichen Reaktionen des Arbeitgebers auf erkannte Missbrauchsfälle müssen präzise definiert werden. Diese sollten sich zunächst auf überindividuelle Reaktionen, die aus aggregierten Informationen erlangt werden können, beschränken, also z.B. auf orgnisatorische technische Änderungen an der Kasse oder im Betrieb oder besondere Schulungsmaßnahmen.

Der Einsatz von Data-Mining-Werkzeugen, mit denen zumeist nicht von Anfang an ein konkreter Zweck bzw. eine konkrete Fragestellung verfolgt wird,   ist bei einer pseudonymisierten Datenbasis rechtlich nicht völlig ausgeschlossen. Solange bei den Data-Mining-Vorgängen eine Individualisierung unzweifelhaft vermieden wird und vor einer Individualisierung eine objektive Prüfung der schutzwürdigen Betroffeneninteressen normativ, organisatorisch und/oder technisch gewährleistet ist, kann der Einsatz dieses Instruments bei Arbeitnehmerdatenbeständen zulässig sein.

Eine individuelle Auswertung kann technisch zunächst dadurch ausgeschlossen werden, dass die Arbeitenehmerdaten nicht unter dem Namen, sondern unter Pseudonym erfasst sind. Ist das Pseudonym nur Wenigen verfügbar und die Zuordnung nur in technisch wie normativ klar begrenzten Fällen möglich, so kann faktisch weitgehend eine nicht angestrebte Leistungskontrolle ausgeschlossen werden. Ergibt sich bei der pseudonymen Auswertung ein begründeter konkreter Tatverdacht, (z.B. gezielte Kassenmanipulation, unverhältnismäßige Fehlbeträge), der sich auf eine Bediennummer (ein Pseudonym) bezieht, so ist gegen eine Aufdeckung des Pseudonyms aus Datenschutzsicht grundsätzlich nichts einzuwenden. Wohl aber muss gewährleistet werden, dass hierdurch nicht unbegründet Personen verdächtigt werden und dass durch ein transparentes Verfahren und eine Einbindung des Betriebsrates bzw. des Betroffenen sowohl auf kollektiver wie auf individueller Ebene (rechtliches) "Gehör" gewährt wird. Demgemäß musste im konkret vom ULD bewerteten Verfahren nicht nur die Beweissicherung für ein eventuelles gerichtliches Verfahren gewährleistet sein, sondern auch die Transparenz und der Auskunftsanspruch gegenüber dem Betroffenen.

Bei der Wahrnehmung der Betroffenrechte ist u.U. eine Identifizierung der Pseudonyme nötig, auch wenn die Zuordnung im System selbst überhaupt nicht möglich ist. Bei den pseudonymen Daten handelt es sich um personenbezogene Daten, über die auf Anfrage Auskunft erteilt werden muss. Im Einzelfall muss es auch möglich sein, den Anspruch auf Berichtigung, Sperrung oder Löschung durchzusetzen. Werden derartige Betroffenenrechte in Bezug auf nur pseudonym vorliegende Daten geltend gemacht, so ist es im Interesse aller Beteiligter dringend geboten, die betroffene Person darüber zu informieren, dass erst über die Wahrnehmung der Betroffenenrechte eine - ansonsten nicht bestehende - Individualisierung erfolgt. Wird auf der Wahrnehmung der Betroffenenrechte dennoch bestanden, so sind die Daten aus dem Gesamtdatenbestand anhand des Pseudonyms zu extrahieren und gemäß der (berechtigten) Forderung des Betroffenen zu behandeln.

Bei der datenschutzkonformen Gestaltung sind nicht nur die Interessen des Bedienpersonals zu berücksichtigen, sondern auch die des Filialleiters, dessen Individualisierung im Rahmen von "Loss-Prevention-Verfahren" sehr einfach möglich ist. Differenziert werden muss zwischen der Verantwortlichkeit der Filialleitung gegenüber der Geschäftsleitung für den Gesamtbetrieb der Filiale und dem Einsatz der Filialleitung an der Kasse selbst. Im Interesse der klaren Trennung dieser beiden unterschiedlichen Funktionen ist die Nutzung von unterschiedlichen Kennungen (Pseudonymen) bei der Kassennutzung zu empfehlen. Für die filial(leiter)bezogenen Auswertungen bedarf es u.U. gesonderter Regelungen in der Betriebsvereinbarung.

Bei der Individualisierung von pseudonymen Erkenntnissen kommen den technisch-organisatorischen Sicherungen eine wichtige Bedeutung zu. Diese Sicherung kann z.B. dadurch erfolgen, dass die Zuordnungsfunktionen der Pseudonyme logisch oder besser sogar physikalisch von den Kassenbediendaten getrennt gehalten werden. Für eine individuelle Auswertung ist in diesem Fall eine Zuordnung durch Überspielen der Auswertungsdaten auf einen anderen Server notwendig. Die Zugriffsberechtigungen auf diesen Server können funktionell eng beschränkt bleiben, wobei auch hier sich ein Vieraugenprinzip (Beteiligung des Betriebsrates) empfiehlt.

Zentrale Bedeutung - nicht nur für die rechtliche Zulässigkeit, sondern auch für die Akzeptanz durch die Arbeitnehmer und deren Vertreter - ist einen umfassende Transparenz des Verfahrens. Daher hat im konkreten Fall das ULD von dem Unternehmen die Verbreitung einer aussagekräftigen Mitarbeiterinformation gefordert ("Was ist Loss Prevention?" "Welche Folgen hat eine falsche Kassenbedienung durch mich?" usw.). Die Unterrichtung muss in allgemein verständlicher Form erfolgen.

V. Schlussfolgerungen

Der Einsatz neuer Technologien am Arbeitsplatz eröffnet zwangsläufig neue Überwachungsmöglichkeiten gegenüber den Beschäftigten. Im Interesse der Datenvermeidung und der Datensparsamkeit sollten von der Betriebsleitung solche Verfahren zur Erreichung eines betrieblichen Ziels (z.B. Erhöhung der Sicherheit, Optiminierung der Logistik), bei denen keine personenbezogenen Daten anfallen, vorgezogen werden. Lässt sich dies - wie z.B. bei dem oben dargestellten "Loss Prevention"-Verfahren - nicht vermeiden, so ist es im Interesse der Datenvermeidung dringend geboten, eine pseudonyme Datenverarbeitung vorzunehmen. Eine Identifizierung der Datensätze darf nur in betrieblich klar geregelten Ausnahmefällen vorgenommen werden, wobei der Gefahr ungewollter oder unzulässiger Identifizierung organisatorisch, technisch und rechtlich vorgebeugt werden muss.

Bei der betrieblichen Regelung kommt dem Betriebsrat eine zentrale Bedeutung. Die Betriebsvereinbarung ist der geeignete Ort für diese Regelung. Dem Betriebsrat kommt insofern auch eine technikgestaltende Rolle zu: Er muss darauf achten, dass überwachungsgeneigte Technik datensparsam installiert und genutzt wird. Bei der Festlegung der Nutzungen sollte eine neutrale bzw. von der Unternehmensleitung unabhängige Stelle eingebunden sein. Dies kann der Betriebsrat selbst sein, ein betrieblicher Datenschutzbeauftragter, der das Vertrauen der Belegschaft bzw. des Betriebsrates genießt, aber u.U. auch ein externer (Datenschutz-) Experte, auf den sich beide Seiten einigen können.

Die Arbeitnehmerseite ist nicht gut beraten, wenn sie sich begründeten informationstechnischen Innovationsbedürfnissen der Arbeitgeberseite verweigert. IT-Technikeinsatz kann zu Ressourceneinsparungen, zu Qualitätsverbesserungen, zu einer Erhöhung der Sicherheit oder zur Reduzierung von Kosten führen. An solchen Wirkungen hat die Arbeitgeberseite ein berechtigtes Interesse. Die Arbeitnehmerseite wäre aber auch sehr schlecht beraten, wenn sie bei einem konstruktiven Dialog mit der Unternehmensleitung keinen eigenen oder parteiischen technischen und rechtlichen Sachverstand einbringt. Regelmäßig sind IT-Projekte mit Überwachungspotenzial ohne Berücksichtigung der Arbeitnehmerbelange konzipiert, entwickelt und realisiert worden. Es   ist regelmäßig ein beschwerlicher Weg, in ein datenschutzunfreundliches Produkt oder System im Nachhinein Datenschutz einzubauen. Um dies durchzusetzen sind sowohl rechtliche wie auch technische Kenntnisse nötig, die beim Betriebsrat i.d.R. nicht von Anfang an vorhanden sind.

Es wäre zu wünschen, dass im Arbeitsleben eingesetzte IT-Produkte vor dem realen Einsatz einem Datenschutz-Check unterworfen werden. Hierzu gehört eine ausreichende Dokumentation, die Erprobung bzw. Testung des Verfahrens sowie die ausdrückliche Freigabe. Es hat sich gezeigt, dass die rechtlich zumindest für sensible Verfahren geforderte Vorabkontrolle, die zu einem solchen Check führen soll, oft nicht durchgeführt wird.

Im wohl verstandenen Interesse aller Beteiligten ist oft aber eine Mehr an Vorabkontrolle sinnvoll. Das ULD in Schleswig-Holstein und jüngst auch der Landesbeauftragte für den Datenschutz in Bremen haben hierfür - begrenzt auf die Länderzuständigkeiten - einen rechtlichen Rahmen, der hoheitlich verliehene Datenschutzgütesiegel und -Audits vorsieht. Dabei wird letztendlich von einer von Arbeitgeber- und Arbeitnehmerseite unabhängigen Instanz geprüft und bescheinigt, dass ein Verfahren, das zur Arbeitnehmerkontrolle geeignet ist, datenschutzkonform ist bzw. datenschutzkonform eingesetzt wird. Es ist zu hoffen, dass auch - wie noch für diese Legislaturperiode angekündigt - auf Bundesebene ein entsprechendes Datenschutzauditgesetz realisiert wird, das im Interesse des Arbeitnehmerdatenschutzes genutzt werden kann. Vielleicht können wir zumindest kurzfristig ohne ein Arbeitnehmerdatenschutzgesetz leben, solange die Rechtsprechung der Arbeitsgerichte der technischen Entwicklung noch folgen kann, ohne die Arbeitnehmerinteressen aus dem Auge zu verlieren. Dringend geboten auch im Interesse des Arbeitnehmerdatenschutzes ist aber in jedem Fall ein Datenschutzauditgesetz.