Viele Unternehmen legen großen Wert auf die penible Einhaltung der geltenden Vorschriften und Gesetze gegenüber Kunden und Geschäftspartnern. Aber auch in internen IT-Projekten und -Systemen muss der Datenschutz gegenüber den eigenen Mitarbeitern beachtet werden. Darüber hinaus sind Fragen des Arbeits- und des Urheberrechts zu klären - Letzteres lässt sich schließlich nicht allein dadurch aushebeln, dass Unternehmen Inhalte nur innerhalb einer geschlossenen Benutzergruppe publizieren.
Die Daten der Mitarbeiter
Wann muss sich internes IT-Projektteam um Daten- und Mitarbeiterschutz Gedanken machen? Einfach ausgedrückt: immer dann, wenn personenbezogene Daten von Mitarbeitern in irgendeiner Form bearbeitet oder ausgewertet werden sollen oder können. Abzugrenzen ist dies übrigens von der Datensicherheit, die sich mit dem Schutz vor unerlaubten Zugriffen beschäftigt, jedoch keine Aussagen über die Verwendung von Daten macht.
Nach dem Bundesdatenschutzgesetz (BDSG) sind Nutzung und Verarbeitung personenbezogener Daten des Arbeitnehmers erlaubt, soweit dies zur Wahrung berechtigter Interessen des Arbeitgebers erforderlich ist. Dies ist allerdings nur dann der Fall, wenn kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der Mitarbeiter überwiegen. Dennoch ist nicht jede Nutzung gestattet. Insbesondere ist nicht alles erlaubt, was nicht verboten ist.
Anhand der vermehrt auch unternehmensintern eingesetzten sogenannten "Enterprise 2.0"- oder "Web 2.0"-Systeme wird dies deutlich. Hierzu zählen beispielsweise intern veröffentlichte Mitarbeiter- und Projekt-Blogs, unternehmensinterne Wikis oder soziale Netzwerke wie Xing. Aber auch Empfehlungs- und Bewertungsfunktionalitäten oder Social Bookmarking können problematisch sein. All diese Systeme gehen mit personenbezogenen Daten um, erzeugen sie oder machen sie leicht auswertbar.
Letzteres spielt im Rahmen interner IT-Projekte insbesondere dann eine Rolle, wenn es um Leistungs- oder Verhaltenskontrolle geht. Generell unterliegen Systeme, mit denen eine solche Kontrolle vorgenommen werden kann, der betrieblichen Mitbestimmung. Das bedeutet, die Vertretung der Mitarbeiter (Betriebs- oder Personalrat) besitzt ein Informations- und in vielen Punkten auch ein Mitbestimmungs- oder Einspruchsrecht.
Blogs und Foren
In einem internen Blog oder Forum können Mitarbeiter Beiträge posten. Dies kann dazu genutzt werden, Wissen innerhalb des Unternehmens zu verteilen, Experten zu lokalisieren und eine Kollaboration über Abteilungsgrenzen oder sogar Standortgrenzen hinweg zu ermöglichen. Der Nutzen für das Unternehmen ist also klar erkennbar. Gleichzeitig werden dabei Daten über jeden Mitarbeiter erzeugt, die dem Arbeitgeber prinzipiell die Möglichkeit der Leistungskontrolle geben, zum Beispiel durch eine Auswertung der Anzahl der Postings oder wie oft ein Posting in Suchergebnissen anderer Mitarbeiter auftaucht und an welcher Stelle des Suchergebnisses. Das könnte einen Hinweis darauf geben, wie gut oder wertvoll ein Betrag und damit der Mitarbeiter sind. Auch hier ist der Nutzen für das Unternehmen erkennbar. Aus Sicht der Mitarbeitervertretung ist dies jedoch nicht wünschenswert. Ein Unternehmen kann sich damit behelfen, dass der Mitarbeiterbezug bei der späteren Auswertung oder bei der Anzeige als Suchergebnis entfernt wird.
Soziale Netze
Ein internes soziales Netzwerk birgt ebenfalls Chancen und Risiken. So ist die automatische Übernahme von Mitarbeiterdaten aus einem Identity-Management-System oder Active Directory ohne Einwilligung des Mitarbeiters problematisch. Die Auflistung von Fähigkeiten und Kenntnissen ist einerseits sinnvoll, damit andere Mitarbeiter im Unternehmen schnell den passenden Experten finden können. Andererseits kann solch eine Funktion dazu führen, dass sich andere Mitarbeiter unter Druck gesetzt fühlen, sich ebenfalls optimal zu präsentieren. Werden dann noch Beziehungen zwischen Mitarbeitern wie bei bekannten sozialen Netzwerken abgeleitet ("Folgende Mitarbeiter haben ähnliche Fähigkeiten …"), begleiten den unternehmerischen Nutzen dieser Ergebnisse problematische Rückschlüsse auf eine mögliche Leistungskontrolle.
Dieses Problem lässt sich nicht so einfach lösen. Viel kann ein Unternehmen über Transparenz und den offenen Umgang mit dem Feedback der Mitarbeiter erreichen. Nur in einem von Vertrauen geprägten Umfeld werden Lösungen gefunden, die alle Beteiligten mittragen.
Mitarbeiterdatenschutz - eine Checkliste
Schon diese wenigen Beispiele vermitteln einen Eindruck davon, welche datenschutzrechtlichen Fallstricke bei einem internen IT-Projekt lauern können. Zusammenfassend gesagt liegt der Schlüssel zum Erfolg stets in der frühzeitigen und nachhaltigen Einbindung aller Betroffenen. Dabei sollte Transparenz an erster Stelle stehen, um Misstrauen und Widerstand zu verhindern oder abzubauen. Die Ziele und der Nutzen für jeden Beteiligten müssen eindeutig und verständlich kommuniziert werden. Dies sollte nicht erst kurz vor Fertigstellung des Projektes erfolgen, sondern bereits in der Anfangsphase. So bleibt Zeit, Feedback einzuholen und zu berücksichtigen. Dabei sollte möglichst konkret angegeben werden, wie erhobene personenbezogene Daten verarbeitet werden. Dieser Fragenkatalog kann der Orientierung darüber dienen, was Mitarbeiter üblicherweise wissen müssen:
Welche personenbezogenen Daten werden gespeichert und wie lange?
Welche Daten werden mit Mitarbeiterbezug abgelegt bzw. wann wird dieser Bezug entfernt?
Werden Daten archiviert, und können sie wieder reaktiviert werden?
Kann der Mitarbeiter seine eigenen Daten verwalten bzw. löschen?
Wie werden Protokolle bzw. Log-Dateien ausgewertet?
Wie werden sensible Daten, etwa Geburtsdatum und Wohnort, verschlüsselt?
Es kann darüber hinaus sinnvoll sein, sich beispielsweise beim ersten Login ein Opt-In vom Mitarbeiter abzuholen, wie dies bei öffentlichen Systemen üblich ist. Dies bedingt, dass konkrete Nutzungsbedingungen samt Rechten und Pflichten der Anwender definiert sind - ein einmaliger Aufwand, der sich auf Dauer lohnen wird. Um ganz auf der sicheren Seite zu sein, sollte bei der Erarbeitung der Nutzungsbedingungen unbedingt ein Experte (idealerweise ein Jurist) hinzugezogen werden. Da es in diesem Bereich auch bei der Rechtsprechung regelmäßig neue Entwicklungen gibt, müssen die getroffenen Entscheidungen und Richtlinien immer wieder vor dem Hintergrund neuer Regelungen angepasst werden.
Urheberrecht
Das Urheberrecht ist seit Langem ein heiß diskutiertes Thema in der digitalen Welt, sei es bei Internettauschbörsen, die regelmäßig in den Medien thematisiert werden, sei es bei der Frage um die Verwendung und Schutzwürdigkeit von Programmcode, Bildern oder Texten. Auch bei unternehmensintern aufgebauten und betriebenen Systemen spielt das Urheberrecht eine Rolle, denn rechtlich betrachtet ist jeder Mensch, der ein Werk erschafft, ein Urheber, und sein Werk ist damit geschützt. Auch die Urheberrechte von Mitarbeitern müssen also gewahrt werden, selbst wenn die Inhalte nur einer geschlossenen Gruppe, zum Beispiel Mitarbeitern eines Unternehmens, zugänglich sind.
Dazu einige Beispiele: In einem Unternehmens-Wiki werden Artikel und Präsentationen aus fremden unternehmensexternen Quellen gespeichert, die zu dem entsprechenden Themenbereich passen. Es ist praktisch, wenn hier alles an einem Ort liegt, aber ohne die Genehmigung des Autors ist dies nicht zulässig. Gleiches gilt für den intern verschickten Newsletter mit eingescannten Artikeln aus Fachmagazinen oder Tageszeitungen. Ohne Genehmigung ist auch dies unzulässig. Bei dem als "Tauschbörse" für MP3-Dateien und kopierte DVDs verwendeten Fileserver ist die Sache auch intern immer rechtswidrig, sofern keine Erlaubnis des Urhebers der kopierten Daten vorliegt.
In Fällen des Urheberrechtsmissbrauchs bewegen sich nicht nur die Mitarbeiter, die gegen die Regeln verstoßen, auf dünnem Eis. Auch das Unternehmen ist in der Pflicht, da es unter Umständen selbst zur Verantwortung gezogen wird. Um zu vermeiden, im Rahmen der sogenannten Störerhaftung in Anspruch genommen zu werden, müssen Unternehmen rechtswidrige Praktiken der Mitarbeiter unterbinden. Konkret heißt das, klare Regeln zu schaffen, zu kommunizieren und ihre Einhaltung sicherzustellen. Verstöße sind unbedingt zu ahnden.
Achtung Nutzungsrechte!
Vergleichsweise einfach zu regeln ist die unternehmensinterne Nutzung von Inhalten, die Mitarbeiter erstellt haben oder an denen sie die Rechte besitzen. Die Verwertung von in der Arbeitszeit erstellten Inhalten, wie Artikeln, Programmcode und Ähnlichem, ist meist schon im Arbeitsvertrag geregelt, die Rechtsabtretung ist üblich.
Anders verhält es sich bei der Verwendung eines Mitarbeiterfotos im internen sozialen Netzwerk. Dies ist nur mit Einwilligung des Mitarbeiters rechtlich unbedenklich, selbst wenn das Bild für das Unternehmen bereits zu einem anderen Zweck erstellt wurde, zum Beispiel für einen Mitarbeiterausweis. Bei frühzeitiger Einbindung des Mitarbeiters und Einholung einer Erlaubnis bei Informationen über die Verwendung ist die Einwilligung meist schnell erteilt. Eine persönliche Anfrage ist hierbei einer einfachen Checkbox vorzuziehen. Auch eine freiwillige Aktion mit Fotosession kann motivieren!
Fazit
Die Beispiele aus den Anwendungsbereichen Mitarbeiterdatenschutz und Urheberrecht im Unternehmen haben gezeigt, dass bei IT-Projekten, die den internen Einsatz von Web-2.0-Technologien zum Ziel haben, auch rechtliche Herausforderungen zu bestehen sind. Einmal aufgesetzt, können Zugriffsrechte zwar meist noch in späten Projektphasen wieder justiert werden. Geplante Nutzungsmuster und Arbeitsabläufe sind jedoch häufig elementarer Bestandteil eines IT-Systems und lassen sich nur mit großem Aufwand in späten Projektphasen ändern, wenn sie datenschutz- oder urheberrechtlich problematisch sind. Die Einbindung eines erfahrenen Beraters kann hier viele Probleme von Beginn an vermeiden helfen. Der Vertrauensverlust, den ein Unternehmen gegenüber seinen Mitarbeitern erleiden kann, wiegt schwer, sodass sich die Investition lohnt.
Es gilt, gemeinsam eine sinnvolle Balance zwischen der Nutzung neuer Technologien und dem Daten- und Urheberrechtsschutz der Mitarbeiter zu finden. Dazu sollten die Beteiligten von Anfang an in die Projekte einbezogen werden, um Bedenken zu adressieren und Lösungen zu finden. Dann überwiegt der Nutzen sowohl für das Unternehmen als auch für die Mitarbeiter. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.