Jens Tiedemann

Liss, Arbeitnehmerdatenschutz in IT-Entwicklungsprojekten


Ulrike Liss, Arbeitnehmerdatenschutz in IT-Entwicklungsprojekten. Datenschutzrechtliche Vorgaben bei der Entwicklung und Einführung von Personalinformationssystemen, Hamburg (Diplomica Verlag) 2011, ISBN 978-3-8428-5407-9, € 49,50

 

ZD-Aktuell 2012, 02908             Personalabteilungen von Unternehmen nutzen bei nahezu jedem Tätigkeitsfeld des Personalmanagements (Bewerberauswahl, Gehaltsabrechnung, Altersversorgung, etc.) die technischen Möglichkeiten, die IT heutzutage ermöglicht. Personenbezogene Arbeitnehmerdaten unterfallen jedoch einem komplexen, datenschutzrechtlichen Regelungsregime. In dem hier anzuzeigenden Werk wird ein abstrakter Leitfaden entwickelt, der der Unternehmensleitung und dem jeweiligen IT-Beauftragten das für die Entwicklung und Einführung von Personalinformationssystemen („PIS“) datenschutzrechtliche Basiswissen vermitteln und auf potenzielle Sicherheitslücken und Bedrohungen hinweisen soll. Dabei erhebt das Werk, das lediglich gut 100 Seiten im Format DIN A5 umfasst, bewusst keinen Anspruch auf Vollständigkeit. Viele praxisrelevante Themen können daher nur angerissen werden. Kernbereiche werden aber zumeist soweit erläutert, dass sie der Zielsetzung des Buchs gerecht werden. Auch die Verknüpfungen zum Betriebsverfassungsrecht und den einschlägigen Mitbestimmungsrechten des Betriebsrats werden kurz aufgezeigt.

Nach einer knappen Einführung werden zunächst die verschiedenen datenschutzrechtlichen Vorschriften auf nationaler unter internationaler/europäischer Ebene aufgelistet, die grundsätzlich bei der Einführung von PIS zu beachten sind, wobei Liss zutreffend aufzeigt, dass Arbeitgeber – abgesehen von einzelnen Spezialbestimmungen (z.B. TKG, TMG, etc.) – vorrangig das BDSG sowie das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) zu beachten haben. Anschließend entscheidet sich Liss nach kursorischer Darstellung verschiedener Modelle bei der Einführung eines PIS für ein Phasenmodell (Planung, Analyse, Konzeption, Realisierung, Einführung und Nutzung), dessen Einzelphasen die Struktur der nachfolgenden Ausführungen bilden.

Im Kernkapitel des Leitfadens werden die datenschutzrechtlichen Anforderungen an PIS phasenweise dargestellt. Zu Recht spricht sich Liss dafür aus, den Betriebsrat bei der Entwicklung und Einführung von PIS möglichst früh einzubeziehen. Sie weist insbesondere auf das erzwingbare Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG, aber auch auf andere Rechte des Betriebsrates (z.B. gem. § 80 Abs. 1, 2 BetrVG) hin. Zustimmung findet ebenfalls die dringende Empfehlung von Liss, den betrieblichen Datenschutzbeauftragten frühzeitig bei der Einführung von PIS „mit ins Boot“ zu holen, dessen Aufgaben gem. § 4g BDSG die Verfasserin kurz beleuchtet. Anschließend zeigt Liss auf, unter welchen einzelnen Voraussetzungen bei Teilsystemen eines PIS (z.B. bei der Personalplanung, Personalentwicklung, Abrechnung, Beschaffung, E-Learning, Leistungsbewertung, etc.) personenbezogene Daten von Arbeitnehmern erhoben, verarbeitet oder genutzt werden (§ 1 Abs. 2 BDSG). Sie stellt zutreffend dar, dass anonymisierte Daten keinen Personenbezug mehr haben. Gleiches gilt für pseudonymisierte Daten, solange der Zuordnungsschlüssel nicht bekannt ist. Sodann sensibilisiert Liss den Leser für den Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) und dass ein geeignetes Sicherheitskonzept geschaffen werden muss, um den Arbeitnehmerdatenschutz zu gewährleisten. Jeder Umgang mit personenbezogenen Arbeitnehmerdaten und der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht der Arbeitnehmer bedarf der (gesetzlichen) Rechtfertigung, wobei Liss exemplarisch Regelungen aus den SGB II, IV, V,VII, IX und X aufzeigt und den Auffangtatbestand des § 32 BDSG benennt. Die Verfasserin spricht sich dafür aus, dass der Datenschutz nur dann wirksam gewährleistet werden kann, wenn die Mitarbeiter, die PIS nutzen, mit den datenschutzrechtlichen Bestimmungen vertraut sind und diese auf Grund eigener Überzeugung konsequent anwenden. Dies ist nach Ansicht von Liss nur möglich, wenn der Datenschutz in die Unternehmenskultur integriert wird. Datenschutz ist keine „lästige Pflicht, die hauptsächlich Kosten verursacht und betriebliche Abläufe behindert“, sondern ist nach Ansicht der Verfasserin notwendig, um „ein friedliches und motiviertes Betriebsklima zu gewährleisten“.

Das Werk von Liss ist ungefähr auf dem Stand vom Ende des Jahres 2010, sodass der Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes nur am Rande erwähnt wird. Liss formuliert knapp, was zusammen mit einer übersichtlichen Gliederung ein schnelles Einlesen ermöglicht. Für eine vertiefte Befassung mit den angesprochenen Themen greift der Leitfaden – angesichts seines Umfangs wenig überraschend – zu kurz. Er ist insofern auch weniger für die Wissenschaft empfehlenswert, gibt aber z.B. einem mit Datenschutz bisher nicht befassten Geschäftsführer eine gute und schnell lesbare Einführung in die Datenschutzthematik bei der Entwicklung und Einführung von PIS, ohne mit rechtlichen Details zu verwirren. Der Preis erscheint mir allerdings in Relation zum Inhalt leicht überzogen.

 

Dr. Jens Tiedemann ist Richter am ArbG Frankfurt/M.