< Neue Best-Practice-Norm zur Zertifizierung eines Informationssicherheits-Managementsystems
12.03.2014 12:10 Kategorie: Aktuelles DE

totalitäre Datenschutzmaßnahen im Betrieb

30 Jahre nach Orwell: Betriebliche Kontrollmaßnahmen zwischen Big Brother und Datenschutz


Auch wenn die Veröffentlichung des Werks von George Orwell natürlich schon länger her ist (1949), so jährt sich „1984“ nunmehr zum 30. Mal. Gerade heute ist der literarische „Big Brother“ ein geflügeltes Wort geworden und scheint nicht nur staatliche Überwachungen (NSA, Vorratsdatenspeicherung oder Bundestrojaner sind nur einige Schlagworte in diesem Zusammenhang), sondern auch betriebliche Kontrollmaßnahmen zu beschreiben. Die Erfahrung zeigt, dass zunehmend mehr Videoüberwachungsanlagen installiert, Protokolle ausgewertet und Background-Checks durchgeführt werden, wobei die Motive von „gut gemeint“ bis „kriminelle Energie“ sehr fließend sind. Ohne den Datenschutzbeauftragten mit der literarischen Figur von Winston Smith aus Orwells Werk gleichsetzen zu wollen, so bedarf es stets einen, der für die Privatsphäre einstand… in Deutschland ist dieser Datenschutzbeauftragte gesetzlich vorgeschrieben. „Vertrauen ist gut, Kontrolle ist besser“ ist eine oft genutzt Maxime, wenn es darum geht, einen Bewerber auszuwählen oder Mitarbeiter zu führen. Auch aus datenschutzrechtlicher Sicht ist dies erforderlich, schließlich muss geprüft werden, ob Datenschutz-Maßnahmen oder auch andere Richtlinien und Anweisungen tatsächlich umgesetzt werden. Nichtsdestotrotz ist es stets eine Frage der Wahl der Mittel. Um Mitarbeiter zu kontrollieren, werden gerne automatisierte Kontrollmaßnahmen wie digitale Videoüberwachungsanlagen, Monitoring-Systeme zur Datenfluss-Analyse oder andere Auswertungen von vorliegenden Daten vorgenommen. Viele dieser Maßnahmen sind in den Augen derjenigen, die diese Maßnahmen in die Wege leiten, nachvollziehbar und zielführend. Bei der Suche nach entsprechenden Vorgehensweisen zur Erreichung der vorgegebenen Ziele werden datenschutzrechtliche Aspekte jedoch oft entweder gar nicht erst betrachtet oder vom Tisch gewischt. Aus der Erfahrung der UIMC sind die Motive für „Big Brother“ hierfür von „gut gemeint“ bis „kriminelle Energie“ sehr fließend. Oftmals ist es auch nicht die Geschäftsführung selbst, die diese Maßnahmen anordnen, sondern vielmehr die darunterliegende Managementebene. In 1984 waren viele Überwachungstechniken technisch noch Fiktion. Heute werden viele Kontrollen schon alleine wegen ihrer technischen Machbarkeit und/oder durch das Vorliegen bestimmten Daten und Informationen schon durchgeführt. So wird ein Abgleich von Krankheitstagen und Raucherpausen im Zeiterfassungssystem zur Vermeidung suchtbedingter Fehlzeiten durchgeführt, es werden Bewerber in Facebook oder über Google zur „Team-kompatiblen“ Einstellung neuer Mitarbeiter überprüft oder GPS-Daten des Mobiltelefons zur Kontrolle der optimalen Fahrtrouten von Außendienstlern ausgewertet. All diese Maßnahmen haben in der Regel zwei Dinge gemeinsam: Die Motivation des Durchführenden ist oftmals ein (vermeintliches) Unternehmensinteresse und verstößt in den vielen Fällen gegen die Persönlichkeitsrechte des Mitarbeiters. Dies gilt zumindest dann, wenn entsprechende Rahmenbedingungen des Datenschutzes nicht eingehalten werden. Dem ist grundsätzlich nur durch eine entsprechende Datenschutz-Kultur zu begegnen, die durch eine Sensibilisierung der Geschäftsführung, den Aufbau einer Datenschutz-Organisation in aufbau- und ablauf-organisorischer Sicht und der Installation eines betrieblichen Datenschutzbeauftragten erreicht werden kann. Innerhalb eines Unternehmens sollten solche Kontrollmaßnahmen stets mit dem Datenschutzbeauftragten diskutiert werden, um zum einen formale und zum anderen grundsätzliche Fragen zu regeln. Nur durch eine entsprechende Datenschutzkultur, die von Unternehmensleitung und Mitarbeiter gleichermaßen getragen wird, kann verhindert werden, dass „Big Brother“ innerbetrieblich zur Realität wird und Datenschutzverstöße zu Imageschäden des Unternehmens führen kann.