"Personalinformationssysteme sind im Bereich der Wirtschaft noch nicht implementiert", konstatiert Bernd Hentschel, Leiter der Lohn- und Gehaltsabrechnung der Ford-Werke AG, Köln, in seiner sechsseitigen Serie "PIS contra PDS". Der Autor ist Vorsitzender der Gesellschaft für Datenschutz und Datensicherung (GDD) in Bonn.
Als Grundzüge einer Mitbestimmung bei Personaldatensystemen wird vorgeschlagen:
1. Der Umfang der Speicherung, der in der Regel durch ein Projektteam des Arbeitgebers festgelegt wird (Sammlung und kritische Wertung der Fachabteilungswünsche) sollte mit dem Betriebs gestimmt werden. Vor oder bei dieser Abstimmung ist ebenfalls die Unbedenklichkeitserklärung des Datenschutz-Beauftragten einzuholen, für die unter anderem auch ° 75 BetrVG eine Rolle spielt.
2. Der Datenkatalog ist zu differenzieren nach:
- Personenkreis (nicht alle Daten werden für alle Personenkreise relevant sein)
- Gültigkeits-, Sperr- und Ungültigkeitsvermerken je Datum (falls erforderlich)
- Zyklen automatischer Überprüfung von Daten auf Gültigkeit und gegebenenfalls automatische Veränderung oder Löschung
- Nachweis der Datenherkunft.
Diese Details unterliegen ebenfalls der Einigung mit Betriebsrat und Datenschutzbeauftragtem.
3. Es ist der Grundsatz zu fixieren, daß nur jeweils die fachlich zuständigen Stellen Zugang zu den Daten haben. Eine Berechtigungsmatrix ist nach Datenarten, zuständigen Fachabteilungen und Aktionen aufzustellen. Diese Berechtigungsmatrix kann nicht der Mitbestimmung unterliegen, da sie sich unmittelbar aus der Geschäftsverteilung im Unternehmen ergibt. Sie ist darlegen dem Datenschutzbeaufragten vorzulegen, schon Wehen ihrer Realisierung als Zuriffssicherungsverfahren innerhalb des Systems. Die jeweilige Autorisierung, dargelegt in der Berechtigungsmatrix, muß vom System durch entsprechende Authentifizierung vollzogen werden.
Ungenommen ist dem Betriebsrat natürlich das Recht, auf offenkundige Fehler bei der Festlegung der Berechtigungsmatrix hinzuweisen. 14. Die Verwendung der Daten ist ihrem Grunde nach zu fixieren. Diese Festlegung ist mit dem Betriebsrat abzustimmen. Bei starr programmierten Listen kann das Listen-Design ihm unmittelbar vorgelegt -werden, während für den Einsatz von Berichtsgeneratoren und Abfragesprachen jene Verwendungsgrundsätze, die natürlich auf der Berechtigungsmatrix nach Ziffer 3 basieren, zum Tragen kommen. Alle anderen Formen der Sichtbarmachung (Bildschirmmasken, Mikrofilm) unterliegen ebenfalls dieser Verständigung.
Die hier beschriebenen Fragenkomplexe sind stets im Zusammenhang, mit dem Auskunftsrecht nach ° 26 BDSG und dem Einsichts- und Wiederspruchsrecht nach ° 83 BetrVG zu sehen, Darüber hinausgehende unmittelbare Einsichtsrechte des Betriebsrats können aber nur insofern realisiert werden, als sie vom BetrVG abgedeckt sind. Jeder andere Wunsch nach direktem Zugang zu Personaldaten kollidiert mit dem Individualschutz nach dem BDSG. Die in Diskussionen befindlichen Musterbetriebsvereinbarungen sind deshalb in wesentlichen Punkten weder akzeptabel noch praktikabel.
Überzogene Forderungen bewirken Gegenkräfte, womit der Sache nicht gedient ist. Vielfach ist Unwissenheit mit im Spiele, wenn Restriktionen gefordert werden. Vermieden werden muß die "Informationskastration", da sie weder dem Arbeitnehmer noch dem Arbeitgeber auf Dauer und bei der Behauptung im freien und stark umkämpften Marktgeschehen hilft.
Literaturhinweise:
1) GDD-Dokumentation No. 11 GDD-Handsammlung '81 erschienen DATAKONTEXT-Verlag, 5000 Köln 40
2) Datenschutz-Berater Heft 5/80 "Konzeptionelle Überlegungen bei Personaldatensystemen" Handelsblatt GmbH, 4000 Düsseldorf 1
3) Datenschutz-Berater Heft 6/81 "Datenschutz und Arbeitsrecht" Handelsblatt GmbH, 4000 Düsseldorf 1
_AU:Bernd Hentschel