Der Erfolg von Social Media zeigt, dass die starren und reglementierenden Grundprinzipien klassischer Wissens-Management-Systeme auch wegen der wachsenden Datenmengen an ihre Grenzen stoßen. Mitarbeiter stellen bisweilen ihr Wissen und ihre Erfahrung lieber auf Plattformen wie Xing oder LinkedIn zur Verfügung als im Firmennetz und fragen lieber die Community um Rat, als sich in die Tiefen hauseigener Knowledge-Management-Systeme zu begeben.
Gartner-Analysten beschreiben den Paradigmenwechsel wie folgt: Beim Knowledge-Management entscheidet das Unternehmen, was ich wissen muss, während bei Social Media die Kollegen auf der Grundlage ihrer Erfahrungen mitteilen, was sie für wichtig halten. Das geschieht auf eine Weise, bei der ich für mich selbst entscheiden kann, was wichtig ist und was nicht. Die im Social Web oder in E-Mails generierten Daten sind in der Regel unstrukturiert oder semistrukturiert. Vor allem Texte in Posts oder in externen wie internen E-Mails sind für das Wissens-Management interessant. Die bisher im Umfeld von Big Data angebotenen Lösungen verleiten allerdings dazu, alle möglichen Daten einzusammeln. Cloud-Services, mit denen man sich kurzfristig zusätzliche Rechenleistung, Tools oder sonstige für die Verarbeitung großer Datenmengen erforderlichen Dienste beschaffen kann, leisten der Sammelwut weiteren Vorschub.
COMPUTERWOCHE Marktstudien zum Thema ECM
Jäger und Sammler
Hinzu kommen Tools für das Social-Media-Monitoring, die Unternehmen helfen, alle unternehmensrelevanten Themen aus dem Web zu filtern. Beim Screening oder durch Crawler werden automatisiert benutzergenerierte Inhalte in sozialen Netzwerken identifiziert, beobachtet und analysiert. Doch Vorsicht: Nicht alles, was verfügbar ist, ist auch ethisch in Ordnung.
Beispielsweise ist der Einsatz von Hadoop aus datenschutzrechtlicher Sicht nicht ganz unkritisch. Das Framework nutzt mit dem Hadoop Distributed File System (HDFS) ein Dateisystem, bei dem Dateien auf mehrere Datenblöcke verteilt und mehrfach Kopien von einzelnen Datenblöcken angelegt werden. Es muss jedoch sichergestellt werden, dass nach Session-Ende die Daten wieder dedupliziert werden. Dies gilt besonders dann, wenn nicht öffentliche Daten, sondern Daten aus dem Bestand des Unternehmens wie E-Mails analysiert werden sollen.
Dank der Leistungsfähigkeit von Big-Data-Technologien könnte es in Zukunft zudem interessant werden, E-Mails ohne Klassifizierung sofort Serverseitig zu archivieren und nicht nachzubearbeiten. Denn durch die Möglichkeiten von Hadoop und Co. lassen sich auch große Datenbestände schnell und effizient auswerten. Damit könnte der Aufwand für die zum Teil nach wie vor manuelle Bearbeitung und Klassifizierung von E-Mails drastisch reduziert und der Umgang mit E-Mails deutlich beschleunigt werden. Diese Strategie ist aber nicht ganz unproblematisch. Solange die Dokumente nicht klassifiziert sind, kann Hadoop nicht sicherstellen, wer Kenntnis von bestimmten Daten haben darf. Außerdem gehört es zum Lifecycle eines Dokuments, dass es gegebenenfalls zu einem bestimmten Zeitpunkt gelöscht werden muss, was ebenfalls nicht ohne Nachbearbeitung möglich ist. Schließlich ist zu bedenken, dass der Einsatz von Big-Data- oder Social-Monitoring-Tools jedenfalls dann die Zustimmung eines Betriebsrats erfordert, wenn es um Daten geht, die von Mitarbeitern des Unternehmens erzeugt wurden.
Wem gehören die Kontakte?
Die Social-Media-Nutzung wirft weitere Fragen auf. Wenn sich die Mitarbeiter lieber ihres eigenen Netzwerks bedienen und sich mit Externen auf Xing und LinkedIn austauschen, könnten sich doch Firmen die Ergebnisse dieser Aktivitäten, die ja immerhin mit Ressourcen des Unternehmens und in der Regel auch während der bezahlten Arbeitszeit erfolgen, zu eigen machen und auswerten - könnte man meinen. Hier taucht jedoch dieselbe Problematik auf, die auch bei der Frage der rechtlichen Folgen privater Nutzung von Internet und E-Mail am Arbeitsplatz diskutiert wird. Darf der Mitarbeiter über seinen Account privat kommunizieren, so sind grundsätzlich die gesamten Daten seines Accounts tabu. Damit ist aber noch nicht geklärt, ob der Mitarbeiter nicht bestimmte geschäftliche Informationen herausgeben muss: Denn es gilt im Arbeitsrecht nach wie vor der Grundsatz, dass ein Arbeitnehmer die Informationen, die bei ordnungsgemäßer Organisation für die Tätigkeit notwendig sind, auch am Arbeitsplatz hinterlassen muss. Extrem heikel wird es schließlich, wenn es um das Netzwerk selbst geht - also um die Daten der Kontakte, die der Mitarbeiter auf der Plattform geknüpft hat. Wem gehören diese Kontakte? Wer darf sie nutzen? Was gilt bei einem vertraglichen Wettbewerbsverbot des Mitarbeiters? All diese Fragen sind durch die Rechtsprechung bisher ungeklärt. Den Unternehmen kann nur geraten werden, sich schleunigst darum zu kümmern und mit den Mitarbeitern zu vereinbaren, wie diese Themen behandelt werden sollten.
Big Data und Social Media bringen also vor allem im Hinblick auf die Datenerhebung, deren Speicherung, Auswertung und Weitergabe neue Herausforderungen mit sich. Soweit die gewonnenen Daten aber im Rahmen von Knowledge-Management zur Verfügung gestellt werden sollen, treffen wir auf altbekannte Problemstellungen, die auch im Rahmen von Enterprise-Content- Management-Systemen gelten. Die Aufgabe heißt, eine klare Trennung zwischen geschäftlichen und privaten Daten sicherzustellen.
Neue Compliance-Regeln gefragt?
Während sich also die Rahmenbedingungen dramatisch verändern, muten die Compliance-Anforderungen, innerhalb derer sich die Unternehmen bewegen können, mitunter recht statisch an. Häufig wird kritisiert, dass sich Gesetze, Verordnungen und sonstige Rechtssätze nicht schnell genug den Gegebenheiten anpassten und die Gerichte keine Ahnung von der aktuellen Technik hätten. Diese Vorwürfe sind allerdings zum größten Teil unberechtigt. Zu den Grundaufgaben des Rechts gehört neben der Sicherung des Friedens, der Ordnung des Gemeinwesens und der Förderung des Gemeinwohls auch der Schutz der Freiheit. Diese Freiheiten, die insbesondere im Grundgesetz verankert sind, gilt es auch und gerade im Zeitalter der Informationssysteme zu schützen.
Löst Outsourcing die Compliance-Probleme?
Aufgaben können delegiert werden - die Haftung bleibt. Immerhin bietet das Datenschutzrecht die Möglichkeit, sich externer Dienstleister zu bedienen. Vorschnell verweist man an dieser Stelle darauf, dass es sich um eine Auftragsdatenverarbeitung handelt. Tatsächlich ist aber im Einzelfall zu prüfen, ob nicht eine sogenannte Funktionsübertragung vorliegt. Nur wenn keine Funktionsübertragung vorliegt, kann der Outsourcer die Privilegierung der Auftragsdatenverarbeitung für sich in Anspruch nehmen. Dann dürfen personenbezogene Daten an den externen Dienstleister weitergegeben werden, ohne dass eine Erlaubnis für eine Datenübermittlung vorliegen muss. Allerdings verlangt der Gesetzgeber gewisse technische und organisatorische Maßnahmen, die vor Beginn der Auftragsdatenverarbeitung und während der Laufzeit vom Auftraggeber geprüft werden müssen. Denn dieser bleibt für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich.
Es gilt deutsches Datenschutzrecht
Auch im World Wide Web greift wegen des Sitzprinzips deutsches Datenschutzrecht, soweit ein Unternehmen seinen Sitz in Deutschland hat. Auch ausländische Gesellschaften, die eine deutsche Niederlassung unterhalten, sind an das hiesige Datenschutzrecht gebunden (Territorialitätsprinzip). Wer Daten sammeln will, muss daher nach Paragraf 28 Bundesdatenschutzgesetz (BDSG) abwägen, ob bei der Erhebung der Daten "das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt". Diese Abwägung ist restriktiv zu handhaben. Allgemein wird davon auszugehen sein, dass das Interesse des Betroffenen an der Nichterhebung seiner Daten umso größer ist, je aussagekräftiger und detaillierter das sich aus der Zusammenführung der erhobenen Daten ergebende Profil ist. Auch wenn jedem Nutzer von Social-Media-Diensten bewusst sein sollte, dass die veröffentlichten Daten von jedermann gelesen werden können, heißt das noch lange nicht, dass sie auch ohne weiteres automatisiert eingesammelt, gespeichert, verarbeitet, ausgewertet und weitergegeben werden dürfen.
Fazit
Jedes Unternehmen muss im Rahmen der Informationsverarbeitung, gleich ob sie im Rahmen von Knowledge-Management oder Enterprise-Content-Management erfolgt, neben den Veränderungen der technologischen Grundvoraussetzungen auch die Einhaltung von Compliance-Anforderungen beachten (Compliance-Monitoring). An vorderster Stelle stehen dabei nach wie vor der Schutz personenbezogener Daten und das Recht auf informationelle Selbstbestimmung der Betroffenen. Hier ist ein ständiger Abgleich zwischen technisch Möglichem und rechtlich Erlaubtem nötig. Das erfordert eine enge Zusammenarbeit verschiedener Disziplinen, zu denen insbesondere der Datenschutzbeauftragte und auch Juristen gehören. (ba)