Die Automation zur Unterstützung der Personaladministration, der Entgeltabrechnung und bestimmter Funktionen der Personalführung, wirkt sich je nach Unternehmensgröße unterschiedlich aus- vom "einfachen" Entgeltabrechnungsverfahren (Fachleute wissen, daß solche Verfahren aufgrund der vielfältigen Anforderungen höchst kompliziert sein können, auch wenn sie bloß dem für Außenstehende "trivialen" Zweck der Entgeltabrechnung dienen) bis hin zum "Personalinformationssystem".

Die prinzipiellen Überlegungen, die der Automation im Personalwesen zugrunde liegen, sind bei allen realisierten, teilweise realisierten sowie geplanten Systemen gleich:

- administrative Vorgänge sollen rationeller als bei manueller Abwicklung organisiert werden,

- die häufig drückenden Zeitprobleme (vom Vorliegen der Ur-Daten bis zur Auszahlung des Salärs steht meist nur eine geringe Zeitspanne zur Verfügung) sollen gelöst werden,

- Daten zur Entscheidungsfindung sollen auf breiter Basis, aufgrund einer tiefgehenden historischen Speicherung und im schnellen Zugriff verfügbar gemacht werden, damit dispositive Tätigkeiten durch verläßliches Datenmaterial abgesichert werden können.

Bei den Bemühungen zur Automation im Personalwesen werden natürlich die Funktionen des Sozialwesens, die Administration des Werksarztes und der Betriebskrankenkasse sowie anderer für das Personalwesen bedeutender Bereiche (wie Wohnungsverwaltung) einbezogen, weil sich eine enge Verbindung zu den Daten des Personalbereichs ergibt.

Gerade der Aufbau umfassender Personaldatenbanken unterlag von Anfang an in den betroffenen Unternehmen der kritischen Beobachtung der Betriebsräte, deren Absicht es war, die Belange der Arbeitnehmer im Rahmen der Systemgestaltung und hinsichtlich der intendierten Systemanwendung zu berücksichtigen. Je mehr Integration der Datenbestände gefordert war und je komplexer der Anwendungsbereich, umso deutlicher wurde diese Überwachungsfunktion des Betriebsrates demonstriert, insbesondere wenn Fragen der Personalplanung und der Disposition via System bearbeitet werden sollten.

Völlig unabhängig von solchen Überlegungen kam am 1. 1. 78 das BDSG ins Spiel, Das BDSG wahrt Individualrechte - es war also zunächst kein "Verstärker" für die kollektivrechtlich verankerten betriebsrätlichen Forderungen, sondern eine völlig neue Rechtsform, zu deren Sicherstellung auch ausdrücklich ein eigenständiger Beauftragter - der DSB - zu berufen war. Vorhandene, in Realisierung befindliche und geplante Personaldatensysteme mußten also auf die neuen Anforderungen hin untersucht werden.

Zunächst ergaben sich die Fragen der Zulässigkeit im Sinne der Paragraphen 3, 23, 24 und 25. Korrekturen der bisherigen Konzeptionen traten kaum ein, weil schon durch die Bestimmungen des Betriebsverfassungsgesetzes keine Öffnung für nun "unzulässige" Phasen der Datenverarbeitung gegeben waren. Allerdings fordern die generellen Überlegungen zum Datenschutz (siehe unter anderem ° 1 BDSG) sowie die Anforderungen an die Datensicherung (° 6 - tritt zum 1. 1. 79 in Kraft) und die Ordnungsmäßigkeit (° 29 Nr. 2 BDSG) eine Festlegung von Verfahrensweisen, die bei der Konstruktion von Personaldatensystemen - insbesondere von Personaldatenbanken - zu berücksichtigen sind:

- Trotz häufiger Berufung sogenannter "sensibler" Daten oder "sensitiver" Daten in der verbreiteten Datenschutzliteratur sollte man sich daran gewöhnen, diese begrifflichen Krücken (wie äußert sich wohl die Sensibilität eines Datums?) über Bord zu werfen und ein für allemal zu akzeptieren, daß Daten für sich neutral sind. Erst ihre Verwendung kann sie zu einer möglicherweise höchst sensitiven Information werden lassen.

Für Personaldatensysteme bedeutet das: Weniger die Speicherung eines Begriffs ist kritisch im Sinne des Betroffenen, als seine Verwendung. An den Begriff der Verwendung knüpft sich sogleich eine Reihe von anderen Begriffen "durch wen?", "aus welchen Anlässen?" und "zu weichem Zweck?".

Mit anderen Worten: Für die Konstruktion von Personaldaten-Systemen ist entscheidend, daß bei seiner Konzeption bereits definiert wird, welcher Begriff in welchem Zusammenhang erfaßt, zu welchem Zweck ausgewertet und wie lange aufbewahrt wird. Dabei ist der für die Eingabe zuständige Systembenutzer zu nennen; potentielle Benutzer (Auswerter des Datenbestandes) sind im Zusammenhang der geplanten Nutzung zu definieren.

Dabei darf man keineswegs so praxisfremd sein, jede andersgeartete als die ursprüngliche Nutzung von vornherein zu verbieten. Aber: Jede neue Nutzung gespeicherter Daten muß dem für die Eingabe dieser Daten Verantwortlichen vor der beabsichtigten Nutzung zwecks Freigabe genannt werden.

- Daten werden zu "Informationen" in bestimmten Kontexten. Die Gefahr der Mißinterpretation besteht dann, wenn Daten aus ihrem Kontext gerissen, gespeichert und verwendet werden. Eine Personaldatenbank muß daher bei den zu speichernden Merkmalen das Problem der Kontextverfälschung (insbesondere durch Zeitablauf) berücksichtigen -möglicherweise durch Löschung von Daten nach Ablauf einer bestimmten Frist, mindestens aber durch Aufnahme von Entstehungs- oder Wirksamkeitsdaten bei der Speicherung, damit eine Berücksichtigung der Entstehungs-Daten bei der Auswertung erfolgen kann.

- Personaldaten sind für den Betroffenen ein Risikofaktor, wenn sie unbefugt verwendet werden. Ein Personaldatensystem, das über Datenstationen bedient wird, muß daher zwangsläufig so konstruiert sein, daß besonders strenge Anforderungen an die Benutzeridentifikation gestellt und realisiert werden können. Zugriffssysteme, die beliebige Nutzungsmöglichkeiten eröffnen, können nicht akzeptiert werden. Es sind vielmehr Systeme für das Handling des online-Betriebs einzusetzen, die als "dedicated systems" konstruiert sind und neben einer Benutzeridentifikation auch die "Führung" des Benutzers im System, durch einen vorgegebenen Dialog realisieren.

Ähnlich strenge Anforderungen sind an die batch-Nutzung des Systems zu richten, wobei man in der Regel auf herkömmliche Sicherungsformen - das heißt Sicherung im personellen Bereichabstellen muß, da dem Operating vielfältige Systemfunktionen zur Verfügung stehen, Nutzungen außerhalb der Vorgabe daher ohne weiteres möglich sind/und ihre Entdeckung mangels Software-Unterstützung kaum systematisch realisierbar ist - es sei denn, man hätte den Mut und die Man-power, Protokolle Zeile für Zeile durchprüfen zu lassen (ein Luxus, den man sich in der Wirtschaft kaum leisten kann). Der Erfolg solcher denkbarer ex-post-Prüfungen der Systemprotokollierung ist zudem dann zweifelhaft, wenn Möglichkeiten der Verschleierung von Systemaktivitäten vom Betriebssystem her gegeben sind.

- Bereits bei der Systemkonzeption können Probleme erkannt und eliminiert werden, wenn der Personalbereich mit den Betriebsräten im Gespräch ist. Dabei sollten insbesondere

- die Formen der Datenerhebung und

- die Art und Weise der Nachweisung eingehend untersucht und im Sinne einer "sicheren" Datenbearbeitung, organisiert werden. Je mehr Daten vom Betroffenen selbst erfragt werden und je deutlicher seine gespeicherten Daten regelmäßig ihm selbst gezeigt werden, umso geringer sind die Gefahren der fehlerhaften Speicherung. Erfassungsbelege und Vergütungsnachweise sind dabei die wesentlichen Organisationsmittel.

Aber auch die Dauer der Speicherung bestimmter Datenelemente sollte von Anfang an festgelegt werden, damit Mißverständnisse über die Nutzungsdauer von Daten frühzeitig erkannt und beseitigt werden können.

Ein Personaldatensystem lebt, weil es in dauernder Anpassung an rechtliche Vorgaben, betriebliche Erfordernisse und strukturelle Veränderungen ist. Soll der Beeinträchtigung schutzwürdiger Belange der Betroffenen entgegengewirkt werden - und dies ist seit dem 1. 1. 1978 gesetzlich vorgeschrieben - so muß ein solches System sorgfältig in seiner Entwicklung und Anpassung dokumentiert und betreut werden. Es bleibt der Entwicklung der nächsten Jahre überlassen, inwieweit sich Grundsätze ordnungsgemäßer Datenverarbeitung herausbilden, die auch diese dynamische Komponente der Systemwartung berücksichtigen.

* Hans Gliss ist Vorstandsvorsitzender der GDD eV, Bonn.

* Dieser Beitrag ist dem Manuskript einer Ausarbeitung entnommen, die unter dem Titel "Datenschutz als Konstruktionsprinzip bei Personaldatenbanken" Anfang 1979 im DATENSCHUTZ-BER.ATER (Handelsblatt-Verlag) erscheinen wird.