computerwoche.de

Archiv

Recht und Geschäftsinteressen gleichermaßen pflegen

Datenschützer sitzen zwischen zwei Stühlen

17.07.1998

Wer sich das komplette interne Telefonverzeichnis des Konkurrenzunternehmens verschafft, besitzt eine wahre Fundgrube: Er weiß, wie die Abteilungen aufgebaut sind, wer wem was zu sagen hat und wer an einer Schlüsselstelle sitzt, so daß er für eine Abwerbung interessant wäre. All das läßt sich problemlos herauslesen.

Betriebliche Datenschützer sollen solchen Datenmißbrauch zum Schaden ihres Arbeitgebers verhindern. Dafür gibt es rechtliche und informationstechnische Instrumente. Doch entscheidend ist das Vorfeld, die Prävention. Beschäftigte und Unternehmensleitungen müssen dafür sensibilisiert werden, welcher Informationswert auch in harmlos wirkenden Einzeldaten steckt.

Das trifft für Detailwissen über Mitarbeiter und Kunden gleichermaßen zu. Der Schutz von betrieblichem Know-how, von Geschäftsgeheimnissen und personenbezogenen Daten ist nicht nur gesetzlich vorgeschrieben. Er kann als vertrauensbildende Maßnahme auch zum Wettbewerbsvorteil werden - nicht nur für Banken und Versicherungen. In der Praxis steckt jedoch der Teufel im Detail, berichten betriebliche Datenschützer. Sie wollen es nur in anonymisierter Form tun, weil sich ihre Erfahrungen auf sensible Angaben beziehen. Der Beauftragte C. bei einer Telefongesellschaft wird häufig mit dem Wunsch von Firmenkunden konfrontiert, die einen Einzelgebührennachweis von jeder Nebenstelle haben möchten. Kein Problem für C., wenn es in dem fraglichen Unternehmen einen Betriebs- oder Personalrat gibt, der dieser Maßnahme zustimmt.

Komplizierter wird der Fall, wenn die Arbeitnehmervertretung fehlt und der Antragsteller eine rechtsgültige Unterschrift der Unternehmensleitung beibringen muß. C. darf sich nicht auf dubiose Zwischenlösungen einlassen, darf den Firmenkunden aber auch nicht vergraulen.

Datenschützer in Unternehmen der Telekommunikationsbranche haben einen besonders schweren Stand. Das Bundesdatenschutzgesetz, die Vorschriften zur Regelung des TK-Marktes sowie die länderspezifische Umsetzung sind noch längst nicht aufeinander abgestimmt.

Diese Grauzone veranlaßt C. zu dem Seufzer, es sei oft ein Kunststück, "den Datenschutz durchzusetzen, ohne das Unternehmen zu ruinieren". Er ist dazu übergegangen, sich im Zweifelsfall bei den Kontrollbehörden rückzuversichern.

Der Schutz von Betriebs- und Geschäftsgeheimnissen ist inzwischen EU-weit geregelt. Die Deutschen dürfen in diesem Rahmen das Konzept der "unternehmerischen Selbstverantwortung" beibehalten: Firmen und öffentliche Dienststellen ernennen einen betrieblichen Datenschützer, der seinerseits von einer Aufsichtsbehörde kontrolliert wird.

Für S. war zunächst unklar, welchen Vorschriften sein Arbeitgeber genügen muß. Das Unternehmen, ein privates Weiterbildungsinstitut, organisiert Schulungen im Auftrag des Arbeitsamtes und anderer Behörden und bekommt in diesem Rahmen vertrauliche Informationen über die Teilnehmer. Nun hält sich S. an die Auflagen für öffentliche Einrichtungen. Welcher Kursleiter an welche im PC gespeicherten Daten herankommt, läßt sich durch den Paßwort-Zugang regeln. Schwieriger ist es für S., dafür zu sorgen, daß Akten mit sensiblen Daten am Ende des Arbeitstages nicht auf dem Schreibtisch liegenbleiben, sondern weggesperrt werden.

Er will seine Kollegen nicht mit Rechtschinesisch behelligen und gibt schlichte Verhaltensregeln vor. Das setzt ein Vertrauen voraus, den sich betriebliche Datenschützer meist hart erarbeiten müssen. Normalerweise haben sie neben diesem Amt noch andere Aufgaben zu erfüllen. "Das schmälert Stellenwert und Akzeptanz der Arbeit bei Kollegen und Vorgesetzten", weiß S.

Ähnlich sieht das Hausjurist R., beschäftigt in einem mittelständischen Industriebetrieb: "Ich bewege mich als nebenamtlicher Datenschützer auf einem schmalen Grat. Ich muß mit dem Widerspruch leben, daß ich nicht alles erfüllen kann, was das Datenschutzgesetz vorschreibt." R. beklagt vor allem, "wie schwierig es ist, die Geschäftsführung zu sensibilisieren. Datenschutz darf einfach kein Geld kosten. Daran scheitert jeder Versuch, Arbeitsabläufe sicherer zu gestalten."

Angesichts der rasanten Entwicklung der elektronischen Netze sind gründliche Mathematik- oder Informatikkenntnisse das A und O für das Kontrollamt, sagen die Praktiker. Dazu muß juristisches Wissen über den rechtlich einwandfreien Umgang mit Personaldaten kommen. Es sei erheblich leichter, das technische Know-how um das rechtliche zu ergänzen, als umgekehrt.

Laufend eröffnen sich neue Ansatzpunkte für die Datensicherung - und gleichzeitig neue Einfalltore für den Datenmißbrauch. Und ein Datenschützer muß genau wissen, was er den betriebsinternen Hard- und Softwarespezialisten im Zweifelsfall abverlangen kann.

Die Stellung des "Ombudsmanns für die Einhaltung der Grundrechte im Betrieb", wie ihn Optimisten nennen, beschreiben die befragten Praktiker skeptischer: "Wir sitzen immer zwischen zwei Stühlen." Zwar darf keine Firma dem von ihr bestellten Datenschützer kündigen, wenn er eine Vorschrift durchsetzt, die dem Unternehmen nicht paßt oder zu teuer ist. Doch diese Absicherung ist "blanke Theorie", sagt C: "Denn dich bezahlt ja nicht der Gesetzgeber, sondern der Unternehmer."

Rechtlich umstritten ist nach wie vor das Verhältnis zum Betriebsrat. Es geht im Kern um die Frage, ob der Datenschützer eine Führungsaufgabe innehat, also eher auf Arbeitgeberseite steht, oder als eine Art Arbeitnehmervertreter das informationelle Selbstbestimmungsrecht der Beschäftigten verteidigt.

Nur wer sich gut auskennt, kann in Konfliktfällen bestehen. Deshalb führt aus der Sicht der Befragten kein Weg an ständiger Weiterbildung vorbei. Das betrifft die juristische Entwicklung in Europa ebenso wie das, was die Experten "richterliche Rechtsbildung" nennen. Damit ist die sich wandelnde Auslegung gesetzlicher Spielräume in Streitfragen gemeint. Gerade in der Telekommunikationsbranche ist noch vieles ungeklärt. Vor allem aber dürfen die betrieblichen Datenschützer den Anschluß an die technische Entwicklung nicht verpassen.

Freiberufliche Datenschützer

Grundlagen- und Aufbauschulungen bieten inzwischen mehrere Institute an. An der Fachhochschule München können Informatikstudenten außerdem eine Zusatzqualifikation "Betrieblicher Datenschutz" erwerben. Eine mögliche Aufgabe für die Absolventen ist es, freiberuflich die Funktion des betrieblichen Datenschützers für zwei oder drei kleine Firmen zu übernehmen. FH-Studentin K. hat diese Berufsperspektive. Zunächst will sie aber ein paar Jahre Erfahrungen bei einer Aufsichtsbehörde sammeln.