Flexible IT-Systeme solide regeln

Wich­tige Grund­sätze des Datenschutzes

In diesem Jahr wird es 35 Jahre alt: das Volks­zäh­lungsurteil des Bundesverfassungs­ge­richts vom 15. De­zember 1983. Darin wurden wich­tige Grund­sätze des Datenschutzes formuliert, die bis heute ihre Gültigkeit haben. Ein gute Zeit, sich zu erinnern.„Vorhersagen sind schwierig, vor allem wenn sie die Zukunft betreffen“. Dies gilt auch für die IT-Systeme und erst recht für die Versuche, diese im Sinne und zum Wohle der Beschäf­tigten zu regeln. Denn nicht selten sind heute gültige IT-Regelungen 10 Jahre alt, und ein Hauch von Nostalgie weht uns an, wenn wir lesen, dass Sicherungskopien ausschließlich auf 5 ¼-Zoll-Disketten erstellt werden dürfen. 

Doch gleichzeitig können wir hieraus lernen, welche Rechte und Regelungen den technologischen Wandel überdauert haben und auch heute noch sinnvoll sind. Denn es sind vor allem die Grundsätze, die bis heute ihre Gültigkeit behalten haben, wie z. B. die Beteiligungsrechte der Interessen­vertre­tungen bei jeder Form von Systemveränderungen, die Be­schränkung von Leistungs- und Verhaltenskontrollen und daraus resultierende Beweisverwertungsverbote sowie die Mitbe­stimmung bei personenbezogenen Auswertungen.

Versetzen wir uns in die Zeit der 5 ¼-Zoll-Diskette zurück, so stoßen wir auf die Grundlagen jeder Datenschutzregelung, nämlich auf das Volkszählungsurteil des Bundesverfassungs­gerichts vom 15. Dezember 1983. In diesem visionären Urteil erkennt das Gericht an, dass eine freie Entfaltung der Per­sönlichkeit nur möglich ist, wenn Menschen wissen, welche Daten über sie in welchen System gespeichert sind. Zudem wurden wichtige Leitlinien für die Zukunft formuliert:

• Hierzu gehört zunächst das Prinzip der Datensparsamkeit, kann doch nur ausgewertet werden, was vorher in ein System eingegeben wurde. So empfiehlt es sich auch heute noch, die Kategorien von Daten und die Zwecke von deren Verarbeitung genau festzulegen. Zum Beispiel private Kon­takt­daten von Angehörigen sollten – wenn überhaupt – nur für genau definierte Notfälle gespeichert werden.
• Was den Zugriff auf die Daten angeht, empfiehlt sich die Festlegung des „Need-to-Know“-Prinzips. Das bedeutet, der Zugriff auf Daten ist nur erlaubt, wenn er zur Erledigung von Arbeitsaufgaben erforderlich ist. So sollte der Zugriff auf ein fremdes E-Mail-Postfach nur für die Urlaubs- und Krankheitsvertretung und mit vorheriger Zustimmung des Betroffenen erlaubt sein.
• Bei mobilen Endgeräten muss geprüft werden, welche Datenkategorien überhaupt abgerufen werden dürfen. Auf keinen Fall darf zum Beispiel der Sitznachbar in der Bahn Gelegenheit bekommen, vertrauliche Personaldaten mitzulesen. Für den Fall, dass der Zugriff auf derart sensible Daten dennoch möglich sein soll, ist der Einsatz entsprechender Schutzmaßnahmen wie etwa Datenverschlüsselung und Sichtschutzfolie zwingend erforderlich.
• In diesen Bereich fällt zwingend auch eine Regelung zum Schutz vor Entgrenzung der Arbeit. Hier können wir feststellen, dass die meisten Regelungen zur Abschaltung von E-Mail und Co. nach Feierabend in der Praxis gescheitert sind. Für Interessenvertretungen bleibt das Thema weiter auf der Tagesordnung. Mit den Mitbestimmungsrechten bei der Durchführung von Gefährdungsbeurteilungen können sie den Arbeitgeber in die Pflicht nehmen, Belastungen zu bewerten und geeignete Gegenmaßnahmen zu entwickeln.
• Bleibt noch das Thema Cloud. Hier sollten Interessenvertretungen auf vertrauenswürdige Anbieter bestehen. Wichtig ist, dass zumindest die gesetzlichen Mindestan­forderungen eingehalten werden. Hilfreich ist hier, die Zerti­fizierungen etwa nach DIN ISO 27018 (Datensicherheit in der Cloud) zu vereinbaren. Auf jeden Fall sollten die Doku­mente zur Auftragsverarbeitung mit dem Cloud-Anbieter vorliegen. Viele Systeme laufen heute in der Cloud und werden nur noch über Web-Browser oder Apps abgerufen. Dabei werden ständig Funktionen entfernt oder hinzugefügt. Auch hier stehen den Interessenvertretungen die bekannten Informations- und Mitbestimmungsrechte zu. Der Arbeitgeber ist verpflichtet, über die anstehenden Än­derungen im Vorfeld zu informieren und den Interessen­vertretungen die Gelegenheit zur Ausübung ihrer Mitbe­stimmung zu gewähren.

Fazit: Die IT-Sicherheit ist ein noch immer dynamisch wachsendes Feld. Um hier die passenden Leitplanken, die auf der Höhe der Zeit sind, zu setzen, bleibt die TBS auch in Zukunft der richtige Ansprechpartner.