Daten sammeln - wozu? TBS berät beim Datenschutz-Zertifikat Alle Kunden eines weltweit operierenden Nachrichten- und Wirtschaftsdienstes ins Customer Relationship Mangegement (CRM) nach London oder in die USA. 40.000 Mitarbeiterdaten eines europäischen I&K-Dienstleisters ins SAP Business Warehouse. Mitglieder und Familienangehörige, Arbeitgeber, Ärzte, Krankenhäuser, Apotheken bundesweit als Business Partner einer Krankenversicherung verknüpft. Die Datensammelwut in den Unternehmen hat einen neuen Supermarkt hervorgebracht: das Data Warehouse. Ziel ist, die Daten zu verwalten, auszuwerten und zum Data Mining zu nutzen: Der verkaufsmanipulierte Kunde, das kostenoptimierte GKV-Mitglied, der gläserne Mitarbeiter? Betriebsräte müssen den Datenschutz im Blick haben und für verantwortungsvolle Lösungen sorgen.

"Werkzeuge, die die scheinbar zusammenhanglosen Daten nach noch nicht bekannten, wissenswerten Zusammenhängen durchsuchen, Daten aufspüren, kombinieren und neue Informationen zur Verfügung stellen." So definiert die Konferenz der Datenschutzbeauftragten des Bundes und der Länder das Data-Mining. Unternehmen verfolgen mit dem Material recht unterschiedliche Ziele.

Nach der Fusion eines IT-Dienstleisters und eines Auto-Zulieferers müssen 40 bis 50 Personalsysteme des Programms SAP HR integriert werden. Der Unternehmensvorstand will daraus ein Business Warehouse machen. Doch der Betriebsrat verweist auf eine Stellungnahme der Datenschutzbeauftragten des Bundes und der Länder und hat erst mal jede Menge Fragen: Wozu sollen die Daten genutzt werden? Zur Personalentwicklung? Zum Aussieben für die nächste Runde Personalabbau? Zum Verschieben von Beschäftigten in verschiedene Unternehmensteile?

Beispiel gesetzliche Krankenkassen: Nach Angaben des Datenschutzbeauftragten von Schleswig-Holstein lassen konkurrierende Versicherungen einen kassenweiten Zugriff auf Patientendaten zu. Der AOK-Bundesverband will dazu SAP einsetzen. "Mit der kassenweiten Zugriffsmöglichkeit wird ein großes Tor zum Missbrauch von sensiblen Patientendaten geöffnet, denn es ist nicht auszuschließen, dass auf diese für fremde oder gar private Zwecke zugegriffen wird", heißt es dazu im Datenschutzbericht 2001 aus Schleswig-Holstein. Die Datenschutzbeauftragten fordern den Bundesgesetzgeber auf, den kassenweiten Zugriff einzuschränken.

Um diese Sammelwut zu begrenzen, lassen sich Betriebsräte von der TBS Hessen beraten. Sie wollen die Daten der Beschäftigten, aber auch anderer Betroffener zu schützen. Eigentlich dürfen personenbezogene Daten überhaupt nicht in einem Data Warehouse gespeichert werden. Denn nach § 4 Bundesdatenschutzgesetz müssen Personen unter anderem darüber informiert werden, zu welchem Zweck ihre Daten gesammelt werden. "Eine personenbezogene Speicherung in einem allgemein verwendbaren Data Warehouse entfernt sich vom ursprünglichen Verwendungszweck und stellt eine Speicherung auf Vorrat ohne Zweckbindung dar", heißt es in der Entschließung der Datenschutzbeauftragten. Deren Konferenz hat Anforderungen an die Speicherung von Daten in Data Warehouses gestellt. Die Einrichtung permanenter Data Warehouses halten die DatenschützerInnen für generell rechtswidrig.

Die Bedeutung des Themas Datenschutz und Datensicherheit nimmt zu. Deswegen hat die TBS ihr Beratungs- und Serviceangebot erheblich ausgeweitet. Im März 2003 ist ein Workshop zum Thema Data Warehouse und Data Mining geplant. Heute schon arbeiten einige TBS-Berater als externe Datenschutzbeauftragte, da vor allem kleine Unternehmen diese Funktion nicht intern besetzen können. Die TBS-Regionalstelle Nordhessen berät darüber hinaus künftig Unternehmen, die sich beim Datenschutz nach dem Gütesiegel Quid! zertifizieren lassen wollen.

Quid! steht für "Qualität im Datenschutz" und ist aus einem Forschungsprojekt der FH Frankfurt und der ehemaligen Deutschen Postgewerkschaft - heute ver.di - entstanden. 90 Fachleute aus Wissenschaft, Unternehmen, Gewerkschaften, Betriebsräten und Beratungseinrichtungen haben sich auf einen Kriterienkatalog geeinigt, um den Datenschutz von Produkten, Prozessen, Betrieben oder den Arbeitsbedingungen der betrieblichen Datenschutzbeauftragten zu überprüfen. Mitgearbeitet hat auch der Leiter der TBS Hessen, Berthold Goergens.

Neben den Kriterien Rechtsförmigkeit, Transparenz und Datensicherheit spielen Kunden- und Mitarbeiterfreundlichkeit eine Rolle. "Der entscheidende Vorteil von Quid! gegenüber konkurrierenden Datenschutz-Zertifikaten ist, dass auch die schutzwürdigen Interessen der Beschäftigten in den Blick genommen werden", begründet TBS-Berater Ulrich Flake. Gemeinsam mit Robert Heidemann übernimmt er künftig die Beratung zum Datenschutz nach Quid!.

§ 4 Bundesdatenschutzgesetz

Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung

(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder 2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.

(3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über 1. die Identität der verantwortlichen Stelle, 2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und 3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.