zurück zur Übersicht

Datensammelwut hat Grenzen

Datensammelwut hat Grenzen

Personenbezogene Daten - im Business Warehouse tabu

Die Datenschutzbeauftragten des Bundes und der Länder halten die dauerhafte Speicherung von personenbezogenen Daten in einem Business Warehouse generell für rechtswidrig. Nun hat erstmals auch ein betrieblicher Datenschutzbeauftragter Bedenken geäußert.

Vor einer Mammutaufgabe stand ein deutscher IT-Dienstleister nach der Fusion mit einem anderen Unternehmen: Eine große Zahl von Personalsystemen, die auf unterschiedlichen Programmen basieren, musste integriert werden. Der Vorstand des zum Konzern gewachsenen Unternehmens wollte das in einem Business Warehouse (auch Data Warehouse) lösen. Unterstützt und beraten von der TBS Hessen legte sich der Konzernbetriebsrat (KBR) mit Verweis auf einen Beschluss der Datenschutzbeauftragten des Bundes und der Länder quer. Ein internes Gutachten des betrieblichen Datenschutzbeauftragten für die Einigungsstelle gab der Beschäftigtenvertretung recht. Der Datenschützer weist insbesondere auf folgende Punkte hin:

  • Voraussetzung sei eine Betriebsvereinbarung;

  • der Betriebsrat müsse das System nicht nur kontrollieren, sondern auch mitgestalten;

  • ein Business Warehouse sei nur zulässig, wenn die ursprüngliche Zweckbindung der Daten erhalten bleibe. Der Verarbeitungszweck dürfe nur anhand des Erhebungszwecks definiert werden;

  • die Weitergabe von personenbeziehbaren Daten an Dritte sei verboten.

Der KBR ging noch einen Schritt weiter: Selbst mit einer Konzernbetriebsvereinbarung ist ein Business Warehouse rechtswidrig, wenn es personenbezogene Daten integriert. Denn in einem solchen System ist die Zweckbindung von Daten nicht zu garantieren. Fazit: Das geplante Business Warehouse SAP HR mit Personenbezug ist unzulässig.

Problematisch sind vor allem drei Punkte:

 

Aufgrund des Gutachtens des betrieblichen Datenschutzbeauftragten lenkte die Konzernleitung ein und verhandelt inzwischen mit dem Konzernbetriebsrat über eine Alternative. Der KBR kann sich eine Lösung innerhalb des normalen SAP R3 HR-Systems vorstellen. Hier sollten die unterschiedlichen Personalsysteme zusammengeführt werden. Dabei gibt es zwar auch rechtliche Probleme. So ist auch hier der Konzern, der diese Daten haben will, "datenschutzrechtlicher Dritter". Doch der Betriebsrat kann die Datenflüsse leichter kontrollieren, weil jede Auswertung programmiert und protokolliert werden muss. Auch ist nachvollziehbar, wer wann welche Daten aus dem System heruntergeladen hat.

Konzern als "datenschutzrechtlicher Dritter"

Nach dem Datenschutzrecht ist der Konzern, der die Daten aus dem Business Warehouse verarbeiten will, ein so genannter Dritter. Den Arbeitsvertrag haben die Beschäftigten mit der jeweiligen Legaleinheit - dem Einzelunternehmen - innerhalb des Konzerns abgeschlossen. Mit ihrer Unterschrift willigen sie ein, dass der Arbeitgeber - die Leitung der Legaleinheit - ihre Daten verarbeitet, um seine Aufgaben zu erfüllen. An "Dritte" weitergeben darf er sie nicht ohne eine rechtliche Grundlage - zum Beispiel ein Gesetz oder eine Konzernbetriebsvereinbarung.

Allenfalls darf er Dritte beauftragen, bestimmte Aufgaben für ihn zu erfüllen. Doch genau das ist hier nicht gemeint. Denn der Konzern will nicht seine Unternehmen beim operativen Geschäft unterstützen, sondern erhofft sich von den personenbezogenen Daten Erkenntnisse für die Konzernsteuerung.

Erzwingbarkeit eines Spruchs der Einigungsstelle

Zwar könnten KBR und Konzernleitung eine Konzernbetriebsvereinbarung abschließen, jedoch nur auf freiwilliger Basis. Da der Datenschutz in der jeweiligen Legaleinheit gewährleistet werden muss, kann die Beschäftigtenvertretung auf der Ebene des Konzerns nicht dazu gezwungen werden, diese Frage zu regeln. Deswegen kann der Arbeitgeber auch keinen Spruch der Einigungsstelle erzwingen, mit dem die Datenschutzrechte in einem Business Warehouses eingeschränkt werden.

Datenhaltung auf Vorrat

Sinn eines Business Warehouses ist es, Daten zu jedem beliebigen Zweck vorzuhalten und auszuwerten. Damit wird auch das Data Mining möglich. Dieser Begriff umschreibt nach einer Definition der Datenschutzbeauftragten des Bundes und der Länder eine Technik, um "scheinbar zusammenhanglose Daten nach noch nicht bekannten, wissenswerten Zusammenhängen durchsuchen, Daten aufspüren, kombinieren und neue Informationen zur Verfügung stellen" zu können. Diese Möglichkeit widerspricht aber der Vorgabe des § 4 Bundesdatenschutzgesetz, wonach personenbezogene Daten nur für einen vorher bestimmten Zweck erhoben werden dürfen. Auch deswegen kommen die DatenschützerInnen zu dem Schluss: "Eine personenbezogene Speicherung in einem allgemein verwendbaren Data Warehouse entfernt sich vom ursprünglichen Verwendungszweck und stellt eine Speicherung auf Vorrat ohne Zweckbindung dar." Deswegen ist die Einrichtung eines permanenten Business Warehouses, in dem immer auch personenbezogene Daten enthalten sind, rechtswidrig.

  
 

 

Daten sammeln - wozu?

Zurück zum Anfang

©  Technologieberatungsstelle beim DGB Hessen e.V.,
Update am: 15.12.2008

und gefördert von
von Hessen gefördert von der EU gefördert