Beim Einsatz von Identity-Managementsystemen fallen zwangsläufig personenbezogenen Daten über die Mitarbeiter an. Den Umgang mit diesen Informationen regelt das Datenschutzrecht.
Identity Management erleichtert die Organisation der Unternehmens-IT. Darüber hinaus gestattet ein solches System aber auch die Verknüpfung von persönlichen Daten mit denen, die bei der Tätigkeit anfallen, oder es protokolliert fleißig sogar alles mit: aufgerufene Webseiten, E-Mail-Verkehr oder Änderungen an Vertragsdokumenten. Da stellt sich die Frage: Was ist mit dem Datenschutz? Maßstab für jede elektronische Datenverarbeitung ist das Bundesdatenschutzgesetz (BDSG,[1]). Dessen Grundsatz lautet: So wenig wie möglich und nur so lange wie nötig.
Interessenkollision
Dem steht das betriebswirtschaftliche Interesse jedes Unternehmens entgegen, so viele aussagekräftige Daten wie möglich elektronisch zu erfassen, um sie für die effektive Unternehmensführung schnell und billig zu nutzen. Immer dann, wenn bei der Speicherung von Unternehmensdaten auch personenbezogene Daten von Mitarbeitern oder Kunden beteiligt sind, entsteht dieses Spannungsverhältnis. Die Betriebsorganisation erfordert es auch, dass Kollegen untereinander nachvollziehen, wer sich wann womit beschäftigt hat. Es bleibt dabei nicht bei einer Zuordnung in Sachgebiete, Abteilungen oder ähnliche Untereinheiten: Der konkrete Ansprechpartner ist wichtig, also welche Person tatsächlich involviert ist.
Die dabei anfallenden Daten teilt das Datenschutzrecht in zwei Gruppen: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Nur diese Daten sind datenschutzrechtlich relevant. Alle übrigen Daten darf die Firma uneingeschränkt speichern, verändern, übermitteln, sperren oder löschen.
Die datenschutzrechtlich relevanten personenbezogenen Daten unterteilt das Gesetz wiederum in die “normalen” und die “sensiblen”: Sensibel sind rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben. Ihre Verarbeitung setzt eine besondere, hierauf gerichtete Einwilligung durch den Arbeitnehmer oder ein ausnahmsweises, besonderes Interesse des Arbeitgebers voraus. Das kann in der Regel nur für den Gesundheitsbereich angenommen werden, wenn es Krankenstand und diesbezügliche Abrechnungs- und Meldepflichten des Arbeitgebers berührt.
Nur funktionale Daten
Identity Management kennt abstrakte Personen wie “Geschäftsführer” oder “Firmenkunde X GmbH”, aber auch natürliche Personen, deren personenbezogene Daten das BDSG besonders behandelt sehen will. Soll Identity Management den Bestimmungen genügen, muss es personenbezogene Daten von funktionalen Daten trennen.
Soweit Querverknüpfungen der Daten im Identity Management neue Informationen erzeugen, ist sicherzustellen, dass sich diese nur auf die funktionale betriebliche Ebene beschränken: Profile, die etwa die Datei- oder Gerätezugriffe eines bestimmten Mitarbeiters auswerten, sind zulässig, wenn sie dazu dienen, die innerbetriebliche Organisation zu verbessern oder neue Berechtigungskonzepte zu gestalten.
Auswertungen, wann sich ein Mitarbeiter von einem Raucherzimmer aus eingeloggt hat, sind zulässig, um etwa aus dem Rauchverhalten der Mitarbeiter den Bedarf an Raucherarbeitsplätzen zu ermitteln, aber nicht, um Rückschlüsse auf den Gesundheitszustand einzelner Mitarbeiter zu ziehen. Es gilt der Grundsatz, aus dem Identity Management keine Informationen über einzelne Personen zu ermitteln.
In der Regel sind viele personenbezogene Daten von Mitarbeitern bereits länger gespeichert, als dies nach dem BDSG zulässig ist. Die Information etwa, wer welches Dokument wann bearbeitet hat, ist spätestens dann nicht mehr nötig, wenn das Dokument fertig ist, zum Beispiel ein Vertragsdokument ausgedruckt und unterzeichnet. Weil nicht mehr erforderlich, ist die weitere Speicherung des letzten schreibenden Zugriffs nach Paragraf 20 BDSG verboten.
|
Rechtliche |
|---|
|
Das Identity Management muss gewährleisten, dass aus den personenbezogenen Mitarbeiterdaten nur die betrieblich erforderlichen Informationen wie Name und Kommunikationsdaten wie Telefonnummer oder E-Mail-Adresse für Kollegen abrufbar sind. Darüber hinausgehende Informationen dürfen nur den Personal-bearbeitenden Stellen zugänglich sein. Sie müssen gesondert, zum Beispiel nach Ausscheiden des Mitarbeiters, sperrbar sein, ohne dass weitere relevante Informationen wie Privatanschrift oder Sozialversicherungsnummer verloren gehen. Protokolldateien müssen auf einen anonymisierten Bearbeiter reduziert werden, entsprechend etwa einer Benutzer-ID, die nur in besonderen Fällen wie der Geltendmachung von Schadensersatzpflichten in Bezug zu gesperrten Personendaten gesetzt werden darf. Logging und Auswertungen dürfen nur betrieblich-organisatorisch veranlasst sein und keinem Persönlichkeitsprofil dienen. Der Zugriff auf personenbezogene Daten oder entsprechende Profile ist nur zulässig, wenn und so weit zwingend erforderlich. Unbefugter Zugriff ist auszuschließen. Systemadministratoren und andere Mitarbeiter, die nicht der Personalbearbeitung zugehörig sind, aber technisch Zugriff auf personenbezogene Daten oder Profile erlangen können, sind nach Paragraf 5 BDSG gesondert auf das Datengeheimnis zu verpflichten. |
Während eines bestehenden Arbeitsverhältnisses mag man noch argumentieren können, dass die Speicherung auch im eigenen Interesse des jeweiligen Bearbeiters liegt. Das endet jedoch spätestens mit Beendigung der Beschäftigung. Ein Identity-Managementsystem, das datenschutzrechtlich taugt, muss daher gewährleisten, dass personenbezogene Daten zuverlässig gelöscht oder gesperrt werden können, ohne dass Datenintegrität oder zulässige Information verloren gehen. Welche Probleme dabei im Einzelnen zu lösen sind, veranschaulichen die beiden folgenden Beispiele.
Ende der Beschäftigung
Endet das Arbeitsverhältnis mit einem Mitarbeiter, sind drei Fristen von Bedeutung. Nach Paragraf 357 des Handelsgesetzbuchs (HGB) müssen Kaufleute ihre kaufmännischen Unterlagen, nach Paragraf 147 der Abgabenordnung (AO) müssen alle Steuerpflichtigen ihre wesentlichen Steuerunterlagen zehn Jahre lang aufbewahren. Das betrifft auch die Lohnunterlagen für Mitarbeiter und erlaubt es auch, die entsprechenden personenbezogenen Daten des Mitarbeiters elektronisch zu speichern. Allerdings betrifft es ausschließlich die steuerrelevanten Daten wie Name, Anschrift, Geburtsdatum oder Sozialversicherungsnummer.
Doch das Unternehmen benötigt diese Daten nicht mehr, denn die entsprechenden Abrechnungen sind längst erfolgt. Für derartige Fälle, in denen es Daten einerseits löschen muss, andererseits gesetzliche Aufbewahrungsfristen entgegenstehen, sieht Paragraf 20 Absatz 3 BDSG die Sperrung vor. Datensperrung bedeutet nach den Begriffsbestimmungen des Gesetzes das “Kennzeichnen der gespeicherten personenbezogenen Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken”. Das Identity-Managementsystem muss also in der Lage sein, nach dem Ausscheiden des Mitarbeiters und seiner letzten Lohnabrechung dessen steuerrelevante Daten zuverlässig zu sperren.
Abbildung 1: Gehen Mitarbeiter, müssen ihre steuer- relevanten Daten aufbewahrt, aber gesperrt werden.
Eine weitere Frist resultiert aus der Verjährung von Haftungsansprüchen gegen den ausgeschiedenen Mitarbeiter. Weil das Unternehmen aus der Tätigkeit eines Mitarbeiters eventuell Schadensersatzforderungen gegen ihn hat, besteht für einen bestimmten Zeitraum nach Beendigung des Arbeitsverhältnisses ein begründetes Interesse festzustellen, wann er welche Daten verändert hat. Weil ein Mitarbeiter durch Datenmanipulation böswillig einen Schaden verursachen kann, der erst zu einem späteren Zeitpunkt entsteht, können Aufbewahrungsfristen bis zu 30 Jahren gerechtfertigt sein. Aus diesem Grund sollte es zulässig sein, die Zugriffsdaten eines Mitarbeiters über diesen Zeitraum nach seinem Ausscheiden vorzuhalten.
Mitarbeiter im Ausland
Hat ein Unternehmen Filialen oder Tochterunternehmen im Ausland, mit denen es Daten austauscht, richtet sich das anzuwendende Datenschutzrecht nach dem Sitzprinzip. Daten, die eine Firma in Deutschland erhebt, darf sie nach dem BDSG nur dann innerhalb der Unternehmensorganisation austauschen, wenn die Filialen oder Töchter in der Europäischen Union liegen.
Außerhalb der EU ist dies nur erlaubt, wenn die dortigen Stellen beziehungsweise die dortigen Einstellungen des Identity-Managementsystems die gesetzlichen Bestimmungen des hiesigen Datenschutzes einhalten. In Deutschland unzulässige Profile und Auswertungen sind also beispielsweise auch in einer Filiale in den USA unzulässig. (mhu)
|
Infos |
|---|
|
[1] BDSG: [http://bundesrecht.juris.de/bundesrecht/bdsg_1990/htmltree.html] |
|
Der Autor |
|---|
|
RA Fred Andresen ist Mitglied der Rechtsanwaltskammer München und der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (DAVIT). |
