Datenschutz heute und in der Zukunft

Die Datenschutz-Grundidee
 

Das Grundgesetz schützt im Artikel 2 Satz 1 die freie Entfaltung der Persönlichkeit. Daraus leitet sich das Datenschutzrecht ab. Die Europäische Union hat diese aus den allgemeinen Menschenrechten stammende Idee in der EU-Datenschutz-Grundverordnung (DSGVO) in EU-weit geltendes Recht umgesetzt.

Aus dem Grundrecht der freien Entfaltung der Persönlichkeit leiten sich das Recht am eigenen Bild und das Recht an den eigenen Daten ab. Nach Art.2 Satz 1 GG darf in diese Rechte nur auf Grund eines Gesetzes eingegriffen werden.

Wichtige personenbezogene Daten:
  • Name
  • Adresse
  • Telefonnummer
  • E-Mail-Adresse
  • Geburtsdatum
  • Geschlecht
  • Sozialversicherungsnummer
  • Bankverbindung
  • Fotos, Videos
  • IP-Adresse
  • Religiöse oder politische Überzeugungen
  • Gesundheitsdaten
  • Genetische Daten

Quelle: ChatGPT 3.3.2024

Zentraler Begriff des Datenschutzrechts sind die personenbezogenen Daten. Nach deutschem und europäischem Recht sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen oder beziehen lassen. Definition

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Quelle: Artikel 4 Nr. 1 EU-Datenschutz-Grundverordnung (DSGVO)

Das Recht an den eigenen Daten bedeutet meine Daten gehören mir. Deshalb bedarf die Weitergabe an andere, sog. Dritte im Sinne des Datenschutzrechts der persönlichen Einwilligung, sofern dies nicht durch Gesetz oder Rechtsverordnung (wie z.B. die Weitergabe an die Sozialversicherungeinrichtungen) geregelt ist.

Artikel 6 der EU-DSGVO erlaubt die Verwendung personenbezogener Daten im Rahmen der Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, und darunter fällt insbesondere auch das Arbeitsverhältnis. Eine präzisere Definition, welche Daten zur Verwaltung des Arbeitsverhältnisses benutzt werden dürfen, lässt besagte Datenschutz-Grundverordnung vermissen. Das Problem wurde erfolgreich auf ein Beschäftigtenschutzgesetz vertagt, das es bis heute nicht gibt.

Artikel 6 EU-DSGVO - Rechtmäßigkeit der Verarbeitung

1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.

c) Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.

d) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Der Verabschiedung der Datenschutz-Grundverordnung ist eine ausgedehnte Lobbyarbeit vorangegangen; es gab hunderte von Änderungen gegenüber dem Entwurfstext.

In den Betrieben hat die elektronische Personaldatenverarbeitung - insbesondere im Rahmen der Personalinformationssysteme - die Speicherung von Arbeitnehmerdaten im Sinne einer großzügig ausgelegten Interpretation stark befördert.
Das Computergrundrecht
 

Staatliche Stellen haben schon immer großen Appetit beim Datensammeln gezeigt. In einem richtungweisenden Urteil vom 27.2.2007 hat das Bundesverfassungsgericht (Aktenzeichen 1BvR 370/07) dieser Sammelwut enge Grenzen gesetzt. Es geht um das Grundrecht auf informationelle Selbstbestimmung, ein Recht, das über den Schutz der Privatsphäre hinausgeht und dem Einzelnen die Befugnis gibt, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.

Computer seien für das Leben der Menschen immer wichtiger geworden. Sie seien nicht mehr wegzudenken aus dem Prozess der Entfaltung der Persönlichkeit. Dies habe sich noch durch die gestiegene Vernetzung, insbesondere dank der gewachsenen Bedeutung des Internets, erheblich verstärkt, so das Gericht bereits im Jahr 2007. Deshalb ging das Bundesverfassungsgericht damals über seine vorherige Rechtsprechung hinaus und formulierte ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, kurz Computergrundrecht genannt. Dieses Grundrecht schützt die Vertraulichkeit und Integrität informationstechnischer Systeme, wie z.B. Computer und Smartphones.

Das damalige Urteil betraf zwar nur das Verhältnis zwischen Individuum und Staat. Die Rechtsexperten sind sich aber einig, dass seine Grundsätze auch im Arbeitsverhältnis sinngemäß zu gelten haben.
Bürokratische Entartung
 

Glaubt man der Politik, so macht Digitalisierung das Leben einfacher. Seltsamerweise passiert das aber nicht, nicht in der öffentlichen Verwaltung und auch nicht in den Betrieben. Ehemals einfache Dinge werden eher komplizierter, die Menschen sind in der Arbeit immer mehr an die Computer gebunden, nicht nur das: Computerprogramme schreiben den Menschen immer mehr vor, was sie als Nächstes zu tun haben. Vorbei die Zeiten, in denen man noch sagen konnte: Gute Software erkennt man daran, dass man bei der Arbeit nicht merkt, dass man mit einem Computer arbeitet.

Mangels anderer gesetzlicher Regelungen schreiben die Datenschutz-Grundverordnung und das deutsche Datenschutzgesetz das Einverständnis vor, wenn die datensammelnde Instanz personenbezogene Daten einer Benutzerin oder eines Benutzers haben will. Das ist bei fast allen aus einer Cloud oder aus dem Internet aufgerufenen Programmen oder Seiten der Fall. Die Datensammler begnügen sich leider nicht, nur für die Zeit der Verbindung dafür zu sorgen, dass ein Kontakt zwischen Sender und Empfänger aufrecht erhalten wird, sondern greifen allerhand Informationen über die Benutzer ab. Deshalb muss man z.B. bei fast jedem Aufruf einer Internet-Seite sogenannte Cookies akzeptieren. Bei vielen weiteren Softwareangeboten muss man ebenfalls teils ellenlangen Datenschutzerklärungen zustimmen. Das alles nervt und würde - wenn man es ernst nähme - ziemlich viel Zeit kosten. Also klickt man lieber auf .

Jetzt wissen Sie wahrscheinlich überhaupt nicht, wozu Sie zugestimmt haben.

Das Ergebnis: Frustration und Gleichgültigkeit. Datenschutz wird als Belästigung empfunden, die man lieber nicht mehr ernstnimmt. Die Sensibilität für Datenschutz hat auf breiter Front abgenommen.

Die EU-Datenschutzgrundverordnung (DS-GVO) umfasst ausgedruckt auf 124 DIN-A-4-Seiten ein Dokument, das erst einmal 50 Seiten lang in Erwägung von 173 Gründen dann auf 74 weiteren Seiten in 99 Artikeln, aufgeteilt auf 12 Kapitel, einen für Laien nur schwer lesbaren und noch schwerer verständlichen Gesetzestext präsentiert. Sie enthält jedoch keine spezifischen Vorschriften zur Verarbeitung personenbezogener Daten im Beschäftigungskontext. Sie kann als gelungenes Meisterwerk erfolgreicher Lobbyarbeit begriffen werden, das große Interpretationsspielräume eröffnet und dem Datenschutz eher einen Bärendienst erwiesen hat. Motto: Nichts ohne mein Anwaltsbüro.
Datenschutz in der Arbeitswelt
 

Gibt es einen Arbeitnehmer-Datenschutz in der EU-GDVO?

Ja, diese Regeln gelten für die Verarbeitung personenbezogener Daten von Arbeitnehmern durch Arbeitgeber und andere arbeitsrechtlich relevante Akteure.

  • Informationspflichten: Arbeitgeber müssen die Arbeitnehmer darüber informieren, wie ihre personenbezogenen Daten verarbeitet werden. Dies umfasst Informationen über den Zweck der Verarbeitung, die Dauer der Speicherung und die Rechte der Arbeitnehmer in Bezug auf ihre Daten.
  • Rechtmäßigkeit der Verarbeitung: Die Verarbeitung personenbezogener Daten von Arbeitnehmern muss auf einer Rechtsgrundlage beruhen. In vielen Fällen basiert dies auf der Notwendigkeit der Datenverarbeitung für die Erfüllung eines Arbeitsvertrags oder auf der Einwilligung des Arbeitnehmers.
  • Rechte der betroffenen Personen: Arbeitnehmer haben das Recht auf Zugang zu ihren personenbezogenen Daten, das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung. Sie können auch der Verarbeitung ihrer Daten unter bestimmten Bedingungen widersprechen.
  • Datensicherheit: Arbeitgeber müssen angemessene Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten der Arbeitnehmer zu gewährleisten und vor unbefugtem Zugriff oder Verlust zu schützen.
  • Übermittlung von Daten: Die Übermittlung von personenbezogenen Daten von Arbeitnehmern in Drittländer außerhalb der EU ist nur unter bestimmten Voraussetzungen erlaubt.

Quelle: Google Gemini, 4.3.2024

Das Datenschutzrecht gewährt den Beschäftigten eine Menge von Rechten. Die Verarbeitung ihrer Daten ist nur im Rahmen rechtlicher Grundlagen erlaubt. Die Beschäftigten sind vor allem über ihre gespeicherten persönlichen Daten zu informieren.

§ 26 Abs. 1 BDSG nennt das „berechtigte Interesse“ des Arbeitgebers ausdrücklich als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Wortlaut.

Die Verarbeitung personenbezogener Daten ist zulässig, soweit dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für dessen Durchführung oder Beendigung erforderlich ist.

Quelle: § 26 Abs. 1 BDSG

Mangels Präzisierung in den Datenschutzgesetzen (EU-Datenschutz-Grundverordnung, deutsches Datenschutzgesetz BDSG Wortlaut) besteht hier aber ein großer Interpretationsspielraum. Im Zweifelsfall bestimmt dies der Arbeitgeber.

Art. 6 Abs. 1 DSGVO - Rechtmäßigkeit der Verarbeitung

1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der folgenden Voraussetzungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist erforderlich für die Ausübung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist erforderlich zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

2. Verarbeitungen nach Absatz 1 lit. f) bedürfen einer Interessenabwägung, bei der insbesondere die folgenden Aspekte zu berücksichtigen sind:

  • die Umstände und Bedingungen der Verarbeitung;
  • er Zweck der Verarbeitung;
  • die Art der personenbezogenen Daten;
  • die möglichen Folgen der Verarbeitung für die betroffene Person.

Allerdings sind dabei die Grundsätze der

  • Zweckbinding: genaue Festlegung des Verwendungszwecks der Daten
  • Verhältnismäßigkeit: Daten dürfen nur in dem Umfang erhoben und verarbeitet werden, der zur Erfüllung der Verarbeitungszwecke erforderlich ist.
  • Normeklarheit: Die Regeln der Verarbeitung müssen für alle betroffenen Personen transparent sein.

einzuhalten.

Gängige elektronische Verfahren der Arbeitnehmerdatenverarbeitung sind Zeiterfassungs- und Personalabrechnungssysteme wie z.B SAP-HCM oder Workday. Viele Unternehmen haben darüber hinaus spezifische Verfahren, die zu einer beachtlichen Vermehrung der Verarbeitung von Arbeitnehmerdaten führen können, z.B. digitale Personalakten mit ausführlicher Historie der Personalentwicklung, Skill Management-Systeme und Performance-Management-Systeme mit Zielvereinbarungen und Beurteilungsverfahren. In vielen Fällen gilt hier der Abschluss einer Betriebsvereinbarung als Rechtsgrundlage. Zum Glück für Beschäftigte und Führungskräfte können diese Managementmethoden heutzutage als ziemlich überholt betrachtet werden und sind entsprechend seltener geworden.
Infrastruktur und Office-Software
 

Produktions- und Logistikbereiche haben oft spezielle Softwaresysteme, bei denen die Arbeitnehmerdatenverarbeitung nicht das erklärte Ziel ist und nur eine Randrolle spielt. Oft stellt sich in diesen sogenannten Betriebsdaten aber auch ein Personenbezug her, da meist Ort und Zeit des Geschehens bekannt und somit auf die betroffene Person Rückschlüsse möglich sind.

Genau so sieht es aus für Bereiche mit überwiegender Bürotätigkeit. Das Mail-System, der Internet-Zugang, Programme für die Computersicherheit und vor allem die Office-Programme (Textverarbeitung, Tabellenkalkulation, Präsentationssoftware, elektronische Konferenz-Systeme) sind nahezu in jedem Betrieb präsent und besonders ausgeprägt, wenn es sich um Systeme der Firma Microsoft handelt (z.B. Microsoft 365, früher Office 365).

In allen diesen Systemen wird sehr ausführlich protokolliert, was die Benutzerinnen und Benutzer tun. Der „eigentliche" Inhalt der dabei verarbeiteten Daten hat meist gar nichts mit den Personen der Beschäftigten zu tun. Der Personenbezug kommt aber auch hier dadurch zustande, dass fast bei jedem Tastenschlag in den Systemen festgehalten wird, wann das war (Datum und Uhrzeit) und wer das getan hat bzw. an welchem Ort, welcher Maschine oder welchem Arbeitsplatz der Vorgang bearbeitet wurde.

Bei der Nutzung von Textverarbeitungs- oder Tabellenkalkulationsprogrammen hat man sich bis vor zehn Jahren unter dem Gesichtspunkt Datenschutz keine Gedanken gemacht. Doch vor allem die als harmlos erscheinenden Office-Programme haben zu einer Veränderung der Szene geführt. Insbesondere die Programme der Firma Microsoft haben sich zu fleißigen Datensammlern gemausert.


Arbeitsbeziehungen in Microsoft Graph


Graph ist das Hintergrund-Programm der Office-Software von Microsoft. Hier werden die Arbeitsbeziehungen der Beschäftigten umfänglich abgebildet, eine Fundgruppe für die neuen Anwendungen der Künstlichen Intelligenz, mit denen das komplette Office-System zurzeit angereichert wird. Hier eine kurze Auflistung.

Welche Daten werden bei Nutzung der Microsoft365-Programme in Microsoft Graph übertragen?

Grundsätzlich können über Microsoft Graph verschiedene Arten von Daten übertragen werden, darunter:

  1. Benutzerdaten: Informationen über Benutzerkonten, Profile, E-Mails, Kalender, Aufgaben und Kontakte.
  2. Gruppendaten: Informationen zu Gruppen, Gruppenmitgliedschaften und Gruppenressourcen.
  3. Dateidaten: Zugriff auf Dateien und Ordner in OneDrive for Business oder SharePoint, sowie Metadaten zu diesen Ressourcen.
  4. E-Mail-Daten: E-Mail-Nachrichten, Anhänge, Ordnerstrukturen und E-Mail-Metadaten.
  5. Kalenderdaten: Zugriff auf Kalenderereignisse, Termine und Kalendermetadaten.
  6. Aufgabendaten: Informationen zu Aufgaben, ToDo-Listen und Aufgabenmetadaten.
  7. Notizdaten: Zugriff auf OneNote-Notizen und Notizbücher.
  8. Unternehmensdaten: Informationen zu Unternehmensressourcen, wie z.B. Organigramme, Standorte und Abteilungen.

: Quelle: ChatGPT 3.3.2024

Ein ernster Konflikt bahnt sich zwischen einem Konzept, das unter dem Begriff
Compliance gehandelt wird und dem Datenschutz an. Wie man die hier behaupteten Compliance-Verletzungen (z.B. Geldwäsche, Aufdecken geheimer Absprachen) anhand der Nutzung von Bürosoftware erkennen kann, bleibt allerdings das Geheimnis von Microsoft.

Mustererkennung ist eine Leistung des Maschinellen Lernens. Sie lässt sich gut auf die Graph-Daten anwenden. Dann kann man - orientiert entweder am statistischen Durchschnittsverhalten oder an ausgewählten Compliance Regeln - ein Muster für sogenanntes „normales“ Verhalten festlegen und das tatsächliche Verhalten von Beschäftigten damit abgleichen. Völlig neuartige Auswertungen werden auf dieser Grundlage möglich.
Künstliche Intelligenz
 

robotSeit November 2022 ist alles anders. Alle reden von ChatGPT Jeder, wirklich jeder kann jetzt mitmachen. Ein mächtiges Werkzeug mit Antworten für alle und auf fast alle Fragen, aus dem Stand nutzbar: Das Tool kann Texte zusammenfassen, neue Texte schreiben, Routineaufgaben lösen, Zeit freischaufeln für anspuchsvolle Sachen und Arbeitsplätze einsparen. Was die einfachen Chatbots (wie ChatGBT oder Googles Gemini) mit Sprache können, geht auch mit Video- und Audiomaterial: Aufgrund weniger Angaben lassen sich Bilder erzeugen oder bestehende Bilder verändern und Videoclips künstlich herstellen. Mustererkennung lässt sich auch auf Mimik und Körpersprache anwenden, bekannt unter Sentimentanalyse. Hier können - gemäß Werbung der Systemanbieter - Produktivität, Loyalität und die Bindung von Beschäftigten an das Unternehmen beobachtet und gemanagt werden. Die Systeme sollen dahin entwickelt werden, Emotionen zu erkennen, zu simulieren und darauf zu reagieren - neue Dimensionen für das Management und neue Probleme für den Schutz der Persönlichkeitsrechte.

Und was heißt das jetzt für den Datenschutz?

  • Digitalisierung: Für alles, was einmal digitalisiert wurde, gilt: Kaum noch etwas bleibt geheim. Fast alles kann man herausfinden und in beliebigen anderen Zusammenhängen weiterverwenden.
  • Das datenschutzrechtliche Gebot der Zweckbestimmung für die Verarbeitung personenbezogener Daten ist so gut wie aufgehoben.
  • Verlorene Kontrolle: Die Einhaltung der Verabredung, persönliche Daten im Betrieb nur nach vereinbarter Zweckbestimmung zu verwenden, ist technisch nicht mehr überprüfbar.
  • Datensparsamkeit wird zum einzig wirksamen Schutz. Daten, die nicht vorhanden sind, können auch nicht missbraucht werden.
  • Transparenz der Verarbeitung lässt sich nicht mehr herstellen. Die den Chatbots und den meisten anderen KI-Anwendungen zugrundeliegende Technik der Large Language Models und Neuronalen Netze kann nicht erklären, wieso sie zu ihren Ergebnissen kommt. Die Systeme wurden in zigtausendfachen Wiederholungen nur auf Mustererkennung trainiert.
  • Das Wissen der Benutzerinnen und Benutzer über die Funktionsweise und vor allem die Leistungsgrenzen der aktuellen KI-Technik ist wichtiger denn je. Man muss die „Halluzinationsgefahr“ der Technik kennen.
  • Das Zusammenspiel zwischen Technik und menschlicher Arbeit wird sich verändern.Wir haben uns auf eine andere Beziehung zwischen Menschen und Maschinen einzustellen. Welche Grenzen der KI-Technik dabei gesetzt werden, muss noch herausgefunden werden.
  • Eine große Herausforderung wird es sein, eine Polarisierung der Welt - sowohl der Beschäftigten als auch der Unternehmen und Gesellschaften - zu vermeiden. Um auf der Höhe der Zeit mit der neuen Technik umzugehen, bedarf es gut überlegter Initiativen des Managements und gründlicher Qualifizierungskonzepte für die Beschäftigten.
  • Wir verfügen zur Zeit über keine Blaupausen oder fertigen Konzepte. Erfahrungen müssen gesammelt und gemeinsam bewertet werden.

Von der Politik ist zur Zeit (leider) wenig zu erwarten. Nicht vorhandene Regulierungen müssen derweil durch betriebsinterne Regeln ersetzt werden. Diese sollten für Informiertheit und Aufmerksamkeit der Beschäftigten sorgen, ihnen ein paar Verhaltengrundsätze vermitteln und eine offenen Kommunkationskultur fördern.

Stolpersteine: Vor diesem Hintergrund sind die Marktmacht der großen Tech-Konzerne, die Ahnungslosigkeit und Verschlafenheit der Politik, die Blindheit der Verbände (Gewerkschaften und Arbeitgeberorganisationen gleichermaßen) und die Ferne der Unternehmenszentralen - vor allem internationaler Konzerne - von der konkreten Arbeit alles andere als vertrauensbildend.

 
Karl Schmitz März 2024