Wie die Welt Online und weitere Medien heute berichten, liegt nach monatelangen Verhandlungen ein aktualisierter Referentenentwurf aus dem Bundesinnenministerium unter der Leitung von Thomas de Maizière für ein Gesetz zum Arbeitnehmerdatenschutz vor. Gegenüber einem Entwurf aus Mai 2010 haben sich einige Punkte grundlegend zu Gunsten des Datenschutz für Arbeitnehmer verbessert. Der neue Entwurf soll mit den Ministerien für Wirtschaft, Arbeit und Justiz abgestimmt sein. Desweiteren wurde zahlreichen Einwänden seitens der Gewerkschaften und Datenschützer Rechnung getragen.
Die heimliche Videoüberwachung von Mitarbeitern in Unternehmen soll zukünftig ausnahmslos verboten sein. Im früheren Entwurf war die verdeckte Überwachung unter bestimmten Voraussetzungen noch zulässig. Ferner soll das Ausspähen von Räumlichkeiten, die überwiegend der privaten Lebensführung dienen, zukünftig nicht mehr möglich sein. Davon betroffen wären z.B. Umkleide‑, Sanitär- und Schlafräume.
Nicht betroffen von den neuen Regelungen wären offene Videoüberwachungen z.B. im Firmeneingangsbereich oder auch zur Qualitätskontrolle, sofern diese zur Wahrung berechtigter betrieblicher Interessen wirklich notwendig sind, den Schutzinteressen der Arbeitnehmer nicht entgegen stehen und selbstverständlich auf den Einsatz dieser Überwachungsmöglichkeit ausreichend hingewiesen wurde.
Mit dem neuen Referentenentwurf soll den Veränderungen durch Social Media und soziale Netzwerke Rechnung getragen werden. Rundum gelungen ist dies jedoch nicht. Ein Arbeitgeber soll zukünftig keine Daten für Bewerbungen aus sozialen Netzwerken wie Facebook erheben dürfen, um sich über den Kandidaten vorab zu informieren. Bei anderen frei zugänglichen Daten im Internet dürfen diese nur genutzt werden, wenn das schutzwürdigen Interesse am Ausschluss dieser Daten des Arbeitnehmers das berechtigte Interesse des Unternehmens nicht übersteigt. “Normale” Suchmaschineneinträge dürften als Informationsmedium herangezogen werden, jedoch wäre das Alter des Eintrags zu berücksichtigen ebenso wie die Frage, ob der Betroffene noch die Herrschaft über die Veröffentlichung seiner Daten an dieser Stelle hat. Inwieweit diese Regelung des Verbots der Erhebung praktikabel ist, bleibt abzuwarten. Bereits jetzt äußern sich hierzu kritische Stimmen — zu Recht.
Ärztliche Untersuchungen und Bluttests werden zukünftig ebenfalls enger reglementiert und an Auflagen gebunden sein. Gleiches gilt für Maßnahmen der Korruptionsbekämpfung wie das sog. “Screening”, die stark in die Datenschutzrechte der Betroffenen eingreifen. Aber auch die Kontrolle von Telefonaten und Emails wird nach diesem Entwurf nur unter zusätzlichen Auflagen möglich sein. Im Hinblick auf vorhandene Nutzungsrichtlinien sollten Unternehmen die finale Version des Gesetzes weiter verfolgen.
Der Entwurf soll die Rechtssicherheit von Arbeitnehmern und Unternehmen erhöhen. Dabei trägt er zahlreichen Einzelfallurteilen sowie den Datenaffären der jüngeren Vergangenheit Rechnung. Trotz des gutgemeinten Ansatzes verbleiben einige Grauzonen und Punkte, die Anlaß zur Kritik geben.
Unbestreitbar: Personenbezogene Daten sind schützenswerte Daten. Betrachten wir die Angaben in der monatlichen Gehaltsabrechnung für Mitarbeiter. Darin enthalten sind Name, Anschrift und Gehalt. Es geht aber weiter mit zusätzlichen Informationen, die noch sehr viel mehr über die betroffene Person verraten wie z.B.
Dienstwagenversteuerung (läßt Rückschlüsse auf Position im Unternehmen zu)
Sparzulagen (für Finanzberater ein gefundenes Fressen)
Kinderfreibeträge (interessant für Versicherer mit Ausbildungspolicen im Angebot oder auch Baby-Ausstatter)
Religionszugehörigkeit (gehört zu den sog. sensitiven und damit besonders schützenswerten Daten)
Bankverbindung (beim Abbuchen niedriger Beträge wird selten seitens der Bank eine Legitimation verlangt, der eigenen Kontrolle der Bankauszüge entgehen diese auch schon mal)
uvm.
Ein Sammelsurium wichtiger Informationen, die Begehrlichkeiten wecken und bei Mißbrauch zu (erheblichem) Schaden bei den Betroffenen führen können. Und was passiert damit? Nicht selten werden die monatlichen Abrechnungsdaten aus dem Personalbüro oder der Buchhaltung per Email an einen externen Dienstleister übertragen zwecks Anfertigen der Gehaltsabrechnung und / oder Veranlassen der Zahlungen. Und zwar unverschlüsselt und ohne Signatur.
Der Empfänger kann weder sicher sein, daß der Absender wirklich der ist, der dieser vorzugeben scheint. Schlimmer noch, er kann nicht feststellen, ob die Email samt der Abrechnungsdaten auf dem Transportweg manipuliert wurde. Zusätzlich droht die Einsichtnahme durch unbefugte Dritte bis hin zum Datenverlust. Studieren Sie §43 BDSG “Bußgeldvorschriften” und Sie werden feststellen, daß diese Sachverhalte mit empfindlichen Geldbußen belegt werden können. Vom Vertrauensverlust bei Ihren Mitarbeitern gar nicht zu reden.
Abhilfe schafft z.B. in der Windows-Welt die Nutzung von gpg4win. Dabei handelt es sich um aufeinander abgestimmte Komponenten in einem Paket zur Verschlüsselung und Signatur von Emails per S/MIME und / oder OpenPGP. Mehr zu OpenPGP erfahren Sie z.B. bei Wikipedia. Die Installation ist auch für PC Laien zu meistern und die Konfiguration ist dank einer ausführlichen Online-Dokumentation schnell erledigt. Die Online-Dokumentation beschreibt sehr anschaulich die Funktionsweisen, also keine Bange.
Nachdem Sie Ihre “Schlüssel” erstellt haben, müssen Sie nur noch den öffentlich Teil des “Schlüssels” an Ihre Empfänger verteilen und diese können beim Einsatz der gleichen Technologie mit einem Mausklick zukünftige Emails von Ihnen überprüfen und verifizieren.
Ohne E‑Mail geht selbst in den kleinsten Unternehmen heute nichts mehr. Welche Regeln müssen Unternehmen beachten, um ihre E‑Mails im Unternehmen professionell managen zu können? Hilfreiche Antworten bietet ein Beitrag bei securitymanager.de - dem Portal für IT-Security