Am 25. Mai 2018 tritt das vom Bundestag beschlossene „Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)“ in Kraft. Was Geschäftsführer, Beschäftigte und Datenschutzbeauftragte beim Datenschutz beachten müssen, lesen Sie in dem Gastbeitrag von Thomas Steins von CAIDAO.
Mit dem neuen Gesetz wird das rund 40 Jahre alte Bundesdatenschutzgesetz (BDSG) an die europäischen Vorgaben der Datenschutzgrundverordnung (EU-DSGVO) angepasst. Eine ganze Reihe neuer Anforderungen an den Datenschutz und die Datensicherheit sind die Folge. Dadurch werden ab Mai 2018 die Anforderungen an die Dokumentationspflicht deutlich verschärft. Zudem steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Beschäftigte und interne Datenschutzbeauftragte. Bei Verstößen drohen bis zu 20 Millionen Euro Bußgeld und sogar Freiheitsstrafen. Dieser Druck des Gesetzgebers führt dazu, dass die Planung, Einführung und der Betrieb von IT-Systemen an strategischer Bedeutung gewinnt.
Datenschutz: Digitalisierung als Chance und Risiko
Die Nutzung moderner Informations- und Kommunikationstechnik sowie komplexer IT-Systeme gehört in Zeiten des digitalen Wandels schon jetzt zur Pflichtübung für viele Unternehmen. Die Digitalisierung bietet auf der einen Seite die Erleichterung der Arbeit und eine Steigerung der Effizienz, auf der anderen Seite können Verhalten und Leistung der Arbeitnehmer einfacher überwacht werden. Durch das Live-Tracking von Dokumenten und Standorten können Bearbeitungszeiten, Veränderungen und Aufenthaltsorte gespeichert und jederzeit nachverfolgt werden. Die Vernetzung unterschiedlicher IT-Systeme bietet dabei zusätzliche automatisierte Auswertungsmöglichkeiten, die in Verbindung mit Personalinformationssystemen den Mitarbeiter gläsern machen. Die Technik macht fast alles möglich, deswegen wird eine Datenethik immer wichtiger.
So stellen sich vor allem drei entscheidende Kernfragen zur Mitbestimmung in Unternehmen, die neben den Anforderungen aus dem BDSG auch viel mit Datenethik zu tun haben:
- Wo liegen die betriebspolitischen Grenzen der Zulässigkeit bei der Erhebung und Nutzung von personenbezogenen Daten?
- Welche Gefahrenpotentiale gehen mit dem Digitalisierungsprozess einher?
- Wie können im Rahmen der Mitbestimmung Arbeitsbedingungen präventiv mitgestaltet werden?
Lesen Sie hier mehr über Datensicherheit bei POLYAS.
Bestehende Betriebsvereinbarungen überprüfen und neue einführen
Viele Unternehmen haben – wenn überhaupt – recht historische Betriebsvereinbarungen, die jede einzelne IT-Produkt-Einführung separat regeln. Dieser Ansatz mag in der Vergangenheit in einigen Fällen sogar in der gelebten Praxis getragen haben. Ob damit die hohen Anforderungen des BDSG erfüllt werden, ist eine andere Frage, die es betriebspartnerschaftlich zu beantworten gilt. Das BetrVG bräuchte hierzu definitiv ein Update.
Wie mit einem solchen bisherigen Ansatz aber überhaupt dynamische Dienstleistungen wie beispielsweise Microsoft Office 365 zu regeln sind, ist nochmal eine andere Baustelle. IT-Dienstleistungen wie Office 365 werden regelmäßig upgedatet, und zwar ohne statische Betriebsvereinbarung. Neue Features und Updates werden hier lediglich innerhalb eines IT-Regelungsprozesses mit einer Art Frühwarnsystem erfasst.
Schritt für Schritt: Abschichten und lösen
Um die Komplexität des Themas IT-Mitbestimmung zu erfassen und zur Lösungsfindung abzuschichten, empfiehlt es sich, im ersten Schritt als Betriebsrat einen IT-Ausschuss zu gründen. Dieser sollte sich zunächst regelmäßig und gewissenhaft weiterbilden. Er hat die Aufgabe die bestehenden IT-Betriebsvereinbarungen zu überprüfen und soll auf betriebspartnerschaftlichem Wege in Beratungen und Verhandlungen gesetzeskonforme Neuregelungen finden.
Nächste Gelegenheit zum Austausch bereits am 8.9.2017 in Berlin
Hilfreich zur Orientierung sind gerade bei komplexen Herausforderungen das Sparring mit Experten und ein kollegialer Austausch mit anderen Betriebsräten aus Unternehmen, die vor den gleichen Herausforderungen stehen.
Eine baldige Chance solch eines unternehmensübergreifenden Dialogs bietet sich zum Beispiel am Donnerstag, 8. September 2017, in der Hauptstadtrepräsentanz bei Microsoft in Berlin. Dort diskutieren Experten des CAIDAO Instituts für Betriebsratsberatung mit Mitgliedern des Gesamtbetriebsrats des Technologieunternehmens Microsoft, des Konzernbetriebsrats der Deutschen Post AG sowie des Betriebsrats des im Gesundheitsbereich tätigen Medizinischen Dienstes der Krankenkassen über Herausforderungen und Lösungsansätze bei der Mitbestimmung bei Planung, Einführung und Betrieb von IT-Systemen. Weitere Infos zu dieser Veranstaltung, zu der auch kurzfristig noch eine Teilnahme möglich ist, gibt es hier.