Datenschutzrechtliche Vorgaben bei der Entwicklung und Einführung von Personalinformationssystemen

Inhaltsverzeichnis

II. Abkürzungsverzeichnis

III. Tabellenverzeichnis

IV. Abbildungsverzeichnis

1 Einleitung und Aufgabenstellung

2 Softwaretechnische, datenschutzrechtliche und betriebswirtschaftliche Grundlagen
2.1 Personalinformationssysteme
2.2 Datenschutz - Grundlagen
2.2.1 Die bei der Entwicklung und Einführung von PIS einschlägigen (datenschutzrechtlichen) Gesetze und Vorschriften
2.2.1.1 Definition und Abgrenzung der Anwendungsbereiche der verschiedenen Datenschutzregelungen auf horizontaler (nationaler) Ebene
2.2.1.1.1 Spezialgesetzliche Regelungen im Hinblick auf die Erstellung und Einführung von PIS
2.2.1.1.2 Allgemeiner Datenschutz nach dem BDSG bei der Erstellung und Einführung von PIS
2.2.1.1.3 Berücksichtigung des Betriebsverfassungsgesetzes bei der Erstellung und Einführung von PIS
2.2.1.2 Definition und Abgrenzung der Anwendungsbereiche der verschiedenen Datenschutzregelungen auf vertikaler (internationaler) Ebene
2.2.1.2.1 Internationale Regelungen
2.2.1.2.2 Europäische Regelungen – Europarecht im weiteren Sinne
2.2.1.2.3 Unionsrechtliche Regelungen – Europarecht im engeren Sinne
2.2.1.3 Zwischenergebnis: Anwendbarkeit nationaler und/oder internationaler Rechtsvorschriften bei der Entwicklung und Einführung von PIS
2.2.2 Das informationelle Selbstbestimmungsrecht als Grundlage für den Datenschutz in Deutschland
2.3 Ein angepasstes Phasenmodell zur systematischen Abhandlung der datenschutzrechtlichen Fragestellungen
2.3.1 Beschreibung von Vorgehensmodellen
2.3.2 Die einzelnen Phasen des datenschutzspezifischen Phasenmodells
2.3.2.1 Planungsphase
2.3.2.2 Analysephase
2.3.2.3 Konzeptionsphase
2.3.2.4 Realisierungsphase
2.3.2.5 Einführungsphase
2.3.2.6 Nutzungsphase

3 Datenschutzrechtliche Anforderungen an die Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen bei der Entwicklung und Einführung von PIS
3.1 Planung
3.1.1 Anwendbarkeit des BDSG, BetrVG und von Tarifverträgen im Einzelfall
3.1.2 Beteiligung weiterer Stellen
3.1.2.1 Aufgabenbereiche des Datenschutzbeauftragten
3.1.2.2 Beteiligungsrechte des Betriebsrats
3.1.2.2.1 Mitbestimmungsrechte des Betriebsrates
3.1.2.2.2 Mitwirkungsrechte des Betriebsrates
3.1.2.2.3 Mitbestimmung durch Betriebsvereinbarung
3.2 Analyse
3.2.1 Vorliegen eines Eingriffs
3.2.1.1 Schutzbereich eröffnet – personenbezogene Daten
3.2.1.1.1 Begriff der Daten im datenschutzrechtlichen Sinne
3.2.1.1.2 Persönliche oder sachliche Verhältnisse
3.2.1.1.3 Personenbezug
3.2.1.1.4 Besondere Arten personenbezogener Daten
3.2.1.2 Eingriff in den Schutzbereich
3.2.1.2.1 Erheben von personenbezogenen Daten
3.2.1.2.2 Verarbeiten von personenbezogenen Daten
3.2.1.2.3 Nutzen von personenbezogenen Daten
3.2.1.3 Beispielhafte Eingriffsprüfung
3.2.1.3.1 Datenbank
3.2.1.3.2 Benutzeroberfläche
3.2.1.3.3 Systeme aus dem Aufgabenbereich der Personalplanung
3.2.1.3.4 Systeme im Aufgabenbereich der Personalentlohnung
3.2.1.3.5 Systeme im Aufgabenbereich des Personaleinsatzes – Arbeitszeitmanagementsystem/ Zutrittsmanagementsystem
3.2.1.3.6 Systeme im Aufgabenbereich der Personalbeschaffung
3.2.1.3.7 Systeme im Aufgabenbereich der Personalentwicklung
3.2.1.4 Zwischenergebnis
3.2.2 Eingriffsrechtfertigung
3.2.2.1 Das Verbot mit Erlaubnisvorbehalt
3.2.2.1.1 Erlaubniskonzept nach dem Bundesdatenschutzgesetz
3.2.2.2 Der Zweckbindungs- und Erforderlichkeitsgrundsatz
3.2.2.3 Der Grundsatz der Transparenz
3.2.2.4 Der Grundsatz der Datenvermeidung und Datensparsamkeit
3.2.2.5 Betroffenenrechte
3.2.2.6 Datensicherheit
3.2.2.6.1 Einrichtung eines Risikomanagements zur Umsetzung der Datensicherheit
3.2.2.6.2 Die einzelnen Datensicherungsmaßnahmen
3.3 Konzeption
3.3.1 Datenschutzkonzept
3.3.1.1 Verbot mit Erlaubnisvorbehalt
3.3.1.2 Der Zweckbindungs- und Erforderlichkeitsgrundsatz
3.3.1.3 Transparenzgebot
3.3.1.4 Grundsatz der Datenvermeidung und Datensparsamkeit
3.3.2 Sicherheitskonzept
3.3.2.1 Technische und organisatorische Maßnahmen zur Zutritts-, Zugangs- und Zugriffskontrolle
3.4 Realisierung
3.4.1 Programmierung
3.4.1.1 Verbalisierung
3.4.1.2 Dokumentation
3.4.2 Tests
3.5 Einführungsphase
3.6 Nutzung
3.6.1 Unternehmensalltag
3.6.2 Wartung

4 Schlussbemerkung

V. Literatur- und Quellenverzeichnis

VI. Handout für den Systementwickler

VII. Eidesstattliche Versicherung

II. Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

III. Tabellenverzeichnis

Tabelle 1: gesetzliche Regelungen und ihre Anwendbarkeit auf Fragestellungen im Zusammenhang mit der Entwicklung und Einführung von Personalinformationssystemen

Tabelle 2: sachlicher und örtlicher Anwendungsbereich der relevanten Gesetze

Tabelle 3: Die wichtigsten Aufgabenfelder des Datenschutzbeauftragten

Tabelle 4: Die wichtigsten Beteiligungsrechte des Betriebsrates zum Arbeitnehmerdatenschutz

Tabelle 5: Anwendungssysteme in der Personalwirtschaft

Tabelle 6: Spezialgesetzliche Melde- und Auskunftspflichten des Arbeitgebers

Tabelle 7: Abschließende Zusammenfassung der erforderlichen Datenschutz- und Sicherheitsmaßnahmen

IV. Abbildungsverzeichnis

Abb. 1: Schichtenmodell und Systemarchitektur

Abb. 2: Betroffenheit des Grundrechts auf informationelle Selbstbestimmung

Abb. 3: Datenschutz und Datensicherheit

Abb. 4: Die Werte- oder Schadensskala

Abb. 5: Die Häufigkeitsskala

Abb. 6: Beispiel für die Kennzeichnung von Risiken innerhalb der Risikomatrix

Abb. 7: Auftragsdatenverarbeitung bei Wartung durch Fremdpersonal.

1 Einleitung und Aufgabenstellung

Personalabteilungen in Unternehmen nutzen heute leistungsfähige IT-Systeme in nahezu jedem Tätigkeitsgebiet des Personalmanagements. Ihr Einsatzbereich beginnt bei der Bewerberauswahl und reicht von der Erfassung von Stammdaten eines Mitarbeiters bei seiner Einstellung über seine monatliche Lohn- und Gehaltsabrechnung bis hin zur betrieblichen Ruhegeldversorgung nach Ausscheiden aus dem Arbeitsverhältnis. Diese Informationssysteme werden üblicherweise Personalinformations- beziehungsweise Personalmanagementsysteme genannt.

Solche Systeme befassen sich überwiegend mit Daten, die unmittelbar oder mittelbar mit dem Beschäftigten in Beziehung stehen. Der Umgang mit diesen Daten ermöglicht dem Arbeitgeber ein erhebliches Maß an Leistungs- und Verhaltenskontrolle seiner Mitarbeiter und berührt mithin die Persönlichkeitsrechte der Betroffenen.

Zum Schutz der Arbeitnehmerdaten dienen die Datenschutzgesetze sowie auf kollektivrechtlicher Ebene das Betriebsverfassungsgesetz. Die Einhaltung der Datenschutzgesetze wird durch die Landesaufsichtsbehörden gewährleistet und ein Verstoß mit Bußgeldern sanktioniert. Dem Betriebsrat des Unternehmens stehen bei Verletzung seiner Mitbestimmungsrechte unter Umständen Unterlassungsansprüche zu, mit denen er die Durchführung von Maßnahmen des Arbeitgebers verhindern kann.

Ein primäres Ziel der Unternehmensleitung bei der Entwicklung und Einführung von Personalinformationssystemen muss es daher sein, die einschlägigen datenschutzrechtlichen und kollektivrechtlichen Regelungen zu beachten. Unterstützung findet der Arbeitgeber in der Person des Datenschutzbeauftragten, der ihm als Experte in wirtschaftlichen, rechtlichen, organisatorischen und IT-technischen Fragen beratend zur Seite stehen kann.

Durch die Einschaltung eines Datenschutzbeauftragten kann sich aber das Unternehmen nicht von etwaigen Datenschutzverstößen durch den Einsatz des Personalinformationssystems entlasten. Die Entscheidung über die Einführung konkreter Datenschutz- und Datensicherungsmaßnahmen obliegt weiterhin alleine dem Arbeitgeber. Er ist daher angehalten sich umfassend über seine datenschutzrechtlichen Pflichten und die Rechte der Betroffenen zu informieren. Dabei sind datenschutzrechtliche Vorgaben in allen Phasen der Projektentwicklung zu berücksichtigen.

Diese Arbeit ist ein Leitfaden, der der Unternehmensleitung und dem IT-Beauftragten des Unternehmens das bei der Entwicklung und Einführung von Personalinformationssystemen erforderliche datenschutzrechtliche Wissen vermittelt, spezifische Hinweise gibt und das Augenmerk für datenschutzrelevante Sicherheitslücken und Bedrohungen durch den Einsatz des Systems schult.

Anhand eines an die datenschutzrechtlich relevanten Aspekte angepassten Phasenmodells werden die für jede Phase (Planung, Analyse, Konzeption, Realisierung, Einführung und Nutzung) typischen Fragestellungen, die bei der Entwicklung und Einführung eines Personalinformationssystems auftreten, untersucht und beispielhaft Lösungen aufgezeigt. Es werden zum einen datenschutzrechtliche Themen des Entwicklungs- und Einführungsprozesses als solches untersucht (zum Beispiel: wie muss die Programmierung ausgeführt werden, um den datenschutzrechtlichen Anforderungen zu genügen oder welche Sicherheitsvorkehrungen müssen die Mitarbeiter der Personalabteilung beachten, wenn sie mit dem Personalinformationssystem arbeiten) und zum anderen werden die Vorgaben geprüft, denen das Anwendungssystem am Ende seiner Entwicklung nach den Datenschutzgesetzen entsprechen muss (zum Beispiel: welche Daten darf das Personalinformationssystem speichern), um einen ordnungsgemäßen Umgang mit den personenbezogenen Daten der Belegschaft zu gewährleisten.

Dabei erhebt dieser Leitfaden nicht den Anspruch auf Vollständigkeit. Die Fülle an Gesetzen, die einen datenschutzrechtlichen Bezug aufweisen, der Umfang an sicherheitsrechtlichen Bedrohungen für personenbezogene Daten im Unternehmen sowie die Vielfalt an möglichen Personalinformationssystemen machen eine umfassende und abschließende Untersuchung im Rahmen dieser Arbeit unmöglich. Vorrangiges Ziel dieser Ausarbeitungen ist es vielmehr, dass das Unternehmen mit Hilfe der hier vorgestellten Beispielsfälle in die Lage versetzt wird, im Rahmen eines konkreten Projektes sein erworbenes Wissen anzuwenden und unter Umständen für neue Problemstellungen zu abstrahieren.

Diese Arbeit gliedert sich wie folgt: Nach der Einleitung folgt im zweiten Teil eine Einführung in softwaretechnische, datenschutzrechtliche und betriebswirtschaftliche Begriffe und Hintergründe. Insbesondere wird ein datenschutzspezifisches Phasenmodell für die Einführung von Personalinformationssystemen vorgestellt, das als Richtschnur den Aufbau des dritten Teils bestimmt. Der dritte Teil befasst sich mit konkreten datenschutzrechtlichen Problemstellungen bei der Entwicklung und Einführung von Personalinformationssystemen und untersucht diese im Rahmen der Entwicklungsphasen des Phasenmodells. Der letzte Teil nennt einige zentrale Ergebnisse der Arbeit. Im Anhang VI sind die Ergebnisse des dritten Abschnitts für einen schnellen Überblick tabellarisch zusammengefasst.

2 Softwaretechnische, datenschutzrechtliche und betriebswirtschaftliche Grundlagen

2.1 Personalinformationssysteme

Unter einem Personalinformationssystem (oder auch Personalmanagementsystem) wird in dieser Arbeit ein IT-gestütztes System zur Steuerung und Optimierung von Aufgaben der Personalwirtschaft verstanden^[1].

Im Bereich der Personalwirtschaft gibt es zahlreiche unterschiedliche Aufgabenfelder (so zum Beispiel die Entgeltabrechnung, die Personalentwicklung, das Bewerbermanagement). Für die einzelnen Aufgabenfelder werden in der Regel eigenständige Personalinformationssysteme entwickelt. Die einzelnen Systeme (Module) können zu einem größeren Personalmanagementsystem zusammengeführt werden, wenn das für das betreffende Unternehmen sinnvoll ist. Ursprünglich gab es diese Module nur für die Entgeltabrechnung und die Zeitwirtschaft. Heutzutage findet sich kaum ein Bereich im Personalmanagement, bei dem es keine softwarebasierte Unterstützung der Arbeitsabläufe gibt^[2]. In der Praxis haben sich insbesondere Anwendungen zu den personalwirtschaftlichen Aufgaben der Personalplanung, der Personalentlohnung, des Personaleinsatzes, der Personalbeschaffung sowie der Personalentwicklung durchgesetzt^[3].

Um die Systemarchitektur von Personalinformationssystemen zu strukturieren, wird in der vorliegenden Arbeit ein klassisches Drei-Schichten-Modell^[4] verwandt. Dies besteht aus den Schichten:

- Datenerhaltungsschicht
- Anwendungsschicht und
- Präsentationsschicht

Ausgangsbasis für jede höhere Schicht sind dabei die Dienste und Ergebnisse der jeweils vorgelagerten Schicht^[5]. Basisschicht ist die Datenerhaltungsschicht, die der Abspeicherung und Verwaltung persistenter Daten dient^[6]. Darauf aufbauend folgt die Anwendungsschicht. Hier werden sämtliche fachlichen Funktionalitäten eines Systems realisiert. Dabei wird auf Daten aus der Datenerhaltungsschicht zurückgegriffen. Zuletzt bietet die Präsentationsschicht die nötige Schnittstelle zum Anwender des Systems, indem sie eine Benutzeroberfläche für die Ein- und Ausgabe der Daten bereithält^[7]. Die Ausführungen im dritten Teil dieser Arbeit befassen sich insbesondere mit den datenschutzrelevanten Funktionalitäten der Systeme der Anwendungsschicht.

Die Umsetzung dieses Schichtenmodells in ein konkretes Personalinformationssystem kann sowohl auf vertikaler als auch auf horizontaler Ebene homogen oder heterogen erfolgen. Auf vertikaler Ebene können die drei Schichten entweder durch schichtspezifische Einzelsysteme (modulare Architektur beziehungsweise heterogene Architektur) realisiert werden oder aber durch ein einheitliches schichtenübergreifendes Gesamtsystem (monolithische Architektur beziehungsweise homogene Architektur)^[8]. Auch auf horizontaler Ebene können verschiedenen Systeme zu einem Gesamtsystem (fragmentierte Architektur) zusammenwirken (in diesem Fall wäre jedoch eine Integrationsschicht erforderlich, um das Zusammenspiel der heterogenen Einzelkomponenten adäquat zu beschreiben).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1 Schichtenmodell und Systemarchitektur

Ob es sich im Einzelfall um eine monolithische oder modulare Architektur handelt, ist für die Problemstellungen dieser Arbeit nicht entscheidend; dementsprechend werden beide Architekturen gleichzeitig betrachtet. Auf die Behandlung datenschutzrechtlicher Fragen bei fragmentierten Architekturen (auf vertikaler und horizontaler Ebene stehen unterschiedliche Einzelsysteme zur Verfügung) wird in dieser Arbeit gänzlich verzichtet.

2.2 Datenschutz - Grundlagen

Bevor im dritten Teil dieser Arbeit auf die konkrete Anwendung datenschutzrechtlicher Anforderungen bei der Entwicklung und Einführung von Personalinformationssystemen eingegangen wird, muss geprüft werden, welche nationalen (und internationalen) Vorschriften Anwendung finden. Außerdem wird kurz die grundrechtliche Verankerung des Datenschutzes als informationelles Selbstbestimmungsrecht aufgezeigt.

Adressat dieser Ausführungen sind die für die Erhebung, Nutzung oder Verarbeitung der personenbezogenen Daten verantwortlichen Stellen^[9]. Dies wird im vorliegenden Untersuchungszusammenhang immer der Arbeitgeber (ein Unternehmen der Privatwirtschaft) sein, der für sein Unternehmen ein Personalinformationssystem einführen will. Sollte die softwaretechnische Entwicklung des Personalinformationssystems durch eine vom Arbeitgeber unabhängige Stelle erfolgen, so ist diese nur „Dritter“ im Sinne des Bundesdatenschutzgesetzes (§ 3 Abs.8 S.2 BDSG), mithin nicht unmittelbarer Adressat der datenschutzrechtlichen Vorgaben. Unter „Betroffener“ (§ 3 Abs.1 BDSG) ist im weiteren Verlauf dieser Untersuchungen der einzelne Arbeitnehmer zu verstehen, dessen persönliche Daten durch den Einsatz des Personalinformationssystems gefährdet werden könnten.

2.2.1 Die bei der Entwicklung und Einführung von PIS einschlägigen (datenschutzrechtlichen) Gesetze und Vorschriften

Datenschutzrechtlich relevante Verarbeitungszusammenhänge lassen sich heutzutage in fast jedem Lebensbereich finden. So kann es nicht überraschen, dass es auch kein einheitliches allumfassendes Datenschutzrecht gibt. Für einige Lebenssachverhalte sind bereichsspezifische Gesetze beziehungsweise spezialgesetzliche Normen erlassen worden (so zum Beispiel im Strafgesetzbuch für die ärztliche Schweigepflicht, im Sozialgesetzbuch X für den Schutz von Sozialdaten, in der Abgabenordnung für das Steuergeheimnis oder im Telemediengesetz für Teledienste) für andere gelten die allgemeinen bundes- und landesdatenschutzrechtlichen Bestimmungen.

Fraglich ist daher zunächst, ob es für den hier in Frage stehenden Bereich des Arbeitnehmerdatenschutzes ein bereichsspezifisches Gesetz gibt.

Auf Grund der Überwachungsvorfälle in einigen bedeutenden deutschen Unternehmen in den Jahren 2008/2009 wurde zwar im Februar 2009 als Sofortmaßnahme – und Zwischenlösung^[10] - eine Grundsatzregelung zum Datenschutz der Arbeitnehmer in das Bundesdatenschutzgesetz aufgenommen (§ 32 BDSG)^[11]. Weiterhin wurde mit dem am 4. September 2009 vom damaligen Bundesarbeitsminister Olaf Scholz vorgelegten Entwurf für ein Gesetz zum Datenschutz im Beschäftigungsverhältnis (Beschäftigtendatenschutzgesetz - BDatG) ein erster Schritt in Richtung eines umfassenden Beschäftigtendatenschutzes unternommen^[12]. Dieser Gesetzesentwurf konnte allerdings wegen der Neuwahlen nicht mehr im Bundestag behandelt werden. Im Koalitionsvertrag zwischen der Union und der FDP ist geregelt, dass der Beschäftigtendatenschutz nicht seperat geregelt, sondern eine eigene Passage im Bundesdatenschutzgesetz erhalten wird^[13]. Bis heute – und wenn man den Koalitionsvertrag heranzieht auch in näherer Zukunft – gibt es mithin kein die bestehenden Vorschriften und Gerichtsurteile zum Arbeitnehmerdatenschutz vereinheitlichendes Gesetz^[14].

Angesichts der fehlenden expliziten normativen Ausgangsgrundlage wird als nächstes untersucht, welche nationalen Gesetze und Bestimmungen bei der Entwicklung und Einführung von Personalinformationssystemen maßgeblich sind (horizontale Abgrenzung der allgemeinen und bereichsspezifischen Datenschutzbestimmungen). In Betracht kommen einzelne Vorschriften aus Spezialgesetzen (zum Beispiel dem Telemediengesetz oder dem Telekommunikationsgesetz) oder aber subsidiär das Bundesdatenschutz- beziehungsweise die Landesdatenschutzgesetze.

In einem weiteren Schritt wird geprüft, ob und inwiefern auch internationale Bestimmungen bei der Entwicklung und Einführung von Personalinformationssystemen zu berücksichtigen sind.

2.2.1.1 Definition und Abgrenzung der Anwendungsbereiche der verschiedenen Datenschutzregelungen auf horizontaler (nationaler) Ebene

Auf nationaler Ebene gibt es kein einheitliches Arbeitnehmerdatenschutzgesetz (siehe oben). Einschlägig für den Beschäftigtendatenschutz sind demnach primär vereinzelte Regelungen aus Spezialgesetzen (§ 1 Abs.3 S.1 BDSG). Soweit es keine spezialgesetzlichen Regelungen gibt, greifen die allgemeinen Datenschutzgesetzte (Bundesdatenschutzgesetz oder Landesdatenschutzgesetze).

2.2.1.1.1 Spezialgesetzliche Regelungen im Hinblick auf die Erstellung und Einführung von PIS

Im Bereich des Arbeitnehmerdatenschutzes gibt es zahlreiche spezialgesetzliche Vorschriften, die vorrangig vor den Bundes- und Landesdatenschutzgesetzen anzuwenden sind. Zu unterscheiden sind die Gesetze, die bei der Nutzung des Internets greifen (online-Gesetze) und Vorschriften, die unabhängig von der Übertragungsart von Bedeutung sind (offline-Gesetze). Fraglich ist, ob diese Gesetze auch für den hier zu untersuchenden Fall der Entwicklung und Einführung von Personalinformationssystemen greifen.

2.2.1.1.1.1 Spezialgesetzliche Online-Gesetze

Bei den so genannten online-Gesetzen handelt es sich um Gesetze, die Bestimmungen enthalten, die mit der Verwendung des Internets einhergehen. Die zwei bekanntesten Gesetze sind in diesem Zusammenhang das Telekommunikations- und das Telemediengesetz. Das Telekommunikationsgesetzes (TKG) gelangt zur Anwendung, wenn der angebotene Dienst ein Telekommunikationsdienst ist, also ein Dienst, der aus der Übertragung von Signalen über Telekommunikationsnetze besteht (rein technische Übertragung von Daten). Wichtigstes Beispiel für einen solchen Dienst ist das VoI-Protokoll. Das Telemediengesetz (TMG) hingegen greift ein, wenn neben der Übertragung von Signalen auch eine inhaltliche Dienstleistung angeboten wird, wie zum Beispiel bei den E-Mail-Diensten^[15]. Fraglich ist, ob diese Gesetze auch bei der elektronischen Kommunikation am Arbeitsplatz Anwendung finden.

Bei der Kommunikation am Arbeitsplatz über das Internet oder Intranet greifen die datenschutzrelevanten Regelungen des Telekommunikationsgesetzes oder des Telemediengesetzes nur dann ein, wenn der Arbeitgeber für seine Beschäftigten einen Telekommunikationsdienst bereitstellt. Der Arbeitgeber muss also als Anbieter von Telekommunikationsdiensten auftreten (§ 11 TMG) beziehungsweise die Bereitstellung geschäftsmäßig erbringen (§§ 3 Nr.10 und 91 TKG). Dies ist bei der Bereitstellung von Kommunikationseinrichtungen im Rahmen von Arbeitsverhältnissen jedoch zu verneinen, soweit die Bereitstellung zu rein dienstlichen Zwecken erfolgt^[16]. Nur wenn der Arbeitgeber die Kommunikationseinrichtungen auch zur privaten Nutzung zur Verfügung stellt, liegt für diese Sachverhalte ein nach dem Telemediengesetz gefordertes Anbieter-Nutzer-Verhältnis respektive eine nach dem Telekommunikationsgesetz geforderte geschäftsmäßige Erbringung von Telekommunikationsleistungen gegenüber Dritten vor^[17].

Da im Rahmen dieser Arbeit nur datenschutzrechtliche Fragestellungen im Zusammenhang mit der Entwicklung und Einführung von Personalinformationssystemen behandelt werden und die in diesem Zusammenhang bei der Nutzung des Internets/Intranets entstehenden Daten nur für eine dienstliche Nutzung vorgesehen sind, kommen weder das Telekommunikationsgesetz noch das Telemediengesetz als vorrangige spezialgesetzliche Regelungen in Betracht.

Ein weiteres online-Gesetz, dass insbesondere im Rahmen von datenschutzrechtlichen Fragestellungen im Bereich des E-Commerce Anwendung findet, ist das Signaturgesetz. Regelungsgegenstand dieses Gesetzes ist es, Rahmenbedingungen für elektronische Signaturen zu schaffen. Im Kontext dieser Arbeit wird davon ausgegangen, dass elektronische Signaturen grundsätzlich keine Rolle bei der Entwicklung und Einführung von Personalinformationssystemen spielen, mithin das Signaturgesetz keine Anwendung findet.

2.2.1.1.1.2 Spezialgesetzliche Offline-Gesetze

Der Katalog an Vorschriften, die unabhängig von der Übertragungsart eine Übermittlung oder Nutzung von personenbezogenen Daten der Beschäftigten regeln, ist umfangreich. Aufgrund gesetzlicher Normen sind über 200 Einzelangaben nach mehr als 100 Gesetzen und Verordnungen zu führen und nach mehr als 300 Vorschriften sind über 200 Datenübermittlungen erforderlich^[18]. Zu nennen sind in diesem Zusammenhang insbesondere die Regelungen der Datenerfassungs- und –Übermittlungsverordnung (DEÜV), die anzuwenden sind, wenn der Arbeitgeber bestimmte Meldungen nach dem Sozialgesetzbuch machen muss, Bestimmungen aus den Sozialgesetzbüchern, Vorschriften des Jugendarbeits,- Mutter- und Schwerbehindertenschutzes sowie Meldungen nach dem Arbeitnehmerüberlassungs- oder dem Arbeitszeitgesetz. Diese Vorschriften sind vorrangig vor den allgemeinen Datenschutzgesetzen (BDSG oder LDSG) anzuwenden.

2.2.1.1.2 Allgemeiner Datenschutz nach dem BDSG bei der Erstellung und Einführung von PIS

Soweit im konkreten Einzelfall keine spezialgesetzlichen Vorschriften eingreifen, finden die allgemeinen Datenschutzgesetze Anwendung. Allgemeine Regelungen zum Datenschutz finden sich zum einen im Bundesdatenschutzgesetz (BDSG) und zum anderen in den verschiedenen Landesdatenschutzgesetzen (LDSG). Es ist daher zu klären, ob für die vorliegenden Untersuchungen Bundes- oder Landesrecht gilt.

Über die Frage, ob für den Arbeitnehmerdatenschutz das Bundes- oder das entsprechende Landesdatenschutzgesetz eingreift, gibt das Grundgesetz Auskunft. Die Grundsatzregelung steht in Art. 70 Abs. 1 GG. Danach steht den Ländern das Recht zur Gesetzgebung zu, soweit das Grundgesetz dem Bund keine entgegenstehende Gesetzgebungsbefugnis erteilt. Für den Bereich des Datenschutzes gibt es im Grundgesetz keine spezifische Gesetzgebungsbefugnis des Bundes. Aufgrund der Vielfalt der im Bundesdatenschutzgesetz angesprochenen Verarbeitungszusammenhänge gibt es auch keinen einheitlichen, die gesamte Regelungsbreite des Datenschutzes abdeckenden Anknüpfungspunkt für eine einheitliche landes- oder bundesrechtliche Gesetzgebungsbefugnis. Die Kompetenz des Bundes beziehungsweise Landes für den Erlass von Datenschutzgesetzen orientiert sich daher je nach Einzelfall am Regelungsgegenstand der jeweiligen bereichsspezifischen Materie. Im Rahmen der vorliegenden Untersuchung geht es um den Datenschutz im Rahmen von Arbeitsverhältnissen. Diese Materie lässt sich dem Arbeitsrecht zuordnen. Für das Arbeitsrecht erteilt das Grundgesetz dem Bund die konkurrierende Gesetzgebungsbefugnis nach Art. 74 Abs.1 Nr.12 GG. Die Länder sind in diesem Fall nur dann befugt eigene Gesetze zu erlassen, wenn der Bund von seiner Gesetzgebungsbefugnis keinen Gebrauch gemacht hat. Dies ist jedoch nicht der Fall: mit dem Bundesdatenschutzgesetz hat der Bund ein Gesetz erlassen, das zwar nicht bereichsspezifisch, jedoch allgemein den Datenschutz der Beschäftigten regelt. Soweit also arbeitsrechtliche Sachverhalte betroffen sind, verdrängt das Bundesrecht das Landesrecht, mithin das Bundesdatenschutzgesetz die Landesdatenschutzgesetze.

2.2.1.1.3 Berücksichtigung des Betriebsverfassungsgesetzes bei der Erstellung und Einführung von PIS

Das Bundesdatenschutzgesetz stellt ein individualrechtliches Regelungssystem auf, indem es dem Datenverarbeiter bestimmte Pflichten auferlegt und dem Betroffenen Rechte gegenüber der Daten verarbeitenden Stelle einräumt^[19]. Eine Einschaltung kollektiver Interessenvertretungen wie zum Beispiel dem Betriebsrat, ist in diesem Gesetz nicht geregelt. Aus diesem Grund sind bei der Entwicklung und Einführung von Personalinformationssystemen neben dem Bundesdatenschutzgesetz und einzelnen spezialgesetzlichen Eingriffsgrundlagen grundsätzlich auch die Vorschriften des Betriebsverfassungsgesetzes (BetrVG) zu berücksichtigen.

Auf kollektivrechtlicher Ebene gibt es weiterhin Tarifverträge, die im Einzelfall Anwendung finden können. Dabei kann der Tarifvertrag zum einen datenschutzrechtliche Aspekte, die den Inhalt, den Abschluss oder die Beendigung von Arbeitsverhältnisses ordnen, regeln und zum anderen Rechtsnormen zu betrieblichen oder betriebsverfassungsrechtlichen Fragen (§ 1 Abs.1 TVG) enthalten.

2.2.1.2 Definition und Abgrenzung der Anwendungsbereiche der verschiedenen Datenschutzregelungen auf vertikaler (internationaler) Ebene

Es gibt eine Vielzahl internationaler, europäischer und unionsrechtlicher Bestimmungen zum Datenschutz. Zu klären ist, ob diese für die vorliegenden Untersuchungen maßgeblich sind.

2.2.1.2.1 Internationale Regelungen

Auf internationaler Ebene gibt es die von der Generalversammlung der Vereinten Nationen 1990 aufgestellten „Richtlinien betreffend personenbezogene Daten in automatisierten Dateien“ oder die vom Ministerrat der OECD 1980 verabschiedeten „Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten“^[20]. Da diese Regelungen völkerrechtlich nicht verpflichtend sind und nur einen empfehlenden Charakter an die Mitgliedsstaaten haben, sind sie für den vorliegenden Leitfaden irrelevant.

2.2.1.2.2 Europäische Regelungen – Europarecht im weiteren Sinne

Auf europäischer Ebene besteht mit Art. 8 Abs. 1 EMRK ein Grundrecht auf Achtung des Privatlebens und der Korrespondenz, dass zwar in Deutschland formell nur den Status eines einfachen Gesetzes hat, vom Bundesverfassungsgericht aber so ausgelegt wird, dass es de facto verfassungsrechtlichen Rang hat^[21]. Weiterhin gibt es die 1985 in Kraft getretene und völkerrechtlich verbindliche Datenschutz-Konvention des Europarats, die letztendlich auch als Vorlage für die erste allgemeine Datenschutzrichtlinie der EG diente. Sowohl die europäische Menschenrechtskonvention als auch die Datenschutz-Konvention beruhen auf völkerrechtlichen Verträgen zwischen den teilnehmenden Staaten. Solange es keinen expliziten innerstaatlichen Umsetzungsakt gibt, erzeugt ihr Recht mithin keine unmittelbare Rechtswirkung innerhalb der mitgliedsstaatlichen Rechtsordnung, sondern berechtigt und verpflichtet nur die Staaten selbst^[22]. Diese Regelungen sind mithin nicht unmittelbar auf die Rechtsbeziehung zwischen dem Arbeitgeber und seinen Arbeitnehmern anwendbar.

2.2.1.2.3 Unionsrechtliche Regelungen – Europarecht im engeren Sinne

Auf unionsrechtlicher Ebene muss zwischen dem Primärrecht und dem Sekundärrecht unterschieden werden. Das Primärrecht ist das ranghöchste Recht der Europäischen Union und steht quasi wie eine nationale Verfassung an der Spitze der Rechtsordnung. Es besteht in erster Linie aus den völkerrechtlich verbindlichen Verträgen zur Gründung der Europäischen Gemeinschaften und der Europäischen Union. Das vom Primärrecht abgeleitete Sekundärrecht sind die von den Organen der Europäischen Gemeinschaft erlassenen Rechtsakte (Verordnungen, Richtlinien, Entscheidungen und rechtlich nicht verbindliche Empfehlungen).

Im Rahmen des geltenden Primärrechts bildet Art. 286 EG die einzige explizit datenschutzrechtliche Gesetzgebungsgrundlage^[23]. Artikel 286 EG regelt die Geltungserweiterung des an die Mitgliedsstaaten gerichteten richtliniengestützten europäischen Datenschutzrechts auf die Organe und Einrichtungen der Gemeinschaft. Da es sich um keine Regelung mit Außenwirkung handelt, kann ihr keine unmittelbare Wirkung innerhalb der Mitgliedsstaaten zukommen. Art. 7 der EU-Charta (entspricht weitestgehend Art. 8 EMRK) und Art. 8 der EU-Charta (normiert explizit ein Datenschutzgrundrecht) sind schließlich am 1. Dezember 2009 in Kraft getreten. Die Grundrechtecharta bindet die Gemeinschaftsorgane und die Organe der Mitgliedstaaten, soweit diese Gemeinschaftsrecht ausführen. Eine Geltung im Privatrechtsverhältnis besteht grundsätzlich nicht.

Auf sekundärrechtlicher Ebene prägen gegenwärtig drei Richtlinien des Gemeinschaftsrechts die nationale Datenschutzgesetzgebung der Mitgliedsstaaten der Europäischen Union:

- Richtlinie vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
- Richtlinie vom 12.7.2002 über die Verarbeitung personenbezogener Daten und zum Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) und
- Richtlinie vom 15.3.2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden.

Die unmittelbare Wirkung des Sekundärrechts hängt vom jeweiligen Rechtsakt ab. Für Rechtsverordnungen gilt der Grundsatz der unmittelbaren Wirkung uneingeschränkt, bei Richtlinien ist zu differenzieren:

Richtlinien wirken grundsätzlich nicht unmittelbar. Für ihre Anwendbarkeit in den Mitgliedsstaaten bedarf es grundsätzlich einer innerstaatlichen Umsetzung durch ein förmliches Gesetz. Nur in Ausnahmefällen, nämlich wenn eine Richtlinie nicht fristgerecht oder nicht ordnungsgemäß umgesetzt wurde, kann sie unmittelbar wirken^[24]. Vorraussetzung dafür ist aber, dass die Richtlinienbestimmung inhaltlich so genau und konkret gefasst ist, dass sie sich zu einer unmittelbaren Anwendung eignet und keine unmittelbare Verpflichtung für einen Einzelnen beinhaltet. Diese Ausnahme gilt jedoch nur zwischen den Bürgern und dem Staat. Eine unmittelbare Wirkung von Richtlinien unter Privaten ist somit in jedem Fall ausgeschlossen.

Die drei Richtlinien des Gemeinschaftsrechts richten sich an die Gesetzgebungsorgane der Mitgliedsstaaten und fordern von diesen eine Umsetzung und Berücksichtigung im nationalen Recht. In dieser Arbeit wird untersucht, inwieweit private Unternehmen bei der Erstellung und Einführung von Personalinformationssystemen datenschutzrechtliche Belange der Mitarbeiter berücksichtigen müssen. Es handelt sich mithin um Fragestellungen im Rahmen von privatrechtlichen Beziehungen, sodass auch die Richtlinien für die vorliegende Arbeit keine weitere Bedeutung haben.

Für die weiteren Ausführungen sind nur die Vorschriften des nationalen Rechts (BDSG, BetrVG und vereinzelte spezialgesetzliche Bestimmungen) anwendbar.

2.2.1.3 Zwischenergebnis: Anwendbarkeit nationaler und/oder internationaler Rechtsvorschriften bei der Entwicklung und Einführung von PIS

Zusammenfassend sind hier noch einmal alle relevanten gesetzlichen Regelungen und ihre Anwendbarkeit auf Fragestellungen im Zusammenhang mit der Entwicklung und Einführung von Personalinformationssystemen in nicht öffentlichen Unternehmen aufgeführt.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: gesetzliche Regelungen und ihre Anwendbarkeit auf Fragestellungen im Zusammenhang mit der Entwicklung und Einführung von Personalinformationssystemen.

2.2.2 Das informationelle Selbstbestimmungsrecht als Grundlage für den Datenschutz in Deutschland

Ausgangspunkt für den Umfang und die Wirkung des Datenschutzes ist dessen grundrechtliche Verankerung als informationelles Selbstbestimmungsrecht. Dieses Grundrecht kann man unter den Schutzbereich des im Grundgesetz in den Artikeln 2 Abs. 1 GG und 1 Abs. 1 GG verankerten allgemeinen Persönlichkeitsrechts subsumieren. Mit dem Volkszählungsurteil^[25] wurde das informationelle Selbstbestimmungsrecht durch das Bundesverfassungsgericht im Jahr 1983 offiziell etabliert. Dort heißt es:

„Das Grundrecht gewährleistet […..] die Befugnis des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“

Das Recht auf informationelle Selbstbestimmung wird jedoch nicht schrankenlos gewährt. Der Einzelne muss Einschränkungen akzeptieren, wenn diese im überwiegenden Allgemeininteresse erfolgen^[26] und der Eingriff bestimmten Anforderungen genügt.

2.3 Ein angepasstes Phasenmodell zur systematischen Abhandlung der datenschutzrechtlichen Fragestellungen

Um mögliche Gefährdungen des informationellen Selbstbestimmungsrechts der Beschäftigten und datensicherheitsrechtliche Risiken bei der Entwicklung und Einführung von Personalinformationssystemen von Beginn an zu minimieren ist es erforderlich, die relevanten Datenschutzanforderungen frühzeitig zu identifizieren und die daraus folgende Umsetzung in geeignete Datenschutz- und Datensicherheitsmaßnahmen sorgfältig zu strukturieren. Dazu ist es hilfreich, die für die Entwicklung und Einführung des Informationssystems erforderlichen Schritte in einzelne überschaubare Phasen zu zerlegen. Den einzelnen Phasen können dann konkrete Datenschutzanforderungen sowie Datenschutz- und Datensicherheitsmaßnahmen zeitlich und logisch zugeordnet werden.

Die Aufteilung der Entwicklungsschritte in einzelne Projektphasen (zum Beispiel Initialisierung, Entwurf und Inbetriebnahme) und alle dazu erforderlichen Aufgaben bezeichnet man als Systementwicklung^[27]. Um die Art der Durchführung und die Reihenfolge der Teilaufgaben einer Systementwicklung zu beschreiben, verwendet man so genannte Vorgehensmodelle^[28].

Im Folgenden werden zunächst einige klassische Vorgehensmodelle untersucht, um anschließend ein für den vorliegenden Leitfaden angepasstes datenschutzspezifisches Modell zu entwickeln.

2.3.1 Beschreibung von Vorgehensmodellen

In der Literatur werden unterschiedliche Vorgehensmodelle diskutiert, wobei hier nur einige wichtige dargestellt werden.

Zunächst gibt es die Modelle, die von einer schrittweisen Entwicklung des Gesamtsystems ausgehen (Phasen), wie zum Beispiel das Phasen-, Wasserfall- oder Spiralmodell.

Das Phasenmodell zergliedert den Lebenszyklus eines Systems bis zu seiner Inbetriebnahme in zeitlich und/oder logisch aufeinander folgende Aufgabenbereiche (Phasen). Bei der Bezeichnung und Einteilung der jeweiligen Phasen gibt es unterschiedliche Ansichten in der Literatur. Nach Schwarze gibt es folgende fünf Phasen^[29]:

- Initialisierungsphase
- Analysephase
- Entwurfsphase
- Realisierungsphase sowie
- Nutzungsphase

Eine Erweiterung des Phasenmodells ist das Wasserfallmodell. Der Hauptunterschied zum Phasenmodell besteht hier in der Rückkoppelungsmöglichkeit zwischen den Phasen durch eine Qualitätssicherung. Am Ende jeder Phase gibt es eine Qualitätskontrolle, die eine Überprüfung des Phasenergebnisses erzwingt und bei Nichteinhaltung der Qualitätsvorgaben der entsprechenden Phase ein Zurückspringen in eine frühere Phase ermöglicht^[30].

Die Weiterentwicklung des Wasserfallmodells ist das Spiralmodell. Dieses Modell zeigt in jeder Phase eine feste Folge von vier wiederkehrenden Aktivitäten (Zielbestimmung, Risikoanalyse und Prototyping, Durchführen der Phasenaktivität sowie Planung der nächsten Phase)^[31]. Hauptunterschied zum Wasserfallmodell sind das Prototyping und die Risikoanalyse in jeder einzelnen Phase.

Im Gegensatz zu den bisherigen drei Modellen wird bei der inkrementellen Systementwicklung keine zeitliche und/oder logische Abfolge von Entwicklungsschritten zu Grunde gelegt. Hier werden die zu entwickelnden Informationssysteme in einzelne Module zerlegt, die weitgehend autonom und zeitversetzt entwickelt werden können^[32].

Um den Entwicklungsprozess des Personalinformationssystems als solchen zu planen, sollte eine Organisation auf das Spiralmodell oder eine inkrementelle Systementwicklung zurückgreifen, da diese Modelle insbesondere bei größeren IT-Projekten der praktischen Vorgehensweise in der Realität entsprechen.

Für die Untersuchung der bei der Entwicklung und Einführung von Personalinformationssystemen zu berücksichtigenden datenschutzrelevanten Aspekte ist das klassische Phasenkonzept ausreichend. Eine Rückkoppelung oder ein Prototyping ist für die Darlegung theoretischer Datenschutzkonzepte überflüssig und wird erst dann relevant, wenn es um die praktische Umsetzung dieser Konzepte in realen Systemen geht.

2.3.2 Die einzelnen Phasen des datenschutzspezifischen Phasenmodells

Die Phasen, die für die weiteren Untersuchungen vorausgesetzt werden, sind angelehnt an ein klassisches Phasenmodell. Allerdings beziehen sich die Inhalte und Aufgaben, die in jeder Phase maßgeblich sind, ausschließlich auf datenschutzrelevante Aspekte.

2.3.2.1 Planungsphase

Ausgangslage jedes IT-Projekts ist zunächst ein aktuelles oder potentielles Problem im Unternehmen, dass man mit Hilfe von Software lösen möchte. Da es vorliegend um Personalinformationssysteme geht, wird es sich um Probleme aus dem Bereich der Personalwirtschaft handeln (zum Beispiel Einführung eines Beschaffungsmanagementsystems, um langwierige Auswahl- und Einstellungsverfahren effizienter zu gestalten).

In einem ersten Schritt muss das Unternehmen die für das geplante Softwareprojekt relevanten datenschutzrechtlichen Rahmenbedingungen identifizieren. Weiterhin muss es prüfen, ob diese Gesetze eine Beteiligung weitere Stellen (zum Beispiel des Betriebsrats oder des Datenschutzbeauftragten) voraussetzen oder aber ob aus wirtschaftlichen Gesichtspunkten eine frühzeitige Einbeziehung dieser Stellen sinnvoll ist. Abschließend sind die Voraussetzungen an eine Einbeziehung oder Beteiligung dieser Stellen zu untersuchen und die Aufgabenbereiche und Mitbestimmungsrechte inhaltlich abzugrenzen.

2.3.2.2 Analysephase

Im Rahmen der Analysephase muss der Arbeitgeber die in der Planungsphase identifizierten Datenschutzgesetze auf das geplante Personalinformationssystem anwenden. In einer ersten Prüfung muss festgestellt werden, ob aus datenschutzrechtlicher Sicht überhaupt weiterer Handlungsbedarf besteht. Dies ist nur dann der Fall, wenn durch den Einsatz des künftigen Personalinformationssystem in das informationelle Selbstbestimmungsrecht der Beschäftigten eingegriffen wird (Vorliegen eines Eingriffs). In einem zweiten Schritt werden dann die Anforderungen (Prinzipien und Grundsätze), nach denen ein Eingriff in das informationelle Selbstbestimmungsrecht der Betroffenen gerechtfertigt ist, untersucht.

2.3.2.3 Konzeptionsphase

In der Konzeptionsphase geht es um die Spezifikation der in der Analysephase identifizierten datenschutzrechtlichen Anforderungen in konkrete Datenschutz- und Datensicherheitsmaßnahmen. Es müssen spezifische Lösungen gefunden und entsprechende Algorithmen und Konzepte entwickelt werden. Die Ergebnisse werden in einem Datenschutz- sowie in einem Sicherheitskonzept dokumentiert.

2.3.2.4 Realisierungsphase

Die Ergebnisse der Konzeptionsphase werden in der Realisierungsphase in einer Programmiersprache codiert und getestet. Die Programmierung hat nach bestimmten Prinzipien zu erfolgen, um eine datenschutzrechtliche Kontrolle der Programme zu ermöglichen. Im Rahmen der Tests muss der Schutz der personenbezogenen Testdaten sichergestellt werden.

2.3.2.5 Einführungsphase

In der Einführungsphase wird das Personalinformationssystem in Betrieb genommen und entsprechende Umstellungsmaßnahmen werden durchgeführt. Mit Hilfe von Benutzerhandbüchern und Schulungen müssen den Beschäftigten die für den Umgang mit dem Personalinformationssystem erforderlichen datenschutzrechtlichen Kenntnisse sowie dessen Bedeutung vermittelt werden. Die Datenübernahme erfordert den besonderen Schutz des neuen und alten Datenbestandes.

2.3.2.6 Nutzungsphase

Während des laufenden Betriebs des Personalinformationssystems hat die Wartung eine besondere datenschutzrechtliche Relevanz. Die Wartung hat so zu erfolgen, dass das informationelle Selbstbestimmungsrecht der Beschäftigten nicht verletzt wird. Die Grundsätze der Auftragsdatenverarbeitung sind dabei zu berücksichtigen. Die in der Konzeptionsphase spezifizierten und im Rahmen der Schulungen eingeführten Datensicherheitsmaßnahmen müssen durch die Personalabteilung im Unternehmensalltag beachtet und umgesetzt werden.

3 Datenschutzrechtliche Anforderungen an die Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen bei der Entwicklung und Einführung von PIS

Im Rahmen des dritten Teils werden zum einen die datenschutzrechtlichen Anforderungen an das Personalinformationssystem als solches als auch die von den Mitarbeitern zu beachtenden Datensicherheitsmaßnahmen bei der Entwicklung und Einführung des Systems erläutert.

Neben dieser rein theoretischen Darstellung der juristischen und technischen Fakten wird der Unternehmensleitung zudem die Bedeutung und Wichtigkeit des Beschäftigtendatenschutzes und die Notwendigkeit, diesen als Bestandteil der Unternehmensstrategie zu sehen, vermittelt.

Die Unternehmensstrategie ist projektunabhängig und sollte schon vor der eigentlichen Systementwicklung feststehen. Die Unternehmensstrategie wird durch Unternehmensziele bestimmt. Zu den Unternehmenszielen gehören ökonomische und soziale Ziele sowie Macht- und Prestigeziele^[33].

Das für ein Unternehmen in der Regel wichtigste Ziel ist sicherlich das Gewinnstreben. Dieses Ziel scheint auf den ersten Blick in einem Zielkonflikt mit dem Datenschutz zu stehen, denn durch die Realisierung geeigneter Datenschutzmaßnahmen fallen zunächst einmal Kosten an: So entstehen zum Beispiel Personalkosten für die Bestellung eines Datenschutzbeauftragten, Lohnkosten wachsen auf Grund von Schulungsmaßnahmen und der Verstärkung der Datenschutzabteilung und Sachkosten steigen insbesondere durch die zu ergreifenden Sicherheitsmaßnahmen. Durch die Einschaltung eines Datenschutzbeauftragten können zudem Machtkonflikte innerhalb der Unternehmung auftreten, da der Datenschutzbeauftragte nicht den Weisungen der Unternehmensleitung untersteht. Ein unmittelbarer Nutzen scheint nicht ersichtlich und der eigentliche Vorteil einer Datenschutzmaßnahme wird häufig erst dann sichtbar, wenn ein Fall von Datenmissbrauch schon eingetreten oder eine Geldbuße festgesetzt worden ist^[34].

Im Zusammenhang mit der Bestellung eines Datenschutzbeauftragten während der Planungsphase wird beispielhaft gezeigt, dass diese Sichtweise zu einseitig und nicht haltbar ist.

3.1 Planung

In der Planungsphase muss das Unternehmen Vorüberlegungen zu den rechtlichen Rahmenbedingungen des Projektes treffen. Dabei werden die Unternehmensziele und die Unternehmensstrategie einen erheblichen Einfluss auf die zu wählenden Datenschutzmaßnahmen und den Einsatz, mit dem diese Maßnahmen im Unternehmen später umgesetzt werden, haben.

Zunächst muss Klarheit darüber bestehen, welche Gesetze oder Regelungen im konkreten Einzelfall Anwendung finden. In einem weiteren Schritt ist zu prüfen, ob diese Gesetze möglicherweise eine frühzeitige Beteiligung des Betriebsrats oder eine Bestellung des Datenschutzbeauftragten vor Aufnahme des Systembetriebs vorschreiben beziehungsweise eine solche Einbeziehung unter wirtschaftlichen oder sozialen Gesichtpunkten angebracht ist. Ist dies der Fall, muss geklärt werden, welche formalen und inhaltlichen Voraussetzungen an die Einbeziehung des Datenschutzbeauftragten oder des Betriebsrates gestellt werden und welche Reichweite ihre jeweiligen Mitwirkungs- respektive Beteiligungsrechte haben.

3.1.1 Anwendbarkeit des BDSG, BetrVG und von Tarifverträgen im Einzelfall

Im zweiten Teil dieser Arbeit wurde festgestellt, dass das Bundesdatenschutzgesetz grundsätzlich auf den Beschäftigtendatenschutz Anwendung findet. Der Arbeitgeber muss in der Planungsphase prüfen, ob das Bundesdatenschutzgesetz auch in seinem konkreten Einzelfall einschlägig ist. Dies ist nur dann der Fall, wenn sowohl der sachliche als auch der räumliche Anwendungsbereich des Bundesdatenschutzgesetzes eröffnet ist.

Gemäß § 1 Abs.2 Nr.3 BDSG ist das Bundesdatenschutzgesetz sachlich anwendbar, wenn es sich bei der verantwortlichen Stelle um

- eine nicht öffentliche Stelle handelt^[35] und diese
- Daten unter Einsatz von Datenverarbeitungsanlagen oder aus nicht automatisierten Dateien für nicht ausschließlich persönliche oder familiäre Tätigkeiten verarbeitet, nutzt oder dafür erhebt.

Als nicht-öffentliche Stelle definiert § 2 Abs.4 BDSG natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts; auf die Rechtsform kommt es hierbei nicht an. Weiterhin sollen die Daten aus dem Personalinformationssystem unter Einsatz von Datenverarbeitungsanlagen verarbeitet werden. Eine Datenverarbeitungsanlage^[36] gemäß § 3 Abs.2 BDSG ist zum Beispiel ein Computer. Zuletzt muss das Personalinformationssystem auch in dem Unternehmen eingeführt werden, um Mitarbeiterdaten für dienstliche Zwecke zu erheben, zu verarbeiten oder zu nutzen.

Auch der räumliche Anwendungsbereich muss eröffnet sein. Sofern der Sitz des Unternehmens in einem EU-Mitgliedsstaat ist, ist das jeweils nationale Datenschutzrecht, in dem die datenerhebende Stelle ihren Sitz hat, anwendbar, unabhängig davon, wo der Datenumgang stattfindet^[37], § 1 Abs.5 S.4 BDSG. Falls das Unternehmen jedoch eine Niederlassung in Deutschland hat, gilt grundsätzlich das Territorialprinzip, das bedeutet es gilt das deutsche Datenschutzrecht. Beim Umgang mit personenbezogenen Daten in Deutschland durch eine außerhalb der EU gelegene verantwortliche Stelle greift hingegen deutsches Datenschutzrecht ein^[38]. Das heißt, der räumliche Anwendungsbereich ist eröffnet, wenn

[...]

^[1] In der Literatur gibt es keine einheitliche Begriffsverwendung von Personalinformationssystemen. In seinem Buch über Personalinformationssysteme führt Finzer allein sechs unterschiedliche Auffassungen über mögliche Definitionen an (Finzer, Personalinformationssysteme für die betriebliche Personalplanung, S.13-17).

^[2] Friedel, Das Personalmanagement im Unternehmen, S.11.

^[3] Die Gruppierung der einzelnen Aufgabenbereiche aus dem Bereich der Personalwirtschaft ist dem Buch Olfert, Personalwirtschaft entnommen.

^[4] Auf eine vierte Integrationsschicht zur Beschreibung von heterogenen Systemen mit verschiedenen Anwendungssystemen wird hier verzichtet. Es wird mithin ein homogenes System vorausgesetzt.

^[5] Strohmeier, Informationssysteme im Personalmanagement, S.4.

^[6] Schwarze, Systementwicklung, S.7.

^[7] Strohmeier, Informationssysteme im Personalmanagement, S.5.

^[8] Strohmeier, Informationssysteme im Personalmanagement, S.6.

^[9] Legaldefinition in § 3 Abs.7 BDSG: Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

^[10] Schild/Tinnefeld, DuD 2009, 469 (470).

^[11] BMI, Bundeskabinett beschließt Grundsatzregelung zum Datenschutz der Arbeitnehmer.

^[12] BMAS, Scholz will Arbeitnehmer besser schützen.

^[13] Koalitionsvertrag (106).

^[14] Schild/Tinnefeld, DuD 2009, 469 (469).

^[15] Kühling, Datenschutzrecht, S.247.

^[16] Schild/Tinnefeld, DuD 2009, 469 (472); Gola, Datenschutz am Arbeitsplatz, Rn.154.

^[17] Gola, Datenschutz am Arbeitsplatz, Rn.130.

^[18] Taday, Informationelle Selbstbestimmung in IuK-Systemen, S.174.

^[19] Franz, Personalinformationssysteme und Betriebsverfassung, S.63.

^[20] Di Martino, Datenschutz im europäischen Recht, S.43.

^[21] Schweizer, DuD 2009, 462 (463).

^[22] Di Martino, Datenschutz im europäischen Recht, S.49.

^[23] Kühling, Datenschutzrecht, S.43.

^[24] Di Martino, Datenschutz im europäischen Recht, S.50.

^[25] BVerfGE 65, 1 ff.

^[26] Taday, Informationelle Selbstbestimmung in IuK-Systemen, S.55.

^[27] Schwarze, Systementwicklung, S.28.

^[28] Schwarze, Systementwicklung, S.45.

^[29] Schwarze, Systementwicklung, S.56.

^[30] Balzert: Lehrbuch der Software-Technik, S.100.

^[31] Balzert: Lehrbuch der Software-Technik, S.129.

^[32] Schwarze, Systementwicklung, S.59.

^[33] Taday, Informationelle Selbstbestimmung in IuK-Systemen, S.158.

^[34] Taday, Informationelle Selbstbestimmung in IuK-Systemen, S.162.

^[35] Für öffentliche Stellen gilt das BDSG natürlich gleichermaßen (§ 1 Abs.2 Nr.1 und Nr.2 BDSG), allerdings richten sich die Ergebnisse des vorliegenden Leitfadens nur an nicht-öffentliche Stellen.

^[36] Gabler Wirtschaftslexikon, Stichwort: elektronische Datenverarbeitungsanlage (EDVA).

^[37] Wächter, Datenschutz im Unternehmen, Rn.160.

^[38] Kühling, Datenschutzrecht, S.127.