Datenschutzgesetz
Private E-Mails im Unternehmen verbieten
CIO.de: Der DGB und die Arbeitgeberverbände haben sich beide kritisch zu dem Entwurf geäußert. Ist das ein gutes Zeichen?
Nolte: Der Teufel steckt im Detail, man muss sich jeden einzelnen Kritikpunkt genau anschauen. Mal fühlt sich die Arbeitnehmerseite benachteiligt oder sieht eine Verschlechterung gegenüber dem Ist-Zustand. Auf der anderen Seite sagen die Arbeitgeber, dass sie viele der von ihnen verlangten Maßnahmen, besonders im Bereich Compliance, in Zukunft nicht mehr durchführen können. Das ist ein Dilemma.
IT-Abteilungen besonders betroffen - Compliance wird verhindert
CIO.de: In den USA werden Unternehmen abgestraft, weil sie bestimmte Compliance-Regeln nicht eingehalten haben. Wird es für die deutschen Unternehmen jetzt einfacher oder schwieriger?
Nolte: Jedenfalls nicht leichter. Das betrifft besonders die IT-Abteilungen von Unternehmen. Das neue Gesetz bringt eine gute Klarstellung, in dem es feststellt, dass Firmen Beschäftigtendaten zur Wahrnehmung von Leistungs- und Verhaltenskontrollen erheben darf. Aber verschiedene Einzelregelungen machen das Leben der Compliance-Verantwortlichen und des IT-Chef nicht leichter. Ja, sie verhindern sogar die Einhaltung von Compliance-Maßnahmen.
CIO.de: Das sollten wir uns im Einzelnen näher angucken.
Nolte: Automatisierte Datenabgleiche von vorhandenen Beschäftigtendaten werden jetzt erlaubt zur Aufklärung von Straftaten und – das ist neu – von schwerwiegenden Pflichtverletzungen. Im Gesetz wird dieses Verfahren beschrieben. Erst anonym: Habe ich einen konkreten Verdacht, darf ich auf die Personenverknüpfung zurückgreifen, auf den einzelnen Beschäftigten, der unter Verdacht steht, und kann weiter ermitteln. Das ist verhältnismäßig, angemessen und meines Erachtens auch richtig.
Schwierig ist aber das Thema der Datenverarbeitung und der Erhebung von Daten ohne Kenntnis der Betroffenen. Man kann ja in vielen Fällen nicht unmittelbar zu demjenigen gehen, den man im Verdacht hat, und ihm mitteilen, dass man dagegen Maßnahmen plant. Denn dann werden diese erfolglos ins Leere gehen. Der Gesetzgeber sagt jetzt, man muss einen konkreten Verdacht wegen einer Straftat oder einer schwerwiegenden Pflichtverletzung gegen einen bestimmten Beschäftigten haben. Nur dann dürfe der Arbeitgeber neue Daten erheben. Oft hat man aber nur einen Verdacht gegen eine Gruppe von Beschäftigten. Deswegen sollte man diese Regelung auf einen Geschäftsbereich oder eine Abteilung ausdehnen.