People Performance Management – wenn die elektronische Leistungssteuerung ins Unternehmen einzieht

In den Personalabteilungen großer Unternehmen beginnt sich eine neue Klasse von Businessanwendungen auszubreiten: Die People Performance Management Systeme (PPM) bzw. Business Performance Management Systeme. Sie sollen Methoden, Tools und Prozesse zur Verbesserung der Leistungsfähigkeit und Profitabilität von Unternehmen durch effizientere Bewirtschaftung ihres Personals bereitstellen. Anbieter wie Stepstone Solutions sprechen auch etwas euphemistisch von „Talent Management“. Es ist also wohl noch offen, welche Bezeichnung sich letztlich für diese Form der Personalverwaltung durchsetzen wird.

Schon seit Jahren versuchen Unternehmen die Leistungsabgabe ihrer Beschäftigten zunehmend zu steigern und gleichzeitig besser verwaltbar zu machen, so dass sie gezielt gemanagt werden kann. Ein Instrument dazu ist die indirekte Steuerung als Managementprinzip. Die mit Hilfe evidenzbasierter Personalplanung und damit letztlich IT-gestützt umgesetzt wird.

Dabei fallen naturgemäß zahlreiche Daten an und es bedarf zum Managen der Mitarbeiterleistung definierter Prozesse, was es naheliegend erscheinen lässt, dazu spezielle Anwendungen einzusetzen. Zielvereinbarungen, freiwillige / ergebnisabhängige Entgeltbestandteile, Beurteilungen und Leistungsbewertungen, Fortbildungsmaßnahmen und Personalentwicklungsprogramme – alles was zur Potentialentwicklung, Selektion und optimalem Einsatz der Beschäftigten im Unternehmen eben so getan wird, soll mit dieser neuen Klasse von Anwendungen erfasst, verwaltet und gemanagt werden.

Mögliche, durch PPM-Systeme zu unterstützende Einsatzbereiche wären u.a. Leistungsbeurteilungen, Zielvereinbarungen sowie deren Monitoring, Auswahl von Beschäftigten für Schulungen, Personalentwicklungsprogramme oder interne Versetzungen. Aber auch interne Vergleiche mit anderen Beschäftigten oder Beschäftigtengruppen zur Optimierung der Leistung durch Wettbewerb und Auslesemechanismen. Wie es auch Stephen Baker bereits in seinem Buch „Die Numerati – Datenhaie und ihre geheimen Machenschaften“ beschreibt. Dort erläutert er einen neuen Ansatz von HR-Planungswerkzeugen zur evidenzbasierten Personalplanung, basierend auf mathematischen Modellen in Kombination mit Data-Mining-Technologien.

Klar ist jedoch, dass solche Systeme nur dann sinnvoll eingesetzt werden können, wenn Arbeitgeber darin weitaus mehr Daten  über ihre Beschäftigen ablegen und auswerten, als es zum Zwecke der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses „erforderlich“ i.S.d. BDSG ist. Zumal der Gesetzgeber aufgrund der zahlreichen Datenskandale in der Wirtschaft den einschlägigen § 32 BDSG neu und deutlich enger gefasst hat.

Das bringt insbesondere für betriebliche Datenschutzbeauftragte und Betriebsräte Arbeit mit sich, wenn ihr Unternehmen ein solches System zur besseren Leistungsbewirtschaftung des Personals einführen will, wie es z.B. die Fachzeitschrift „Computer & Arbeit“ in ihrer aktuellen Ausgabe 10/2009 in einem Artikel erläutert.

(der auf der Homepage des Autors Achim Thannheiser auch als PDF heruntergeladen werden kann)

Zumindest die Betriebsräte werden vor der Aufgabe stehen, ob sie die Einführung von PPM-Systemen gestalten oder verhindern wollen. Letzteres wäre durchaus möglich, da das BDSG solche Systeme bei entsprechend enger Auslegung des § 32 eigentlich unmöglich macht.

Gestalten wird auf jeden Fall bedeuten, zahlreiche Funktionen abzuschalten, einzuschränken sowie ihre Nutzung an klare nachprüfbare Regularien zu binden. Und so kommt auch Arbeitsrechtler Thannheiser zu dem Schluss, dass PPM-Systeme die Möglichkeit bieten, den gesamten arbeitenden Menschen zu durchleuchten. Und daher rät er den Mitbestimmungsorganen, Positivlisten mit zulässigen Nutzungen festzulegen, die alles sonst noch Mögliche als unzulässig ausschließen.

Vom Standpunkt der IT-Sicherheit sind PPM-Systeme dagegen nur ein weiterer Teil der Personaldatenverarbeitung, die denselben Schutzbedarf hat wie alle anderen HR-Systeme.

Wie die Rechtsprechung zum erst kürzlich reformierten Datenschutzgesetz mit dieser Art der Personaldatennutzung verfahren wird, ist derzeit noch offen. Es bleibt also spannend …

Die Datenbörsen der Arbeitsagentur

In den letzten zwei Wochen konnte man schon den Eindruck gewinnen, bzgl. des Datenschutzes hätte die Wirtschaft inzwischen jede Scham verloren. Ob Bewerber-Bluttests bei Daimler, Beiersdorf und Merck, Bruch des Bankgeheimnisses bei der Postbank, Datenklau bei SchülerVZ, neue Spitzeleien bei der Telekom oder Datenpannen bei Libri – praktisch jeden Tag gab es einen neuen Datenskandal. In einigen Fällen dürfte eine zu schwach aufgestellte IT-Sicherheit oder konzeptionelle Lücken in den Datenschutzbestrebungen der Firmen ursächlich gewesen sein. Oft jedoch auch eine gewisse „Herrenmenschenmentalität“ der jeweiligen Entscheider, die sich dachten „Datenschutz ist für andere – wir machen was wir wollen!“.

Eine besonders dicke Datenschutzsau treibe jedoch ausgerechnet die Agentur für Arbeit derzeit durchs bundesrepublikanische Dorf. Die Arbeitsagentur betreibt mit ihrer Jobbörse eine der größten Datenbanken Deutschlands. In ihr sind etwa 3.800.000 Profile arbeitslos gemeldeter Stellensuchender gespeichert. Darin können potentielle Arbeitgeber anonymisierte Profile, geordnet nach Fertigkeiten und Berufsklassifikationen recherchieren und bei Interesse den zuständigen Bearbeiter der Arbeitsagentur kontakten, damit dieser zwischen Arbeitgeber und Bewerber den direkten Kontakt herstellt. Kürzlich stellte sich aber heraus, dass sich jedermann in den System als „Arbeitgeber“ umtun konnte – auch wenn er weder Unternehmer oder Personaler war und schon gar keine offene Stelle hatte.  Und das er dabei auch an nicht anonymisierte Daten herankam, um sie ggf. auch in größeren Mengen herunterzuladen und für eigene Zwecke weiter nutzen zu können.

Spiegel Online hierzu:

Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht.

Wäre das schon happig, legte die Arbeitsagentur im Bereich Hartz-IV-Empfänger gleich noch nach. Denn das 4-PM („Vier-Phasen-Modell“) , ein System, über das gut 100.000 Mitarbeiter unter anderem Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen, Suchtprobleme und Verschuldung von Hartz-IV-Empfängern abrufen können, erwies sich als regelrechte Datenschleuder. Darüber können auch Mitarbeiter, die nichts mit der Betreuung der Arbeitslosen zu tun haben, nach sensiblen personenbezogenen Sozialdaten forschen. Und das bundesweit, also auch außerhalb des eigenen Zuständigkeitsbereiches. Ein Umstand der den Personalräten der Arbeitsagentur schon seit längerem Probleme bereitet. Weshalb sie sich nach wohl fruchtlosen Versuchen, das intern zu regeln, an die Presse wandten und die Sache auffliegen ließen. Sie haben erhebliche Bedenken zum Sozialdatenschutz und sehen das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Diese Bedenken der Personalräte in den Arbeitsagenturen teile ich. Zugleich zeugt das einmal mehr, wie wichtig Mitbestimmungsorgane für das Aufdecken und Angehen fauler Stellen in Wirtschaft und Verwaltung sind.

Zu welchen Formen des Missbrauchs solche Datenlecks führen können, zeigen Insider-Berichte aus der Arbeitsagentur: So wussten die Mitarbeiter der Argen schnell mehr über zwei bestimmte Kandidaten der Fernsehshow von Dieter Bohlen. Das Computersystem der Arbeitsagentur verzeichnete weit über 10.000 Zugriffe auf ihre Datensätze nach deren Auftritt, bei dem die Männer auch ihre zeitweilige Arbeitssuche erwähnten.

Es zeigt sich einmal mehr, dass viele Datenschutz- und Sicherheitsprobleme gar nicht auftreten würden, wenn man sich an banal wirkende Lehrbucherkenntnisse halten würde. Da große Datensammlungen, egal zu welchem Zweck angelegt, immer irgendwann außer Kontrolle geraten und Daten daraus „abfließen“ können, rät schon das Bundesdatenschutzgesetz zu Datensparsamkeit und Datenvermeidung. Daten die erst gar nicht anfallen oder erhoben werden, können auch nicht in falsche Hände geraten. Das ist das Hauptargument, das Datenschützer und Bürgerrechtsaktivisten gegen große zentrale Datensammlungen vorbringen.- Es wird nur leider viel zu selten berücksichtigt.

Zumal solche Datenschleudereien zumindest im öffentlichen Bereich folgenlos bleiben.

Bundesdatenschutzbeauftragter Peter Schaar hierzu in einem Interview mit Ole Reißmannauf Spiegel online:

Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

…

Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht – und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

Narrenfreiheit und Straflosigkeit für Behörden also. Egal was datentechnisch verbockt wird. Da dürften jegliche Anreize fehlen, zumal Stellungnahmen des Bundesdatenschutzbeauftragten für die Behörden wohl nur Empfehlungscharakter zu haben scheinen.

Und das obwohl Privatfirmen für gleichartige Verstöße durchaus zu sechsstelligen Geldstrafen sowie der Abführung der daraus gezogen Gewinne verurteilt werden können.

Man wird die öffentlichen und privaten Datenschleudern wohl nur dadurch stilllegen können, indem hart und unnachsichtig durch Prozesse, Urteile und Skandalisierung Klarheit darüber geschaffen wird, das Verstöße gegen den Datenschutz ähnlich geahndet werden, wie jene gegen das Eigentumsrecht (Betrug, Diebstahl …) oder das Recht auf körperliche Unversehrtheit (tätliche Angriffe, sexuelle Belästigungen …).

Da liegt ein ordentliches Stück Arbeit vor uns. Wird es jedoch angegangen, kann das insbesondere für professionell in der IT-Sicherheit Tätige eine Sonderkonjunktur bedeuten.

Schufa-Auskunft für den Chef – ist das legal?

Die Schufa sammelt und aggregiert zahlreiche Finanzdaten von Unternehmen und Verbrauchern. Über eine Schufa-Auskunft lässt sich u.a. ein Überblick über vorhandene Bankkonten, Kreditkarten und Handyverträge, laufende Kreditverpflichtungen aber auch Negativeinträge wie Informationen über nicht vertragsgemäße Abwicklungen von Geschäften (Mahnbescheide, geplatzte Schecks, Kreditprobleme) und Daten aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen wie z.B. den Schuldner- und Insolvenzverzeichnissen der Amtsgerichte gewinnen.

Daher gibt es Unternehmen, die im Rahmen ihres Risikomanagements von ihren Angestellten neben einem polizeilichen Führungszeugnis auch eine jährlich erneut vorzulegende Schufa-Selbstauskunft haben wollen. Bankgeheimnis hin oder her.

Doch ist das legal?

Schließlich darf ein Arbeitgeber gemäß § 32 BDSG personenbezogene Daten eines Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses erheben und nutzen. Und auch das nur dann, wenn es erforderlich ist. Reine Neugier oder Nützlichkeitserwägungen reichen also nicht. Und Schufa-Auskünfte enthalten außer Namen, Adresse und Kontonummer nichts, was für Zwecke des Beschäftigungsverhältnisses wirklich erforderlich ist.

Besonderes Interesse am Finanzstatus ihrer Beschäftigten haben Unternehmen des Wach- und Sicherheitsgewerbes. Dort will man – wohl auch angesichts branchenüblich magerer Entlohnung – sichergehen, dass die Fahrer von Geldtransporten eine finanziell gesehen einwandfreie Lebensführung aufweisen. Dazu nahm die Bundesvereinigung Deutscher Geld- und Wertdienste (BDGW), ein Arbeitgeberverband im Sicherheitsgewerbe im Rahmen eines satzungsgemäß für die Verbandsmitglieder verbindlichen jährlich erneut durchzuführenden „Sicherheitschecks“ die Anforderung auf, von Bewerbern Schufa-Selbstauskünfte einzufordern:

Der „klassische“ Sicherheits-Check 1 befasst sich vor allem mit baulich-technischen und personellen Anforderungen sowie der ordnungsgemäßen Durchführung von Geld- und Werttransporten. Überprüfungsschwerpunkte fangen bereits bei den Einstellungsvoraussetzungen für das Personal an. Hier werden wesentlich höhere Maßstäbe angelegt als in den meisten anderen Branchen. Die Vorlage eines polizeilichen Führungszeugnisses, eine ärztlich bestätigte physische und psychische Tauglichkeit, eine persönliche und eine Schufa-Selbstauskunft sowie eine Verschwiegenheitserklärung sind nur einige der Punkte, die von den Bewerbern verlangt werden.

(Quelle: BDGW-Imagebroschüre, PDF 1,2 MB)

Dumm nur, das so eine Klausel rechtlich gesehen die Verbindlichkeit eines Wunsches besitzt. Und in den Unternehmen, in denen ein Betriebsrat existiert, dieser diese Praxis unterbinden kann. Worauf kürzlich die Gewerkschaft Verdi in ihrem Brancheninfodienst „Sicherheitsnadel“ im Rahmen einer ausführlichen juristischen Stellungnahme hinwies.

Arbeitgeber müssen Gesetze einhalten. Da hat ihnen auch kein Betriebsrat dreinzureden. Mitbestimmung gibt es nur da, wo der Gesetzgeber dafür Spielräume gelassen oder explizit Mitbestimmungsrechte eingeräumt hat.

Verbandssatzungen sind aber keine Gesetze. Und sie dürfen auch kein gesetzeswidriges Verhalten zur Norm für die Verbandsmitglieder erheben (legt man das streng aus, könnte ein Verband deswegen sogar verboten werden). Durch sie werden zudem nur die Verbandsmitglieder zu etwas verpflichtet, nicht deren Beschäftigte.

Das Gleiche gilt auch für Verträge aller Art, wie z.B. Versicherungsverträge auf die sich in solchen Fällen auch gern mal bezogen wird. Ein Blick ins BGB zeigt in § 134 dass Verträge, deren Inhalt gegen Gesetze verstößt, nichtig sind.

(interessanter Nebenaspekt: Wie kann man aus einer potentiell nichtigen Versicherungspolice im Schadensfall Leistungen einfordern?)

Hin und wieder müssen ausgerechnet beufsgenossenschaftliche Unfallverhütungsvorschriften wie die für Wach- und Sicherungsdienste relevante Vorschrift BGV C7 „Besondere Bestimmungen für Geldtransporte“, herhalten, um einen gesetzesgleichen Anspruch auf das Einfordern von Schufa-Auskünften abzuleiten.  Eine Durchführungsanweisung zum § 24 (Eignung des Personals) könnte tatsächlich dahingehend ausgelegt werden:

Bei der Eignungsbeurteilung (des Bewerbers für den Wachdienst) ist insbesondere auch auf Unbescholtenheit sowie eine geordnete Lebensführung zu achten, z.B. durch die unbeschränkte Auskunft nach § 41 Abs. 1 Nr. 9 Bundeszentralregistergesetz (BZRG), polizeiliches Führungszeugnis, die aktuelle Schufa-Selbstauskunft.

Allerdings sind auch Durchführungsanweisungen nicht mehr als unverbindliche Handlungsempfehlungen und können gesetzliche Vorschriften wie das Bundesdatenschutzgesetz nicht außer Kraft setzen. Im Gegenteil: Es ist anzunehmen, dass solche Handlungsempfehlungen als Folge von Gesetzesänderungen und Rechtsprechung früher oder später geräuschlos korrigiert werden. Zum auch hier die Schufa-Auskunft nicht als Norm sondern als mögliches Beispiel zu deren Erfüllung genannt wird.

Die Tücke beim Umgang mit Rechtsquellen steckt demnach häufig in den Details, welche gelesen und auch verstanden werden wollen.

So kam auch Arbeitsrechtler Tobias Wolters in der „Sicherheitsnadel“ (Ausgabe 12, S. 7) zu dem Fazit, dass das Einfordern von Schufa-Auskünften von Beschäftigten oder Bewerbern zwar mit unter die Mitbestimmung des Betriebsrats fällt, da es um Fragen des Ordnungsverhaltens der Arbeitnehmer geht. Dieser aber keine entsprechende Betriebsvereinbarung abschließen kann, da auch Betriebsvereinbarungen (ähnlich wie Verträge) nichts Gesetzeswidriges enthalten dürfen.

Er empfiehlt daher das Thema Schufa-Auskünfte aus entsprechenden Verbandssatzungen, Versicherungsverträgen und Anmerkungen zu berufsgenossenschaftlichen Regeln komplett zu streichen.

Wer einmal seine eigene Schufa-Auskunft prüfen will, kann das unter www.meineschufa.de tun. Wer mehr über Scoring-Methoden generell erfahren will, dem bietet die Schufa unter www.scoring-wissen.de eine Einführung in das Thema an.

House of open Scrum 2009

Gestern habe ich an einer Vortragsveranstaltung zum Thema Scrum in Oberhaching teilgenommen. Scrum ist ein Vorgehensmodell für Softwareentwicklungsprojekte, das aus der Welt der agilen Methoden stammt. Scrum fördert die lokale Selbstorganisation von Entwicklerteams, indem es Konzepte aus dem Total-Quality-Management sowie dem Toyota-Produktionssystem auf die Softwareentwicklung überträgt.

Mehrere Referenten stellten Teilaspekte von Scrum sowie konkrete Anwendungen in der Praxis vor.

Andrea Tomasini erläuterte die wichtigsten Grundprinzipien von Scrum. Dazu zählen das Kontrollieren der arbeitslast und des Arbeitsflusses sowie die Vermeidung von Verschwendung (unnötige Entwicklung, Overengineering), das Fördern informeller Lernprozesse und der Austausch von Wissen, die schrittweise Verfeinerung von Produkten ebenso wie das häufige Bereitstellen von sauber durchgetesteten und dokumentierten Zwischenständen und Teilergebnissen.

Scrum bedeutet  im Prinzip, Entscheidungen soweit wie möglich auf die Entwicklerebene zu verlagern und Entwicklerteams lokale Selbstorganisation im Gegenzug für Ergebnisverantwortlichkeit zu ermöglichen. Während definierter Zeitfenster (Sprints) des konzentrierten Arbeitens am Produkt werden Anforderungen und Zielsetzungen stabil gehalten, während sie sich beim Wechsel von einem Sprint zum nächsten verändern dürfen. Auch Einmischungen und Störungen des Entwicklungsprozesses von außen werden so systematisch minimiert, um so Termintreue und Ergebnisqualität zu verbessern.

Christian Binder von Microsoft stellte die Prozessmodelle von Microsoft im Bereich der Entwicklung von Visual Studio vor und zeigte, wie man agiler Ansätze wie Scrum mit formalen Entwicklungsprozessen mit Tausenden von Beteiligten zusammenbringen kann. Interessant auch sein Hinweis auf die hohe Anzahl an Softwaretestern und Qualitätssicherern bei Microsoft. Auf jeden Entwickler kommt bei Microsoft ein Tester. Die Sicherheit und Qualität von Microsoft-Produkte soll als Konsequenz so mancher Kritik der letzten Jahre dauerhaft verbessert werden.

Jens Trompeter von itemis erklärte, wie man bei Festpreisprojekten zu guten Aufwandsabschätzungen kommt, in dem man die Beteiligten mit speziellen Spielkarten „Planning Poker“ spielen lässt. Das agiles Vorgehen in Softwareentwicklungprojekten nicht mit der Abwesenheit von Planung verwechselt werden darf. Und das es neben den „offiziellen“ Scrum-Rollen des Teams, des Scrum-Masters und des Product Owners auch die ebenso einflussreichen Rollen des Kunden, des (späteren) Nutzers der zu entwickelnden Software sowie des Managements gibt. Alle können sowohl zur Förderung als auch zur Behinderung des Projektfortschritts beitragen. Daher sieht das Scrum-Modell deren intensive Beteiligung am Projekt vor.

Susanne Mühlbauer von Hood zeigte, dass auch im iterativ vorgehenden Scrum-Modell ein systematisch betriebenes Anforderungsmanagement essentiell für gute Ergebnisse ist. Und wie es sich in die Teildisziplinen des Software-Engineerings mit einfügt.

Gerhard Müller und Martin Wagner vom Hauptsponsor TNG Technology Consulting stellten ihre Praxiserfahrungen mit Tools und Vorgehensweisen in Scrum-Projekten anschaulich zusammen und gaben Tipps zum Aufsetzen und Ausrüsten von Scrum-Projekten mit nützlicher Infrastruktur und Technik.

Mehrere Anbieter von Projektmanagement-Tools stellten vor, wie man mit Hilfe ihrer Produkte Scrum-Projekte einfach aufsetzen und managen kann. Zumindest was die administrativen Aspekte des Projektmanagements angeht, die man mit Tools gut handhaben kann.

Diese Management-Tools dürften dort, wo man sie einführt, auch das Interesse der Betriebsräte und Datenschutzbeauftragten (sofern vorhanden) wecken. Denn sie verarbeiten personenbezogene Daten und müssten deshalb Bestandteil des betrieblichen Verfahrensverzeichnisses werden. Und sie ermöglichen eine ins Detail gehende Leistungs- und Verhaltensüberwachung der in Scrum-Projekten Beschäftigten. Zum Teil ist das für die operative Kapazitätsplanung durch die Projektmanager zwar erforderlich. Aber die betriebliche Praxis zeigt leider auch, dass mit solchen Funktionen oftmals Missbrauch und Unsinn getrieben wird, falls man keine klaren Regelungen für ihre Nutzung trifft.

Alles in allem eine für mich sehr vielfältige und erkenntnisreiche Veranstaltung.

Datenschutzverband fordert Update für Betriebsvereinbarungen

Mit dem zum 01.09.2009 reformierten Bundesdatenschutzgesetz wurden im neuen § 32 Abs. 1 erste Ansätze eines Arbeitnehmerdatenschutzes implementiert. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur noch verwendet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

Bislang mussten diese Daten für ein Vertragsverhältnis lediglich dienlich sein. In der betrieblichen Praxis gab es dazu immer wieder unterschiedliche Auffassungen. Oftmals wurde dabei die Grenze des für das Beschäftigungsverhältnis wirklich Erforderlichen überschritten, so die Erfahrung der Datenschutzpraktiker des Arbeitskreises „Datenschutz in Recht und Praxis“ im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Für Unternehmen und Behörden besteht jetzt Handlungsbedarf, um die neuen Regelungen zur Stärkung der Persönlichkeitsrechte der Beschäftigten umzusetzen und Vorwürfen nunmehr unrechtmäßiger Datenverarbeitung vorzubeugen. Der Datenschützer-Arbeitskreis empfiehlt daher, die bestehenden Betriebs- und Dienstvereinbarungen zu IT-Anwendungen bezüglich der genutzten Daten, Infotypen, Auswertungen und Zugriffsberechtigungen zu überprüfen und ggf. zu ändern.

So sind Bewerberfragebögen – sowohl in Papierform als auch in Webformularen – auf das für das jeweilige Beschäftigungsverhältnis unbedingt Notwendige zu beschränken. Problematisch sind nach neuem Recht alle Fragen, die weder für die Ausübung der beabsichtigten Tätigkeit noch für die Eingliederung im Betrieb erforderlich sind.

Neben den Personal- und IT-Verantwortlichen sind insbesondere die betrieblichen Interessenvertretungen gefordert, deren Mitbestimmungsrechte bei vielen Personalfragen tangiert werden. Für die betrieblichen und behördlichen Datenschutzbeauftragten sind Prüfungen mit den strengeren Maßstäben der Erforderlichkeit geboten. Alle bisherigen (und künftigen) Vereinbarungen müssen sich an den tatsächlichen Erfordernissen für das Beschäftigungsverhältnis orientieren. Hier sind nach Meinung des Arbeitskreises vielerorts Korrekturen notwendig.

Früher oderspäter dürften sich dann auch IT-Revisoren und Wirtschaftsprüfer für solche Dinge interessieren, da es zu ihren Aufgaben zählt, auf das Entdecken und Abstellen von berichtsrelevanten Compliance-Probleme hinzuwirken.

Die neuen Bestimmungen gelten auch für alle nicht automatisierten Datenerhebungen wie Listen, Karteikarten und sogar Notizen mit personenbezogenen Inhalten in Schubladen oder Zettelkästen. Die Reichweite des neuen Datenschutzgesetzes wurde damit auf nichtelektronische Datenverarbeitung (z.B. in Form von „Nebenakten“ und „Handapparaten“ in den Schubladen mancher Vorgesetzter) ausgedehnt.

Zur Aufdeckung von Straftaten dürfen jetzt personenbezogene Daten eines Beschäftigten nur noch dann verwendet werden, wenn der nachweisbare Verdacht auf eine Straftat im Beschäftigungsverhältnis besteht. Zudem muss die Verwendung dieser Daten zur Aufdeckung der Straftat erforderlich sein. Das schutzwürdige Interesse des Beschäftigten muss hierbei gewahrt bleiben. Insbesondere dürfen Art und Ausmaß der Überwachung im Hinblick auf den Anlass nicht unverhältnismäßig sein. Auf der Suche nach korrupten Einkäufern und gesprächsfreudigen Führungskräften per Massendatenabgleich jeden HiWi im Betrieb durchleuchten zu wollen, wäre in jedem Falle unverhältnismäßig.

Die neuen Bestimmungen zum Beschäftigtendatenschutz sind ein erster Schritt in die richtige Richtung; sie ersetzen aber nicht das dringend notwendige und überfällige Arbeitnehmerdatenschutzgesetz.

Das neue Bundesdatenschutzgesetz

Am 01.09. dieses Jahres trat eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Die zahlreichen Datenschutzskandale in der Wirtschaft hatten eine lang andauernde und noch keineswegs abgeschlossene Diskussion über strengere Datenschutzstandards sowie das Schließen von Lücken in der Datenschutzgesetzgebung ausgelöst.

Allerdings sorgten Lobbydruck aus der Wirtschaft (speziell der kommerziellen Datenhändler) sowie ein genereller politischer Unwillen dafür, dass bei Fragen der Neuregelung der Datennutzung zum Zwecke der Werbung sowie der Markt- oder Meinungsforschung großzügige Übergangsfristen festgeschrieben werden. Manche im Gesetz enthaltene Veränderungen werden daher erst im Laufe der kommenden Jahre rechtswirksam.  Nicht zuletzt hatte ja auch das Finanzministerium Steuergelder zum Ankauf gestohlener Daten ausgegeben, um so geheime Auslandskonten deutscher Steuerzahler in Staaten mit starkem Bankgeheimnis aufspüren zu können.

Bereits zum 01.04. waren Veränderungen im Datenschutzgesetz in Kraft getreten, mit dem Ziel ausufernden Datenhandel und Scoring mit Hilfe intransparenter Geheimverfahren in den Griff zu bekommen. Gegenstand des nun zweiten Änderungspaketes im Datenschutz sind vor allem die Themen

•    Stärkung der Rechte des Datenschutzbeauftragten (§ 4f Abs. 3)
•    Ordnungsgemäße Auftragsdatenverarbeitung (§ 11 Abs. 2)
•    Umgang mit Adresshandel und Werbung (§ 28 Abs. 3, § 34 Abs. 1a)
•    Elementarer Arbeitnehmerdatenschutz (§ 32)
•    Mitteilungspflichten bei Datenschutzverstößen (§ 42a)
•    Erhöhung der Bußgelder (§ 43 Abs. 3)

Stärkung der Rechte des Datenschutzbeauftragten
Ein betrieblicher Datenschutzbeauftragter genießt jetzt ähnlich starken Kündigungsschutz wie ein Betriebsrat. Um sicherzustellen, dass seine Kenntnisse auf dem aktuellen Stand der Technik bleiben, muss er sich regelmäßig fortbilden. Sein Arbeitgeber muss ihm dazu die Teilnahme an Fortbildungen ermöglichen und die entstehenden Kosten übernehmen.

Auftragsdatenverarbeitung
Von Auftragsdatenverarbeitung spricht man, wenn jemand im Auftrag und nach Weisung eines anderen dessen Datenbestände erhebt, verarbeitet oder nutzt. Ein gutes Beispiel hierfür ist die betriebliche Lohnabrechnung, die von vielen kleineren und mittleren Unternehmen an Dienstleister abgegeben wird. Dabei verbleibt die Verantwortung für das korrekte Tun des Auftragnehmers beim Auftraggeber. Er muss durch entsprechende vertragliche Vereinbarungen und tatsächliche Prüfungen sicherstellen, dass der Auftragnehmer datenschutzrechtlich korrekt arbeitet.  Im Gegensatz zur bisherigen Rechtslage können Nachlässigkeiten hierbei nun mit Bußgeldern von bis zu 50.000 € pro Fall geahndet werden.

Adresshandel und Werbung
Bislang genossen Adresshändler das sogenannte „Listenprivileg“. Sie durften Verbraucherdaten in Tabellenform zu Werbezwecken und zu Zwecken der Markt- und Meinungsforschung an Dritte weitergeben, wenn darin nur bestimmte Kategorien von Daten enthalten waren. Das umstrittene Listenprivileg bleibt auch weiterhin erhalten. Allerdings müssen Unternehmen künftig den Empfänger eines Werbeschreibens darüber informieren, woher sie die über ihn vorhandenen Daten haben. Die Werbung zwischen Unternehmen (B2B) ist davon allerdings nicht betroffen.

Weitere Erleichterungen wurden für Werbemaßnahmen an Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach im Gesetz genauer definierten Transparenzgeboten normiert.

Zudem sind Adresshändler nun verpflichtet, die Herkunft der von ihnen verwendeten Daten sowie die Identität des Empfängers für zwei Jahre zu speichern. Denn bisher scheiterten datenschutzrechtliche Anfragen von Verbrauchern bei Adresshändlern häufig daran, dass diese über die Herkunft ihrer Daten keine Auskunft geben konnten (oder wollten). Dem soll so ein Ende gemacht werden.

Arbeitnehmerdatenschutz
Spitzelskandale wie z.B. die bei Lidl oder der Deutschen Bahn wurden von Verantwortlichen im Nachhinein mit dem Bedürfnis nach präventiven Maßnahmen gegen Wirtschaftskriminalität begründet. Auch wenn hier oftmals Zielsetzung und Vorgehensweise auch bei wohlwollender Betrachtung nicht zusammenpassen wollten. Jetzt dürfen Beschäftigtendaten nur noch bei konkretem und nachweisbarem Anfangsverdacht zur Aufdeckung von Straftaten verwendet werden. Es muss zudem eine Interessensabwägung zwischen den schutzwürdigen Interessen des Beschäftigten und denen des Arbeitgebers stattfinden und dokumentiert werden, die im Zweifel einer rechtlichen Überprüfung standhält.

Mitteilungspflichten
Kommt es in Unternehmen künftig zu einem datenschutzrechtlich relevanten Vorfall und wird dieser bemerkt, so müssen die davon Betroffenen sowie die Datenschutzaufsichtsbehörden informiert werden. Ein solcher Vorfall tritt stets dann ein, wenn es um folgende, besonders sensible Informationsarten geht:

1. Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben,
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen, Ordnungswidrigkeiten oder den Verdacht auf solches beziehen,
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Inhaltlich muss diese Information bestimmten Mindestanforderungen genügen und unverzüglich herausgegeben werden. Lediglich laufende Ermittlungen der Polizei dürfen die Benachrichtigung Betroffener zeitlich verzögern. Würde die Benachrichtigung aller Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen, können statt persönlicher Kontaktierung auch eine (mindestens) halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen oder andere vergleichbare Maßnahmen eingesetzt werden.

Fallbeispiel :
Dem Bereichsleiter Vertrieb wird auf einer Dienstreise der Laptop mit darauf gespeicherten Kunden- und Abrechnungsdaten gestohlen (schwerwiegende Beeinträchtigung der Rechte der Betroffenen). Er muss den Vorfall der zuständigen Aufsichtsbehörde melden. Sobald eine Information an die Betroffenen im Falle einer Strafanzeige einen polizeilichen Ermittlungserfolg (Diebstahl) nicht mehr gefährdet, müssen diese ebenfalls über den unrechtmäßigen Datenabfluss informiert werden.

Erhöhung der Bußgelder
Der Bußgeldrahmen für Verstöße gegen den Datenschutz wurde für einfache Verstöße auf 50.000 € und für schwerwiegende Verstöße auf 300.000 € pro Fall aufgestockt. Wurden aus Datenmissbrauch Gewinn gezogen, kann dieser durch höhere Bußgeldansätze eingezogen werden, da künftig der Grundsatz gilt, dass die Geldbuße den wirtschaftlichen Vorteil aus den Datenschutzverstößen übersteigen soll.

Zusammenfassend lässt sich sagen, dass ein Teil der Forderungen, den Datenschutzexperten bereits seit Jahren erheben, nun nach offensichtlichem Handlungsbedarf tatsächlich umgesetzt wurde. Es bleibt abzuwarten, in wie weit die personell nur sehr sparsam ausgestatteten Datenschutzaufsichtsbehörden jedoch überhaupt in der Lage sein werden, das Gesetz angemessen umzusetzen.

Allerdings halte ich es nur für eine Frage der Zeit, bis z.B. Verbraucherschutzverbände und Gewerkschaften öffentliche Datenbanken einrichten, in denen meldepflichtige Datenschutzverstöße allgemein zugänglich gesammelt werden. Der damit verbundene Reputationsverlust dürfe speziell große Unternehmen und Markenfirmen erheblich mehr treffen, als das (gewinnmindernde und daher steuerlich absetzbare) Bußgeld.

Wie so etwas aussehen könnte, ist unter http://datalossdb.org/, einer von der Open Security Foundation betriebenen öffentlichen Datenbank für datenschutzrelevante Sicherheitsprobleme, zu sehen (auch als RSS-Feed sowie über Twitter abonnierbar).

Neue ISO-Norm 38500 betont die Verantwortung der Geschäftsführung in der IT

Schon seit Jahren kann man es beobachten: Die technischen, organisatorischen und geschäftlich bedingten Herausforderungen in der IT steigen langsam aber kontinuierlich an. Da sind insbesondere rein managerial tätige Mitarbeiter zunehmend mit Komplexität und Umfang der Probleme überfordert.

Das ist deutlich am Drang hin zu Outsourcing, Outtasking, Offshoring, Rightsizing, Shared-Services, Virtualisierung, Cloud-Computing und allem anderen zu erkennen, dass die Auslagerung und Fremdvergabe von IT-Leistungen ermöglichen und beschleunigen soll. Weg mit den Problemen, weg mit der Verantwortung dafür und runter mit den Kosten.

Allerdings macht der Gesetzgeber zunehmend klar, dass Verantwortung und Sorgfaltspflichten nicht delegiert werden können. Was externe Dienstleister verbocken bleibt haftungsrechtlich am Auftraggeber hängen. Auf den Dienstleister verweisen und sich auf Unwissenheit, Dummheit und eine bequeme passive Kundenposition zurückzuziehen, wird im Zweifel vor Gericht nicht akzeptiert.

Das macht auch eine erst 2008 rundeerneuerte ISO-Norm, die ISO/IEC 38500:2008 „Corporate Governance of Information Technology“ deutlich. Sie definiert und beschreibt, wie Unternehmen eine auf Best Practices basierende IT-Governance aufbauen können. Gute IT-Governance ist eine Voraussetzung dafür, IT-Probleme, Komplexität und Kosten grundsätzlich in den Griff zu bekommen. Es ist absehbar, dass von IT-Dienstleistern aber auch von Auftraggebern bald entsprechende Vorleistungen in Form von zertifizierbaren Organisationsstrukturen als Vorbedingung für Aufträge gefordert werden dürften.

„Angesichts der bestehenden Frameworks wie ITIL, COBIT und anderer, die alle die Ausrichtung der IT an den Geschäftszielen zum Ziel haben, wirkt der Ruf nach einem neuen Regelwerk auf den ersten Blick verwunderlich“, erläutert so Dr. Gisela Böndgen, Business Consultant beim Beratungshaus Serview. „Was aber, wenn die Geschäftsstrategie und -ziele gar nicht bekannt sind und wenn keine klaren Vorgaben aus den Chefetagen vorliegen“, fragt sie.

Und das dürfte in vielen Unternehmen der Fall sein. Man ist schon froh die technischen Aspekte geregelt zu bekommen, ohne das die Kosten aus dem Ruder laufen.  Kommen dann aber noch organisatorische und rechtliche Themen mit hinzu, ist rasch ein Punkt erreicht, an dem den Geschäftsführungen und ihren internen „Beauftragten für alles“ das Know-how und die Ressourcen ausgehen.

Vor allem aber soll der neue Standard den vielen Auslegungen und Missverständnissen bei der Gestaltung der Corporate Governance ein Ende bereiten. „Das unterschiedliche Verständnis behindert den Erfolg vieler Unternehmungen, deshalb bedarf es verbindlicher Klarheiten, damit die Unternehmen einen höheren Mehrwert aus ihren IT-Investitionen ziehen und die Risiken besser managen können“ so Böndgen weiter.

Die ISO 38500 definiert sechs Grundprinzipien zur Gestaltung der Corporate Governance:

1. Verantwortung (Responsibility): Das Topmanagement sollte die IT-Belange des Unternehmens angemessen wahrnehmen.
2. Strategie (Strategy): Die unternehmensstrategische Planung muss mit Blick auf die IT-Potenziale erweitert und angepasst sowie die IT-Strategie aus den Unternehmensstrategien hergeleitet werden.
3. Beschaffung (Acquisition): Die Gestaltung der IT-Budgets muss sich im Rahmen transparenter Entscheidungsprozesse konsequent am tatsächlichen Bedarf anstatt an politisch gesetzten Größen orientieren.
4. Leistung (Performance): Die IT-Services und –Produkte sind gemäß den konkreten Anforderungen der Fach- und Organisationsbereiche des Unternehmens zu gestalten.
5. Regelkonformität (Conformance): Die IT hat allen rechtlichen Vorgaben, Normen, internen Standards etc. zu entsprechen.
6. Faktor Mensch (Human behaviour): Die IT-Konzepte müssen den Bedürfnissen der internen und externen IT-Nutzern hohe Aufmerksamkeit beimessen.

Diese sechs Prinzipien sind dabei nicht als unverbindliche Leitbildfloskeln zu verstehen. Sondern als Programmüberschriften, die mit entsprechenden unternehmensspezifischen Maßnahmen realisiert werden müssen.

Jedem dieser sechs Prinzipien sind in der Norm drei Funktionen zugeordnet, die insgesamt eine Matrix mit 18 Leistungsfeldern der Unternehmens-IT bilden:

•    Bewertung: Kontinuierliche Beurteilung des IT-Einsatzes im laufenden Betrieb.
•    Leitung: Steuerung einer bedarfsgerechten Ausrichtung der IT-Maßnahmen am Geschäft des Unternehmens (business alignment).
•    Kontrolle: Systematische Überwachung von Regelkonformität (compliance) und Leistungsfähigkeit der IT mit Hilfe von geeigneten Werkzeugen und Verfahren.

Der Standard soll dabei helfen, die IT Prozesse so einzurichten, dass alle internen und externen Regelwerke – wie zum Beispiel Richtlinien, Gesetze und Verträge – eingehalten werden können. Er zielt dabei nicht auf eine bestimmte Art oder Größe von Organisationen ab, sondern soll von Unternehmen, Behörden oder Non-Profit-Organisationen gleichermaßen eingesetzt werden können. Dabei wird „Control Objectives for IT“ (COBiT) als Referenz für die Richtlinien, Prozesse und Controls, welche für Aufbau und Umsetzung eines Governance Management Systems zu implementieren sind, empfohlen – so die Unternehmensberatung Serview, einer der Treiber des Themas in Deutschland auf seiner Unternehmenshomepage.

Und das ist ein Punkt an dem insbesondere IT-Sicherheitsbeauftragte, Datenschützer und Betriebsräte ebenso wie Projektleiter und Methodenspezialisten aufmerken sollten. Denn die ISO 38500 sowie das COBiT-Framework oder auch das ITIL-System beschreiben letztlich Verfahren zur Etablierung, Ausrichtung und Steuerung von informationstechnischen Prozessen, in denen es auch um Fragen der Compliance, der IT-Sicherheit und des Datenschutzes gehen kann. Und nicht zuletzt um die eingangs erwähnte Frage, was intern mit eigenen Beschäftigten getan wird. Und was an Externe und Dienstleister abgegeben werden soll.

Arbeitsgericht stellt klar: Cheffe’s E-Mails sind tabu!

Fälle wie dieser werden in der Fachliteratur regelmäßig zitiert, wenn es um die (Un)zulässigkeit des administrativen Ausspähens anderer Leute Mailboxen in der Firma geht: So wies das Landesarbeitsgericht München kürzlich die Kündigungsschutzklage eines Systemadministrators ab (Az. 11 Sa 54/09), der bereits 2007 wegen diverser dienstlicher Pflichtverletzungen gekündigt wurde. Konkret hatte er seine Admin-Rechte dazu genutzt, Dateien der Personalstelle zu lesen und in der Mailbox eines Geschäftsführers zu schnüffeln.

Erwischt wurde der Mann allerdings nicht durch wachsame Datenschützer sondern weil er auch noch so naiv war, mit den ausgedruckten Mails des einen Geschäftsführers zu einem anderen Geschäftsführer Firma zu gehen, um ihn dort anzuschwärzen.

Er brachte zu seiner Verteidigung u.a. vor, es habe zu seinen Aufgaben gehört, die Mails des betroffenen Geschäftsführers zu lesen. Die Firma bestritt dies.

Das Landesarbeitsgericht folgte dem und verwarf die Klage des Ex-Admins. Es begründete sein Urteil damit, dass nach herrschender Auffassung  der Missbrauch von Zugriffsrechten durch Systemadministratoren regelmäßig eine fristlose Kündigung ohne vorherige Abmahnung rechtfertigt. Dies wird fast immer als schwerwiegender Verstoß gegen arbeitsvertragliche Pflichten gewertet.

Die Richter bestätigten damit die vorinstanzliche Entscheidung des Arbeitsgerichts München sowie eine vergleichbare Entscheidung des Arbeitsgerichts Aachen, die bereits 2005 erging.

Daraus folgt das eigentlich Selbstverständliche: Als Admin wird nicht in den Daten anderer Leute geschnüffelt! Denn neben den unangenehmen arbeitsrechtlichen Folgen macht man sich auch strafbar, wenn man es ohne konkrete Anweisung von Berechtigten täte.

Und falls es dazu ausdrückliche Anweisungen von Vorgesetzten gibt, es doch zu tun, lässt man sich diese schriftlich und vom dafür Zeichnungsberechtigten unterschrieben geben.  Die Anweisung wird dann im Beisein eines Zeugen (z.B. des Betriebsrats oder des Datenschutzbeauftragten) umgesetzt, um sicherzugehen, dass nichts Illegales ohne Wissen der dafür Verantwortlichen geschieht.

Krise erhöht Datendiebstahlsrisiken in Unternehmen

Kürzlich veröffentlichte Cyber-Ark, ein Hersteller von Produkten für Identity-Management und sichere Datenaustausch, eine Studie mit brisanten Zahlen. Zwar sind Herstellerstudien immer etwas kritisch zu bewerten, interessante Informationen finden sich in ihnen aber fast immer.

Nicht zuletzt aufgrund der Wirtschaftskrise sinkt die Loyalität der ITler rapide und hat sich die Bereitschaft von IT-Beschäftigen, wichtige Firmeninterna ihres Arbeitgebers zu stehlen beträchtlich erhöht. Etwa bei Fusionsplänen von 7% (2008) auf 47% (2009), bei Forschungs- und Entwicklungsdaten von 13% auf 46% und bei privilegierten Passwörtern von 11% auf 46%.

Zwar basiert die Studie „Trust, Security & Passwords“ mit ihren zentralen Fragen nach Datendiebstahl und dafür in Frage kommenden Informationsarten lediglich auf der Befragung von etwa 400 IT-Mittelmanagern.

Aber es klingt durchaus plausibel, dass Firmen die einerseits zweistellige Renditen und 7-8-stellige Vorstandsgehälter anstreben und andererseits Beschäftigte entlassen oder kurz und kleinsparen, sich nicht mehr auf die Loyalität ihrer Leute verlassen können. Insbesondere wenn sich dort auch externe Mitarbeiter (Consultants, Leihkräfte etc.) mit entsprechender „Söldnermentalität“ sowie Praktikanten und befristet Beschäftigte in Größenordnungen die Klinke in die Hand geben.

Datenklau und Betriebsgeheimnisverrat als Form der „autonomen Lohnerhöhung“? Das dürfte die ohnehin von Datenschutzskandalen gebeutelten Firmen nun wirklich im unpassendsten Moment treffen.

20% der befragten Firmen gaben in der Studie an, bereits Opfer von Insider-Sabotage geworden zu sein, wie auch der Fachinformationsdienst IT-Grundschutz kürzlich berichtete.

Und viele der Firmen rüsten sich sicherheitstechnisch auf. Überwachte Admin-Accounts, verbessertes Rechte- und Rollenmanagement, Zutrittskontrollen und Videoüberwachung hochsensibler Firmenbereiche. Sowie der Einsatz von speziellen Produkten wie z.B. virtuelle sichere Datenräume oder Enterprise Rights Management (eine Art firmeninternes DRM), um nur noch sicheren, überwachten und (für sie Firma) transparenten Datenaustausch zuzulassen.

Das eigentliche Problem scheint aber nicht im Bereich der Technik sondern im Umgang mit den Mitarbeitern und der generellen Unternehmenspolitik zu liegen. Und dort ist es allein mit sicherheitstechnischen Maßnahmen auch nicht zu lösen. Verdorbenes Fleisch wird bekanntlich durch Zugabe von Likör auch nicht besser.

Dumm nur, dass sich die „Schadwetware“ in den Flanelletagen der Unternehmen mit Virenscannern und Pen-Tests nicht wirkungsvoll bekämpfen lässt. Obwohl hier z.B. Betriebsräte bei der Mitbestimung im Rahmen der Inbetriebnahme technischer Schutzmaßnahmen durchaus in der Lage wären, auch eine entsprechende Anpassung unternehmenspolitischer Rahmenbedingungen zu fordern und auch durchhzusetzen.

Eine Zusammenfassung der Studienergebnisse kann man sich bei Cyber-Ark kostenlos herunterladen.

Gutes Lizenzmanagement wird für Unternehmen zunehmend wichtiger

Immer mehr Unternehmen schaffen neue Positionen für Lizenzmanager. Deren Aufgabe ist es, den allgemeinen Wildwuchs an Software-Lizenzen im Unternehmen einzudämmen und sicherzustellen, Dass ein Unternehmen weder über- noch unterlizenziert ist. D.h. dass zu jedem benutzten Softwareprodukt die richtige Lizenz und der benötigten Menge erworben wird.

Überlizenzierung bedeutet, dass mehr Lizenzen gekauft wurden, als Software eingesetzt wird. Das ist z.B. bei falsch dimensionierten Volumenslizenzprogrammen oft der Fall und kann rasch teuer werden.

Ebenso kritisch ist Unterlizenzierung zu sehen. Das kann ebenfalls teuer werden, wenn ein Softwarehersteller zu unpassendsten Zeit Überprüfungen im Unternehmen durchführt (das Recht dazu behalten sich Anbieter oft im Kleingedruckten ihrer Lizenzverträge vor) oder schlicht Druck ausübt bzw. hart an Betrug und Schutzgelderpressung grenzende Geschäftsmodelle verfolgt.

Hinzu kommt die, durch das recht verwerterfreundlich gestaltete Urheberrecht ermöglichte enorme Vielfalt an Lizenzmodellen. Da lizenziert ein Hersteller nach Nutzern, der nächste nach Installationen, ein anderer nach Prozessoren im Rechner und wieder einer anderer nach Berechtigungsgruppen. Standardisierte, einheitliche Lizenzen haben sich nur im Open-Source-Bereich mit der GPL und Creative Commons durchgesetzt.

Auch können Schäden, die einem Unternehmen durch Falschlizenzierung entstehen, zur persönlichen Haftung der Geschäftsführer und Vorstände aufgrund verletzter kaufmännischer Sorgfaltspflichten führen – wenn dem nicht durch ein funktionierendes Lizenzmanagement vorgebeugt wird.

Das Thema Dokumentation des Lizenzbestandes ist zudem revisionsrelevant und wird zudem durch allesamt erst in den letzten Jahren neu erwachsene Pflichten wie SOX-Compliance oder Bewertungsvorschriften immaterieller Wirtschaftsgüter (zu denen die Lizenzen zählen) mit tangiert.

Hilfsmittel der Lizenzverwaltung ist ein funktionierendes Software Asset Management (SAM), also eine möglichst tagesaktuelle Bestandsverwaltung von Softwareprodukten und dazugehörigen Lizenzen, so dass ein Soll/Ist- Abgleich durchgeführt werden kann.  Dieses Monitoring erfordert aber im Prinzip eine dauerhafte und automatisierte Überwachungs- und Inventarisierungsmöglichkeit aller auf einen beliebigen Firmenrechner installierten Programme sowie ggf. eine Verknüpfung mit Personen. So wünschenswert das aus der Sicht der IT-Sicherheit sein mag, so problematisch ist es aus Sicht des Datenschutzes. Auch kann die dabei bewegte Datenmenge beträchtlich sein und entsprechend ausgestattete Datenbankserver erforderlich machen.

Mit dem Einsatz einer SAM-Software ist es jedoch noch nicht getan. Lizenzmanagement ist eine Funktion, die sowohl bei der Produktauswahl und der Softwarebeschaffung, als auch beim Vertragsmanagement (nicht jedes Lizenzmodell kann in jeder Lizenzmanagementsoftware abgebildet werden) sowie auch im Systembetrieb (Anbindung des Lizenzmanagements an die zentrale CMDB und die Inventarisierungssysteme) mit zu beteiligen und zu berücksichtigen ist.

Insgesamt ist das Handling der betrieblichen Lizenzvielfalt ein nicht zu unterschätzender Komplexitäts- und Kostentreiber. Das erfordert kluges Lizenzmanagement, um die damit verbundenen Kosten in Grenzen zu halten.