Der Streit um die Facebook-Buttons

Fast jeder kennt sie – die „Gefällt mir“-Buttons auf immer mehr Webseiten, mit denen man seinen Facebook-Kontakten ein Fundstück beim Surfen signalisieren kann. Wer seine Facebook-Kontakte entsprechend auswählt, bekommt dadurch einen interessensgerecht vorsortieren Nachrichtenfeed generiert und kann seinerseits anderen signalisieren, was ihn interessiert.

Wie genau funktioniert das?

Sobald man eine Website aufruft, die Facebook-Buttons enthält, werden Daten wie z.B. IP-Adresse, Referer und statistische Informationen an Facebook übermittelt. Ist man Facebook-Nutzer und am System angemeldet (dazu muss man es nicht mal offen haben) kann Facebook so recht genau mitverfolgen wo sich Facebook-Nutzer im Internet bewegen und was sie interessiert. Mit der Zeit kommen so relativ präzise und über den Inhalt des eigenen Profils weit hinausgehende Nutzerprofile zusammen. Dies lassen sich in aggregierter Form zum Zwecke von Reichweitenanalysen gut zu Geld machen.

Aber auch ohne eigenes Facebook-Profil kann die Firma ohne Einwilligung der Nutzer und ohne dass diese einen „Gefällt mir“-Button angeklickt hätten, unbemerkt Daten speichern und so beträchtliche Vorratsdatenbanken aufbauen.

Da es sich dabei zum Teil um personenbezogene bzw. personenbeziehbare Daten i.S.d. Bundesdatenschutzgesetzes handelt, wäre hierfür eine Einwilligung des Betroffenen einzuholen. Dabei wäre den Nutzern rechtsverbindlich mitzuteilen, worin sie einwilligen und zu welchen abschließend aufgeführten Zwecken ihre Daten verwendet werden Das fordern Datenschützer schon länger von Facebook. Doch die Firma, deren europäischer Hauptsitz in Dublin liegt, hatte diese Forderungen bislang ignoriert, da sie rechtlich von Deutschland aus nur schwer zu greifen ist. Auf diese Weise erzielt sie Konkurrenten mit Sitz in Deutschland gegenüber aus Sicht von Datenschützern unlautere Wettbewerbsvorteile. So hat Facebook allein im ersten Halbjahr 2011 weltweit etwa eine halbe Milliarde Euro Gewinn erzielt.

Das Kieler Unabhängige Landeszentrum für Datenschutz (ULD) beschloss daher das Problem vom anderen Ende her anzugehen und statt Facebook die in Deutschland rechtlich greifbareren Betreiber von .de-Websites, die Facebook-Buttons einbinden, rechtlich unter Druck zu setzen. Indirekt sollte so auch Facebook selber zum Handeln bewegt werden, da ansonsten vermehrt Websites angesichts möglicher fünfstelliger Geldbußen für Verstöße gegen das Datenschutzrecht die Buttons aus dem Netz nehmen und Facebooks Datenzuflüsse abklemmen würden. Eine umstrittene aber wirksame Vorgehensweise, da das Problem erst auf diesem Wege überhaupt einer breiteren Netzöffentlichkeit bewusst wurde. Bislang wurde es eher in der datenschutzrechtlichen Fachliteratur diskutiert.

Kürzlich schlugen Programmierer von Heise.de eine technische Lösung des Problems vor: den +2-Button. Dabei erscheinen Buttons sozialer Netzwerke wie Facebook oder Twitter zunächst inaktiv auf der Website und übermitteln keine Daten. Erst wenn der Nutzer sie anklickt werden sie aktiviert (erkennbar am Farbwechsel des Buttons) und ein zweiter Klick startet dann die damit verbundene Funktion. Doch auch das ist keine Einwilligung i.S.d. § 4a BDSG, da die rechtsverbindliche Mitteilung über Art, Umfang und Zweck der Datenübermittlung fehlt und auch unklar bleibt, wohin Daten übermittelt werden (z.B. auf Facebook-Server in den USA). Da die Entwickler den Quellcode freigaben, wurde die Idee rasch aufgegriffen und z.B. als Plugin für verbreitete Content-Management-Systeme wie WordPress umgesetzt.

Tatsächlich ist das Thema derzeit noch ungeklärt. Es gilt daher, die Entwicklung bei den technischen und rechtlichen Rahmenbedingungen für den Einsatz solcher „aktiven Codeelemente“ in Webauftritten speziell von Unternehmen im Blick zu behalten und sich ergebenden Compliance-Risiken konsequent entgegenzutreten.

Generell sollten sich Betreiber von Webauftritten zudem vergegenwärtigen, dass jedes Element, mit dem sie Code anderer Websites oder Dienste einbinden, ein potentielles Sicherheitsrisiko darstellt, Schließlich wissen sie nicht, was da im Einzelfall auf die Rechner ihrer Besucher und Kunden übertragen wird. Die Mehrzahl aller webbasierten Schadcodeverteilmechanismen macht sich solche Lücken zunutze und infiziert so ahnungslose Besucher von gut frequentierten Websites mit Schadsoftware.

Wurde die Schufa gehackt?

In den letzten Wochen gab es alle paar Tage Berichte in der Tagespresse über spektakuläre Hacks auf die Rechner von Unternehmen. Kürzlich musste sogar der Weltwährungsfonds eingestehen, unerwünschte „Gäste“ in seinen Systemen gehabt zu haben.

Und jetzt scheint die Schufa dran zu sein. Auf Gulli.com wurde über einen Angriff auf die Webserver der Wirtschaftsauskunftei berichtet, bei dem über Local File Inclusion Zugriffe auf dort vorhandene, aber nicht direkt zum Webangebot gehörende Daten möglich waren. Solche Attacken auf Webserver gehen üblicherweise Angriffen auf Systeme „weiter im Inneren“ einer Organisation voraus. Gleichzeitig sind sie aber auch Gradmesser für die Ernsthaftigkeit mit der eine Organisation IT-Sicherheit betreibt. Denn Webserver, die über leicht auffindbare Sicherheitslücken wie SQL Injection, File Inclusion und Cross-Site Scripting angegriffen werden können, deuten i.d.R. auf mangelndes operatives IT-Risikomanagement und fehlende Routinen zur sicherheitstechnischen Aktualisierung von außen erreichbarer Systeme hin. Der Hinweis an die Gulli-com-Redaktion kam von einer ungenannten Quelle und wurde von Sicherheitsexperten per Proof-of-Concept bestätigt. Auch Tagesschau.de griff das Thema auf und wies auf die Problematik der Kombination aus Massendatenspeicherung, fragwürdiger “Freiwilligkeit” der faktisch erzwungenen Datenabgabe durch Verbraucher und scheinbar laxe Sicherheitsstandards bei der Schufa hin.

„Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein und zeigt erneut, dass jede Form der personenbezogenen Datensammlung ein Sicherheitsproblem darstellt“, so Sebastian Nerz, angehender Informatiker und Bundesvorsitzender der Piratenpartei Deutschland in einer Pressemeldung. „Ob SCHUFA oder andere große Datenbestände wie die deutschen Zensusdaten, die digitalen Steuerdaten oder die Arbeitnehmer-Datenbank ELENA: Nur wenn Daten erst gar nicht gespeichert werden, sind sie vor unbefugten Zugriffen sicher. Datensparsamkeit muss daher oberstes Gebot sein. Leider ist diese Erkenntnis immer noch nicht in der Politik angekommen. Große Datenhalden werden nach wie vor als eine Lösung und nicht als Teil des Problems gesehen.“

Und die Daten der Schufa dürften in der Tat einen beträchtlichen Wert am Datenschwarzmarkt darstellen, falls es Hackern mit wirtschaftskriminellen Motiven gelänge sie zu erbeuten. Hat doch die Schufa eine monopolartige Position erreicht, die es Verbrauchern fast unmöglich macht, am täglichen Geschäftsverkehr teilzunehmen, ohne laufend standardisierte Schufa-Einwilligungsklauseln zu unterschreiben. Eine Praxis, die z.B. im Arbeitsrecht bereits dazu geführt hat, dass dort datenschutzrechtliche Einwilligungen aufgrund des Machtungleichgewichts zwischen Arbeitnehmern und Arbeitgebern als rechtlich unbeachtlich angesehen werden, da die „Freiwilligkeit“ ihres Zustandekommens bezweifelt wird. Die Schufa dürfte über einen deutschlandweit wohl einzigartigen Bestand an Finanzdaten fast aller Inhaber von Bankkonten, Handynutzern, Kreditnehmern oder Kartenzahlern besitzen. Die enormen Vorratsdatenbestände der privatwirtschaftlichen Schufa kamen nur durch die oligopolartige Stellung der Wirtschaftsauskunfteien zustande, die es Verbrauchern nahezu unmöglich macht, an ihnen vorbei Bankgeschäfte oder bargeldlose Zahlungen zu tätigen.

Eine solche Organisation ist aufgrund vieler Gründe ein herausforderndes Ziel für Hacker. Sei es als Versuch zu Ruhm und Anerkennung innerhalb der Szene zu kommen, sei es aus räuberischen Motiven, sei es im Rahmen eines Vergeltungsschlages gegen eine, ihrer Ansicht nach zu mächtig gewordene Organisation.

Die in der Überschrift gestellte Frage kann  man mittlerweile als bereits beantwortet ansehen. Denn David Vieira-Kurz, der Gulli-com den Proof-of-Concept geliefert sowie die Schufa-Verantwortlichen gewarnt hat, berichtet auf seinem Blog Secalert.net dass die Schufa-Verantwortlichen ihm als Dank eine Flasche Sekt versprochen hatten, nachdem sie die Lücke im Webserver geschlossen hatten.

Unklar ist allerdings noch, ob nicht zwischenzeitlich auch Dritte die Lücke ausnutzen und sich Schufa-Daten beschaffen konnten.

Das Arbeitnehmerdatennutzgesetz

Vor zwei Tagen nahm ich an einer Vortragsveranstaltung zum Thema Arbeitnehmerdatenschutz im DGB-Haus in München teil. Unter dem Motto „ArbeitnehmerDATENSCHUTZ – geht anders!“ stellte Rechtsanwalt Rüdiger Helm die rechtlichen Details des aktuellen Gesetzesentwurfs der Regierung zum Arbeitnehmerdatenschutz vor. Bereits in den letzten Monaten war dieser Entwurf Gegenstand zahlreicher Artikel in der informationstechnischen und rechtlichen Fachpresse und wurde mal mehr, mal weniger kritisch interpretiert. Auch der DGB ließ seine Rechtsabteilung in einer Form Stellung nehmen, die sich am ehesten als juristisch fundierter Totalverriss des Vorhabens zusammenfassen lässt.

Die wohl positivste Aussage, die man über den Gesetzesentwurf machen kann, besteht darin, dass aktuell datenschutzrelevante Themen wie Biometrie, Geoinformations- und Ortungsdienste, soziale Netzwerke, Videoüberwachung oder medizinische Tests an Arbeitnehmern überhaupt mal zum Gegenstand gesetzlicher Regelungen werden. Statt wie bisher in einer datenschutzrechtlichen Grauzone betrieben zu werden.

Bereits seit mehreren Legislaturperioden beinhaltete jeder Koalitionsvertrag auch eine Absichtserklärung zum Thema Arbeitnehmerdatenschutz. Und so findet man auch im Koalitionsvertrag der aktuellen CDU/CDSU/FDP-Regierung auf S. 106 diesen Absatz:

Privatheit ist der Kern persönlicher Freiheit. Wir setzen uns für eine Verbesserung des Arbeitnehmerdatenschutzes ein und wollen Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen an ihrem Arbeitsplatz wirksam schützen. Es dürfen nur solche Daten verarbeitet werden, die für das Arbeitsverhältnis erforderlich sind. Datenverarbeitungen, die sich beispielsweise auf für das Arbeitsverhältnis nicht relevantes außerdienstliches Verhalten oder auf nicht dienstrelevante Gesundheitszustände beziehen, müssen zukünftig ausgeschlossen sein. Es sollen praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden. Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.

Inhaltlich ist das geplante Arbeitnehmerdatenschutzgesetz jedoch zum wirtschaftsliberalen Arbeitnehmerdatennutzgesetz geworden, dass deshalb auch bezeichnenderweise mit „Der Arbeitgeber darf …“ eingeleitet wird. Es ersetzt den bisherigen § 32 im BDSG durch eine neue Formulierung mit zwölf Unterabschnitten sowie Einzelanpassungen in einigen anderen Gesetzen.

Das grundlegende Problem mit dem jede Form von Regelung zum Thema Daten im Arbeitsverhältnis umzugehen hat, ist das potentielle Misstrauen der Arbeitnehmer und Arbeitgeber einander gegenüber zu Beginn des potentiellen Arbeitsverhältnisses. Fehlendes Vertrauen soll durch Offenlegung bestimmter Informationen vor dem Eingehen eines Arbeitsverhältnisses ersetzt werden – das Geschäftsmodell der Wirtschaftsauskunfteien.  Dabei besteht jedoch ein beträchtliches Machtungleichgewicht. Während ein Bewerber bis kurz vor Abschluss des Arbeitsvertrages oft nicht mal über Elementarien wie Gehalt, Zusatzleistungen, Arbeitszeit, Urlaubsanspruch, Tarifbindung, Arbeitsumfeld, Chef und Kollegen, versprochene und tatsächliche Entwicklungschancen verbindlich aufgeklärt wird, hätten Unternehmen und Personaler gerne eine Offenlegung sämtlicher Details des Vorlebens aller Bewerber in einem Umfang, von der sonst Geheimdienste träumen.

Doch beginnen wir mit den fragwürdigen „Highlights“ des Gesetzesentwurfs:

§32c räumt dem Arbeitgeber erstmals ein Recht auf Nutzung von Daten zur Leistungs- und Verhaltenskontrolle ein. Er wird ergänzt durch § 32i, der stichprobenartige oder anlassbezogene Leistungs- oder Verhaltenskontrollen anhand von Telekommunikationsdaten ermöglicht. Damit könnten sämtliche Betriebsvereinbarungen zum Thema betriebliche IT-Systeme, die entsprechende Ausschlussklauseln enthalten, demnächst zur Diskussion gestellt werden. Die Wertigkeit des § 87.6 BetrVG, auf den sich Betriebsräte diesbezüglich meist stützen und mit dem sich eine Leistungs- und Verhaltenskontrolle praktisch ausschließen lässt, dürfte deutlich abnehmen. Damit wird ein Eckpfeiler der betrieblichen Mitbestimmung in Frage gestellt.

§32d räumt den Unternehmen eine Recht zur Massendatenverarbeitung zum Zwecke der „Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen“ ein. Mit ihm werden die diversen Datenskandale der letzten Jahre künftig legalisiert.  Gleichzeitig erhalten private Unternehmen so Befugnisse, die derzeit Ermittlungsbehörden und Staatsanwaltschaften vorbehalten sind. Ein besonderes Augenmerk hat dabei der Begriff der „schwerwiegenden Pflichtverletzung“ verdient. Er taucht häufiger im Gesetzestext auf und bedeutet mangels Inhalt das, was Arbeitgeber und Rechtsprechung im Laufe der Zeit daraus machen werden. Der Rechtsprechung zu Bagatellkündigungen kann man entnehmen, dass bereits der Verzehr von zum Wegwerfen bestimmten Nahrungsmitteln des Arbeitgebers eine solche „schwerwiegenden Pflichtverletzung“ darstellen kann.

Überhaupt ist der ganze Text gespickt mit unbestimmten Rechtsbegriffen wie „berechtigten“ oder „schutzwürdigen“ Interessen, „zulässigen“, „erforderlichen“, „geeigneten“ oder „verhältnismäßigen“ Dingen, „betrieblichen Gründen“, „tatsächlichen Anhaltspunkten“ sowie den bereits erwähnten „schwerwiegenden Pflichtverletzungen“. Das liest sich fluffig und sagt so gut wie nichts aus. Im Zweifel ist es somit den Entscheidern in den Unternehmen, ihren Rechtsabteilungen und Anwälten sowie den Gerichten überlassen, konkretere Bedeutungen in den Text hineinzulesen und herauszuurteilen. Eine Sprache, die an die Auswirkungen ausgiebigen THC-Konsums erinnert.

Auch in den weiteren Paragraphen lassen sich ähnliche Dinge finden, so z.B. die Pflicht für Beschäftigte an ärztlichen Untersuchungen und Eignungstests teilzunehmen (§ 32c) oder der erlaubte Einsatz von Ortungssystemen zur Koordinierung des Einsatzes der Beschäftigten (§ 32g).

Regierungen hatten in der Vergangenheit im Bereich des öffentlichen Rechts, welches die Beziehungen zwischen Staat und Bürger regelt, bereits häufiger versucht, ihre gesetzlichen Zugriffsmöglichkeiten auf Informationen über die Bevölkerung immer weiter auszudehnen. In Folge kam es auch etliche Male zu Urteilen des Bundesverfassungsgerichtes, dass ihnen dann Grenzen hinsichtlich der Zweckbindung, der Verhältnismäßigkeit, der Transparenz sowie der Sicherheit staatlicher Datensammelei setzte und dabei stets auch Normenklarheit forderte. So manches bewusst unklar formulierte Gesetz wanderte dann in den Shredder oder musste nachgebessert werden. Doch Bundestagsabgeordnete besitzen anscheinend leider oftmals den Intellekt und das Lernvermögen von Stubenfliegen, so dass es immer wieder zu solchen Gesetzen kommt.

Zumal dem Verfassen verfassungswidriger Gesetze seitens des Verfassungsschutzes weniger Aufmerksamkeit zufließt als dem Publizieren grundgesetzlich fragwürdiger Parteiprogramme. Zumindest fehlen in den jährlichen Verfassungsschutzberichten regelmäßig die Seiten über beobachtete Aktivitäten von Regierungsparteien, deren Abgeordnete häufiger grundgesetzwidrige Gesetze verfassen und beschließen.

In wie weit jedenfalls an Gesetze die das Verhältnis von Bürgern  und Unternehmen ähnliche Qualitätsansprüche anzulegen sind, wie an das Verhältnis zwischen Bürgern und Staat, wäre sicherlich eine interessante Rechtsfrage. Daher sehen Juristen wie z.B. Referent Helm durchaus Ansatzpunkte für Verfassungsklagen, sollte dieses Gesetz so in Kraft treten.

Zumal man auch ohne juristischen Sachverstand rasch erkennen kann, dass der Anspruch auf Verwirklichung der eigenen Persönlichkeit (Art 2 GG) mit einer solchen Rahmensetzung für betriebliches Datensammeln zur Hohlphrase verkommt.

Welche Formen des Widerstandes gegen das wirtschaftsliberale Arbeitnehmerdatennutzgesetz wären auf welcher Ebene denkbar?
•    Betrieblich Ebene: Abschluss entsprechend restriktiver Betriebsvereinbarungen sowie Information und Aufklärung der Beschäftigten im Rahmen von Betriebsversammlungen und Betriebsratspublikationen.
•    Arbeitsrechtliche Ebene: Klagen, die auf die Auslegung der zahlreichen unbestimmten Rechtsbegriffe abzielen.
•    Politische Ebene: Die bereits erwähnten Verfassungsklagen. Sowie Unterstützung von Organisationen sowie Mitarbeit bei Initiativen, die sich gegen Gesetze dieser Art einsetzen (Piratenpartei, Arbeitskreis Vorratsdatenspeicherung, Chaos Computer Club, Deutsche Vereinigung für Datenschutz, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, AK Elena beim DGB München …).

Bezüglich des Arbeitnehmerdatennutzgesetzes halte ich es mit Sarah Palin: „Don’t retreat – reload!“ (nicht zurückziehen – nachladen!)

Spielerisch Bewusstsein für IT-Sicherheit schaffen

In Unternehmen führen Maßnahmen zur Verbesserung der IT-Sicherheit häufig dazu, dass Arbeitsabläufe komplizierter, aufwendiger und damit auch teurer werden. Oft nimmt auch die Benutzerfreundlichkeit von Anwendungen ab, weil umständlichere Abläufe implementiert werden müssen. Das bewirkt oftmals Widerstände in der Belegschaft, sorgt für eine eher nachlässige und unvollständige Umsetzung der Sicherheitsmaßnahmen, erzeugt Angriffspunkte für Social-Engineering-Attacken und führt letztlich dazu, dass das Informationssicherheitskonzept der Firma in etwa so wirksam bleibt wie so manches prosaische Unternehmensleitbild.

Üblicherweise versuchen Unternehmen und IT-Sicherheitsbeauftragte dieses Problem durch Awareness-Kampagnen zur Sensibilisierung der Beschäftigten für Fragen der betrieblichen Informationssicherheit anzugehen. Hierfür ließ sich Lafarge Asia (ein Baustoffhersteller) in Zusammenarbeit mit e-Learning-Beratungsfirma IMC etwas Neues einfallen: Rund 8.000 Mitarbeiter erhielten im Rahmen einer Awareness-Trainingsmaßnahme und als besonderes Bonbon ein eigens entworfenes Brettspiel namens „Jungle Game“. Mit dem auf Karten und Würfeln basierenden und völlig analog und offline spielbaren Brettspiel sollen die Spieler Fragen zur Informationssicherheit beantworten und Punkte sammeln können.

Während chinesische Mitarbeiter dabei großen Wert auf schriftliches Informationsmaterial legten, schätzten indische und philippinische Vertreter eher den verbalen Austausch in Gruppendiskussionen während des Spiels. Andere Nationen wiederum akzeptieren beide Unterrichtsformen, müssen aber meistens im Rahmen begleitender Schulungen motiviert werden, ihre Erfahrungen mit anderen zu teilen.

„Wir haben ein mehrstufiges Konzept ausgearbeitet, um alle Beteiligte abzuholen“, erklärt Dr. Kathrin Bergenthal, Director Content Services bei der IMC, dem e-Learning-Anbieter. „In einem halbtägigen Präsenztraining wurde den Lafarge Mitarbeitern der Hintergrund der Kampagne vermittelt, konnten sie das Spiel testen, in einer Gruppenarbeit ausgewählte Sicherheitsaspekte erörtern und die Ergebnisse dann abschließend diskutieren. Auf diese Weise erhielten alle einen Zugang zum Lernziel“.

Besonderes Interesse weckte in diesen Schulungen das bereits erwähnte, im Format DIN A2 gehaltene Brettspiel „Jungle Game“, das zwei bis sechs Personen mit einem Würfel spielen können. Insgesamt 100 Fragen zur IT-Sicherheit sind auf den rund 50 Spielkarten formuliert. Bei richtiger Beantwortung gibt es einen bis fünf Punkte. Sieger ist, wer als erster 20 Punkte gesammelt hat.

Beim Design des Spiels ließen sich die Entwickler der IMC vom für die fernöstliche Region typischen tropischen Dschungel inspirieren: Moskitos und Blutegel stehen für Computerviren und Würmer, Regenwolken stellen den Bezug zum Cloud Computing her, Spinnennetze verdeutlichen Schwächen in IT-Netzwerken und ein Bustrip in den Dschungel thematisiert das „Shoulder Surfing“, das Ausspähen von Bildschirminhalten über die Schulter des Anwenders hinweg.

Analoge Brettspiele stellen dabei einen originellen neuen Zugangsweg zu Inhalten der IT-Sicherheit für Endanwender in den Unternehmen dar. Diesem Instrument dürfte daher künftig bei der Gestaltung von Awareness-Kampagnen zur Informationssicherheit in Organisationen sicherlich noch einige Aufmerksamkeit zukommen.

Nachlese zum fünften deutschen IT-Gipfel

Am 07.12. fand der inzwischen fünfte „Nationale IT-Gipfel“ der Bunderegierung statt. Diesmal in Dresden. Es fällt mir regelmäßig schwer zu bewerten ob dies eher ein politischer Dampfplauderertreff, ein Lobbying-Forum für die staatsnahen Teile der IT-Branche oder ein echtes IT-strategisches Jahrehighlight ist. Nehmen doch Themen wie Netzpolitik, Internetregulierung, Compliance, Datenschutz oder e-Government immer rascher an Bedeutung zu. Und macht sich doch die allgemeine IT-Inkompetenz bzw. die gravierenden Wissensdefizite zahlreicher politischer Entscheidungsträger immer drastischer in verfehlten Regulierungsvorhaben wie z.B. Elena, dem Jugendmedienschutz-Staatsvertrag (JMStV) oder den verkorksten Regierungsvorlagen zum Beschäftigtendatenschutz bemerkbar.

Doch gleich eines vorweg: Eine generelle informationstechnische Alphabetisierungskampagne für Politiker war leider nicht Gegenstand der Gipfelgespräche.

Allerdings war das Querschnittsthema IT-Sicherheit in mehreren der acht Arbeitsgruppen mit Gegenstand der Beratungen. In diesen Arbeitsgruppen wurden Themen wie die sich mit Themen wie digitale Infrastrukturen, IT-basierte Geschäftsmodelle, Gesundheitstelematik oder e-Government diskutiert. Zwei Arbeitsgruppen befassten sich mit „Vertrauen, Datenschutz und Sicherheit im Internet“ sowie mit „Verantwortung und Schutz in der vernetzten Gesellschaft“, also mit dem Themenfeld Informationssicherheit, Datenschutz und Compliance in einer vernetzten Welt.

Die Ergebnisse des IT-Gipfels wurden in der sog. „Dresdner Vereinbarung“ (PDF, 1 MB) zusammengefasst. Das Dokument enthält zahlreiche mögliche und mehrheitlich auch sinnvolle Ansätze zur Gestaltung der vernetzten Gesellschaft durch Gesellschaft, Staat und Wirtschaft. Allerdings zeigen „Leuchtturmprojekte“ wie DE-Mail, Datenperso, das gescheiterte Immaterialgüterrecht, das Thema Netzneutralität oder die Gesundheitskarte, das politischer Unverstand und Wirtschaftslobbyismus oft mit dem Hintern einreißen, was die Hände zuvor aufgebaut haben. Etwas ausführlicher kann man die Gipfelthemen in der 90-setigen Begleitbroschüre „Programm – Personen – Projekte“ nachlesen, in der die Arbeitsgruppenthermen dargestellt werden (PDF, 2,8 MB)

Etliche Minister nutzten die Gelegenheit, um zu netzpolitischen Themen Stellung zu nehmen. Und die Bundeskanzlerin beklagte (wohl zurecht) die überlange Dauer mancher adipöser IT-Großprojekte der Regierung wie etwa der elektronischen Gesundheitskarte. Außerdem kündigte sie zum werweißwievielten Male den verstärkten Ausbau der Breitbandinfrastrukturen in Deutschland an. Auch wenn sich dieses Problem überhaupt erst durch verfehlte Verträge im Laufe der Telekom-Privatisierung ergeben hat (Nichtfestschreibung des bundesweiten Grundversorgungsauftrags mit Netzinfrastruktur des aktuellen Standes der Technik) und die Telekom sich auf dem Gipfel in weiser Voraussicht für weniger regulierende Eingriffe in ihre marktbeherrschende Position aussprach.

August-Wilhelm Scheer, Präsident des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien (BITKOM), kündigte auf dem IT-Gipfel eine informationstechnische Bildungsoffensive an. Geplant sei ein Software-Campus, der 100 Spitzenkräfte pro Jahr finanziell fördert sowie ein Bitkom-Management-Club, in dem jährlich 17 Ausnahmetalente von ebenso vielen Betreuern zu jungen Führungskräften herangebildet werden sollen. Mitte 2011 soll ein mehrsprachiges Online-Portal „Work and Study in Germany“ potentiell zuwanderungswilligen IT-Fachkräften das Leben in Deutschland nahebringen. Da wird man aber in der deutsche Arbeits- und Sozialordnung, im deutschen Steuerrecht sowie im Personalmanagement fast aller deutscher Unternehmen noch sehr viel tun müssen, um die realen Defizite in den Bereichen Aus- und Weiterbildung, Personalmanagement, faire Entgelte sowie Steuern und Sozialabgaben abzuräumen. Dem steht das Vorhaben des BITKOM, das für eine erleichterte Zuwanderung nachzuweisende jährliche Mindesteinkommen auf das Einstiegsniveau von Junior-Ingenieuren ohne Berufserfahrung abzusenken, jedoch eher entgegen.

Es bleibt also abzuwarten, ob die Vielfalt der Interessenslagen der Beteiligten sowie die äußerst ungleiche Verteilung von Wissen, Kompetenz und Sachverstand zu Themen mit IT-Bezug aus den Programmpunkten konkrete Politikansätze entstehen lassen.

Herausforderung Cloud-Computing

Cloud Computing, also das Auslagern von Daten und IT-Diensten in die Rechenzentren von IT-Dienstleistern, gewinnt immer mehr an medialer Popularität. Dabei stößt man jedoch rasch auf etliche Probleme, wenn das Thema tatsächlich im Unternehmen umgesetzt werden soll. Denn den oftmals erhofften Einsparungen an IT-Kosten stehen beträchtliche Mehraufwände im Bereich Datenschutz und Informationssicherheit gegenüber. Hinzu kommen bislang noch ungelöste Compliance-Risiken. Dies hat die Gesellschaft für Informatik kürzlich in einem Thesenpapier verdeutlicht, dass diese Herausforderungen in den Bereichen Identity Management, Access Control und Integrity Control, Logging und Auditing, Risk Management und rechtlicher Compliance aus technischer und juristischer Sicht beschreiben thematisiert.

Außerhalb ihrer Standorte können Unternehmen ihre Vorstellungen von Sicherheitspolitiken, -strategien und -verfahren sowie Sicherheitsmaßnahmen und ihrer Kontrollierbarkeit meist nicht durchsetzen. Man muss sich schon darauf verlassen, wie weit Verträge, Service-Level-Agreements (SLAs) mit Cloud-Betreibern und deren Subunternehmern im Problemfall wirklich reichen.

Dies – sowie etliche noch offene rechtliche Fragen – führt dazu, dass viele Firmen der Cloud-Technologie eher zurückhaltend begegnen und eher zu Etablierung einer „private cloud“, also einem unternehmensinternen Angebot neigen. So können unternehmensinterne Policies, Vorgaben und Strategien leicht übertragen werden. Das aber ist dann letztlich wieder nur eine weitere technologische Spielwiese der internen IT. Ob dadurch die oft als Pro-Argument aufgeführten Rationalisierungs- und Konsolidierungseffekte erzielt werden können, dürfte fraglich sein.

Will ein Unternehmen jedoch echtes Outsourcing per Cloud Computing betreiben, sollte es sich der Tatsache gewahr werden, dass zwar die Technik und das dazugehörige Personal ausgelagert werden kann. Dass aber die Probleme in Form von Haftungsfragen, Risikoerwägungen, Compliance-Auflagen oder sonstigen, meist rechtlichen Fallstricken im Haus bleiben. Man kommt als Entscheider den Anforderungen seiner Umwelt eben nicht einfach durch das Fremdvergeben eines Auftrags aus.

Dabei beginnen die Probleme oftmals bereits mit der scheinbar simplen Frage, wie sensible Daten zum Cloud-Betreiber hin und von dort wieder zurück ins Kundenunternehmen kommen. Werden dafür öffentliche Netze genutzt, sind Fragen nach hohen und sicheren Verschlüsselungsstandards, Zugriffsrechten, Identity Management und Netzverfügbarkeit zu klären. Oft ist eine echte Ende-zu-Ende-Verschlüsselung auch gar nicht machbar, wenn z.B. Daten Verarbeitungszwischenschritte beim Cloud-Betreiber durchlaufen sollen.

Auch gilt es zu beachten, dass der aktuelle Stand der Technik bei Virtualisierung, Lastausgleich, geografischer Verteilung, Sicherungs- und Sicherheitsmaßnahmen sowie der Datenübertragung über Netzwerke generell nicht unbedingt als sicher und fehlerfrei angesehen werden kann. Es können sich darin kritische, für Dritte gut ausnutzbare Sicherheitslücken befinden. Für Auftraggeber ist das nicht immer nachvollziehbar – wollen sie solche „technischen Probleme“ ja gerade deswegen auslagern, da es ihnen oft am Know-how und den Kapazitäten fehlt, so etwas selbst beurteilen und lösen zu können. Und das obwohl z.B. die datenschutzrechtlichen Auflagen zum Thema Auftragsverarbeitung (§ 11 BDSG) dies explizit dem Auftraggeber als Pflicht bei der laufenden Kontrolle seines Auftragnehmers abfordern.

Ausgelagerte geografisch verteilte, sich u.U. im Ausland befindliche Cloud-Rechenzentren Dritter machen es für den Auftraggeber äußerst schwierig, bei eingetretenen Sicherheitsvorfällen selbst forensische Untersuchungen anzustellen, bei sicherheitstechnischen Analysen zu substanziellen Ergebnissen zu gelangen oder den Auskunftspflichten gegenüber ermittelnden Behörden und Staatsanwaltschaften zeitnah nachkommen zu können. Diese schlicht auf den Dienstleister zu verweisen, dürfte in den seltensten Fällen akzeptiert werden, da die Verantwortung rechtlich beim Auftraggeber geblieben ist und nicht mit in die Cloud abgeschoben werden kann.

Und selbst wenn es Ermittlungsbehörden gelänge, auf die Systeme des Cloud-Betreibers zuzugreifen bzw. Beschlagnahmungen durchzuführen, dürfte dabei der auf Virtualisierung und Mehrmandantenfähigkeit basierende Cloud-Betrieb empfindlich gestört werden (Schadensersatzansprüche Dritter!). Auch dürften eventuell gewonnene und potentiell manipulierte Abzüge der Daten aus der Cloud nur verminderten Beweiswert vor Gericht haben. Wobei es zu diesem Problem noch kaum Rechtsprechung gibt, deutsche Gerichte aber in solchen Fragen als sehr konservativ gelten.

Bei unternehmenskritischen Fragen auf die Dienste Dritter zurückzugreifen, bedeutet das Eingehen von Abhängigkeitsverhältnissen. Ein Stück weit ist das unumgänglich, wenn man sich die Vorteile des globalen und verteilten arbeitsteiligen Wirtschaftens zunutze machen will. Es kann aber auch bedeuten, dass die eigenen IT-Systeme zum Stehen kommen, wenn der Cloud-Betreiber über Nacht in die Insolvenz geht und abgeschaltet wird. Cloud-Verträge müssen daher stets auch Regeln enthalten, wie in solchen Fällen rasch zu einem anderen Dienstleister oder zurück in eine (dann noch existente?) interne IT gewechselt werden kann. Je komplexer die ausgelagerten IT-Systeme sind, desto anspruchsvoller ist so ein Rückwechsel-Vorhaben. Rasch kann da ein sog. „Vendor-lock-in“, d.h. eine existenzielle und kurzfristig nicht überwindbare Abhängigkeit von einem Anbieter eintreten. Auch ist bei genauerem Hinsehen längst nicht alles, was vertraglich vereinbart wurde, auch technisch umsetzbar (z.B. technische Unmöglichkeit der Datenlöschung bei Vertragsende oder besonderen Ereignissen wie Insolvenz).

Öffentliche Clouds können bei entsprechender Nutzung durchaus den Charakter kritischer Infrastrukturen annehmen, sofern sie allgemein und weitverbreitet verwendet werden. Dadurch werden schließlich sogar kartellrechtliche Aspekte wie die „Essential-facilities-Doktrin“ tangiert, welche die wenigsten IT-Entscheider mit auf dem Radar haben dürften.

Und so kommt die Gesellschaft für Informatik auch völlig zutreffenderweise zu dem Schluss, dass sich beim Cloud Computing stark erhöhte Anforderungen an die Absicherung unternehmenseigener und auch privater Datenverarbeitung ergeben werden. Und zwar hinsichtlich Vertraulichkeit, Integrität, Verbindlichkeit (z.B. Authentifizierung Berechtigter) und Verfügbarkeit der verarbeiteten Daten sowie der genutzten IT-Systeme. Hinzu kommen auch stark erhöhte Anforderungen an die rechtliche Absicherung (Compliance).

Zertifikate zur Weiterbildung im Bereich IT-Sicherheit

Der Dschungel der Zertifikate im Bereich der IT-Weiterbildung wuchert schneller als das Unkraut im Garten. Das dürfte im Wesentlichen dem Umstand geschuldet sein, dass es in vielen Ländern kein geregeltes berufliches Ausbildungssystem gibt. Dort wird man Akademiker oder Eurojobber – „dazwischen“ gibt es fast nichts. Fachkaufleute, Kammerbetriebswirte, Meister, Techniker, Betriebsinformatiker … unbekannt.

Diese Feld-, Wald- und Wiesenzertifiziererei von Herstellern, Fachverbänden und wirtschaftsnahen Organisationen hat sich auch im Deutschland verbreitet, da es auch hier im IT-Bereich an geregelten und vor allem in der Breite der Unternehmen akzeptierten Fortbildungsabschlüssen in der IT mangelt.

Und so gibt es mittlerweile auch zahlreiche Zertifikatsangebote für die Fortbildung von IT-Sicherheitsexperten, wie die Computerwoche zusammenfassend berichtet. Da reicht das Spektrum von CISCO-geprüften Routerkonfigurierer und Firewalleinrichter über den von einem Fachverband angebotenen Certified Information Systems Security Professional (CISSP) oder dem Certified Information Systems Auditor (CISA) bis zum Certified Professional for Secure Software Engineering (CPSSE)-Zertifikat.

Bei dieser Vielfalt verlieren weiterbildungsinteressierte ITler schon mal den Überblick, welches Zertifikat nun für welche Inhalte in welcher Breite und Tiefe steht. Und in Personalabteilungen oder bei Personalberatern, die Qualifikationsstichworte oft genug ohnehin nur vom Blatt aus der Fachabteilung ablesen, ohne deren genauere Bedeutung einschätzen zu können, ist sowieso schon Schluss.

Es bleibt also abzuwarten, ob dieser Wildwuchs weiter wuchert und wir irgendwann sogar „Bildungstransparenzberater“ brauchen, um im Rahmen der persönlichen Bildungsplanung oder der unternehmensinternen Personalentwicklung Inhalt und Wertigkeit einer Zertifikatsfortbildung realistisch einschätzen zu können. Oder ob sich Ansätze wie z.B. die „arbeitsprozessorientierte Weiterbildung“ (APO) durchsetzen können. Auch wenn sich bei dieser die Unternehmen nicht in eine bequem Kundenposition zurückziehen können, sondern konkrete zähl- und messbare Eigenleistungen in Form von Projekten und Teilfreistellungen beisteuern müssen, um so dem tatsächlichen oder auch nur “gefühlten” Fachkräftemangel abzuhelfen.

Regierung legt erneut Entwurf zum Arbeitnehmerdatenschutz vor

Als vor einigen Wochen der erste Referentenentwurf eines Arbeitnehmerdatenschutzgesetzes vorgelegt wurde, zerrissen Experten das Papier förmlich in der Luft, da es in vielen Teilen Verschlechterungen des Datenschutzes für Beschäftigte vorsah, anstatt ihn zu verbessern.

Wir erinnern uns: Die ganze Debatte wurde in den letzten beiden Jahren erst durch zahlreiche Datenschutzskandale in der deutschen Wirtschaft ausgelöst. Es wurde immer mehr klar, dass in Sachen Datenschutz etwas grundsätzlich falsch läuft in den Unternehmen. Und dass man sich dort den Äußerungen diverser Entscheider nach wohl als rechtsfreien exterritorialen Raum ansah.

Nun wurde ein überarbeiteter Entwurfstext vorgelegt. Das Bundeskabinett will ihn in den nächsten Tagen auf den Gesetzgebungsweg bringen. Oberflächlich gelesen verspricht der Entwurf tatsächlich Verbesserungen. Allerdings wird er bereits mit den Worten „Mit den Neuregelungen werden Mitarbeiter an ihrem Arbeitsplatz zudem wirksam vor Bespitzelungen geschützt und gleichzeitig den Arbeitgebern verlässliche Grundlagen für die Durchsetzung von Compliance-Anforderungen und den Kampf gegen Korruption an die Hand gegeben“ eingeleitet, d.h. er wurde wohl bereits sehr deutlich wirtschaftslobbyistisch weichgespült.

Sehr intensiv hat man sich darin u.a. mit dem Thema Verarbeitung von Beschäftigtendaten zur Korruptionsbekämpfung befasst. Denn diese wurde in den Datenskandalen der Vergangenheit meist als Ausrede bemüht, wenn es galt Massenscreenings, Profiling und Arbeitnehmerüberwachung im Nachhinein halbwegs zu rechtfertigen. Auch wenn sich faule Deals auf Managerebene, Mauscheleien im Rahmen von Übernahmeverhandlungen, Bilanzbetrug, „goldene Handschläge“ bei der Entsorgung managerialer Altlasten, Kursmanipulationen zum Pushen eigener Aktienoptionen, Kartellvergehen sowie die meisten anderen Formen der Wirtschaftskriminalität so nicht nachweisen lassen. Massenscreenings werden nun wieder zulässig, sofern der Arbeitgeber „tatsächliche Anhaltspunkte“ für einen Verdacht auf Ordnungswidrigkeiten, Straftaten und andere Vergehen hat, die ggf. eine Kündigung aus wichtigen Grund rechtfertigen können. Die ergriffenen Maßnahmen der innerbetrieblichen „Horch & Guck“-Abteilung im Dienste der Compliance dürfen dabei „nicht unverhältnismäßig“ und sollten auch „erforderlich“ sein, um die Vergehen „aufzudecken oder um weitere schwerwiegende Vertragsverletzungen zu Lasten des Arbeitgebers, oder weitere Ordnungswidrigkeiten und Straftaten zu verhindern“. Da dürfte bald die windelweiche Rechtsprechung zur Verdachtskündigung, für die es auch keinen substanziell belastbaren Grund bedarf, durch die Hintertür hereinschwappen.

Als Fortschritt wird z.B. das ausnahmslose Verbot der heimlichen Videoüberwachung dargestellt sowie das Verbot des Ausspähen von Betriebsstätten, die überwiegend der privaten Lebensführung dienen (Toiletten, Umkleiden usw.). Tatsächlich schreibt das nur den Ist-Stand weiter fort. Das das den Unternehmen gesetzlich ins Stammbuch geschrieben werden muss, spricht eigentlich bereits Bände.

Offene Videoüberwachung beispielsweise an Firmeneingängen oder zur Qualitätskontrolle soll dagegen möglich sein – „soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich“ ist, Interessen der Angestellten nicht entgegenstehen und sie auf die Kameras hingewiesen werden. Damit wird der Ist-Stand klar zugunsten der Unternehmen aufgeweicht, denn derzeit gilt: Offene Videoüberwachung widerspricht Grundrechten der Beschäftigten und ist daher nur auf der Basis aufwendiger Mitbestimmungsprozesse möglich. Zudem hat der Unternehmer im Rahmen einer Grundrechteabwägung („geeignet – erforderlich – angemessen“) darzulegen, dass andere (ggf. auch teurere) Mittel, die weniger stark in die Grundrechte der Beschäftigten eingreifen, nicht ausreichen. Das muss er jetzt nicht mehr.

Tendenzbetrieben (Kirchen, politische Organisationen) werden erweiterte Zugriffsmöglichkeiten auf Beschäftigtendaten eingeräumt. So erhalten sie nun eine Rechtsgrundlage auf deren Basis sie Dinge wie Religionszugehörigkeit, Partei- und Gewerkschaftsmitgliedschaft oder auch Details zur Weltanschauung von Bewerbern abfragen und nutzen können.

Arbeitgeber könnten auf Basis des Entwurfes ganz legal Daten von Bewerbern aus sozialen Netzwerken recherchieren, sofern sie „für die Feststellung der Eignung des Beschäftigten für eine in Betracht kommende Tätigkeit oder für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich“ sind. Also auch wieder sehr auslegungsfähig. Bislang bewegten sie sich dabei in einer Art rechtlichen Grauzone, da nur klassische Business-Netzwerke wie XING den Schluss nahe legen, dass die darin veröffentlichten Daten der Nutzer zur Anbahnung von Geschäftskontakten verwendet werden können. Und soziale Netzwerke sind im Gegensatz zu Websites und Blogs nicht öffentlich, da man zu ihnen i.d.R. eine Nutzerkennung benötigt.

Auch das leidige Thema der regulierten Privatnutzung von Internetdiensten und die damit zusammenhängende Providereigenschaft des Unternehmens i.S.d. TKG wird neu geregelt, bestehende Unschärfen im Zusammenspiel von BDSG und TKG beseitigt. Allerdings wird dem Arbeitgeber auch eine Möglichkeit zur „stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle, einschließlich der Verhinderung oder Aufdeckung von Vertragsverletzungen zu Lasten des Arbeitgebers, Ordnungswidrigkeiten oder Straftaten im Beschäftigungsverhältnis“ eingeräumt. An jeder betrieblichen Mitbestimmung vorbei und als Standard.

In etlichen Bereichen des Textes werden den Unternehmen Rechte an Beschäftigtendaten eingeräumt, deren Reichweite an unbestimmte Rechtsbegriffe mit Auslegungsspielräumen gebunden wird. Beispiel: Häufig darf dem Text nach der Arbeitgeber etwas nur dann tun, wenn es „zur Wahrung seiner berechtigten Interessen erforderlich“ ist. Welcher Unternehmer wird im Zweifel seine Interesse nicht als berechtigt und die ergriffene Maßnahme als erforderlich ansehen? Und wer will ihm im Einzelfall als Lohnabhängiger widersprechen? Zumal die heute noch oftmals vorgesehenen rechtlich anspruchsvollen Güterabwägungen entfallen. Da kommt Arbeit auf die Herausgeber von Gesetzeskommentierungen sowie die Gerichte zu. Dementsprechend enthält der Text auch zu 12 Seiten Gesetzesentwurf bereits 23 Seiten Erläuterungen.

Zusammenfassend kann man sagen, dass dieser Entwurf zwar keine komplette Themenverfehlung ist, wie der zuletzt vorgelegte. Man sieht ihm aber sehr deutlich an, dass Unternehmer- und Arbeitgeberinteressen bei Abfassen des Textes Vorrang hatten während Grund- und Bürgerrechte sowie der Gedanke der informationellen Selbstbestimmung außen vor blieben.

Auch dieser Text ist in der vorliegenden Form unbrauchbar und sollte zurückgewiesen werden. Obgleich er streckenweise zumindest gute Ansätze aufweist, die in einem dritten Entwurf aufgegriffen werden können.

Sollte das Gesetz in ähnlicher Form in Kraft treten, dürften Betriebs- und Personalräte es mit als Erstes bemerken. Denn vieles was Arbeitgeber zuvor mit ihnen mühsam und unter Inkaufnahme von Kompromissen aushandeln mussten, stünde ihnen dann einfach so zu. An jeder Mitbestimmung elegant vorbei.

Datenlecks durch Green IT – Arbeitnehmerüberwachung per Steckdose

Grüne Informationstechnik, kurz auch Green IT genannt, ist immer mehr im Kommen. In der Regel allerdings nicht, weil Lohas und grüne Gutmenschen das IT-Management in den Unternehmen übernommen hätten. Sondern weil der Ausgabenposten für die Energieversorgung von Rechenzentren,  dezentralen Serverclustern und Arbeitsplatzrechnern einen immer größeren Teil des IT-Budgets der Unternehmen wegfrisst. Das macht es Firmen zunehmend schwerer in innovative Technik zu investieren oder den Investitionsstau an anderer Stelle abzubauen um so Wettbewerbsvorteile zu gewinnen.

Energie sparen wird so zur schlichten Notwendigkeit in den Unternehmen. Ein Hilfsmittel dafür ist die bereits erwähnte grüne Informationstechnik, bei der eine Kombination aus energieeffizienterer Technik, verbrauchsbewussterem Nutzungsverhalten sowie Konsolidierung und Abbau ungenutzter Gerätekapazitäten die Stromrechnung senken soll.

Allerdings kann grüne Informationstechnik auch Datenlecks an Stellen aufreißen, an denen man bislang nicht damit gerechnet hatte. Dazu zählt z.B. das Smart Metering, also die sog. „intelligenten Stromzähler“ in Haushalten und Firmen. Mit ihnen ist es möglich den Stromverbrauch  eines Haushaltes in kurzen Abständen und teilweise gerätespezifisch zu messen. Da diese Daten z.T. an Energieversorger gehen und dort die Bildung verhaltensabhängiger persönliche Lastprofile aus den gesammelten Kundendaten ermöglichen würden, werden sie von Datenschützern sehr kritisch gesehen. So ist es für die Versorger z.B. möglich personen- und gruppenbezogene Verbrauchsmuster zu bilden und in der Folge tageszeitabhängige Stromtarife anzubieten. Über kurz oder lang wäre der feste Strompreis abgeschafft und der Verbraucher verlöre jeden Überblick über das dann explosionsartig wachsende Chaos an Stromtarifen. Das Einschalten der Waschmaschine zur Unzeit könnte dann ähnliche Folgen haben wie das unüberlegte Nutzen des Handys im Auslandsurlaub, wenn sich durch Roaming mal eben die Telefongebühren orts- und zeitabhängig unbemerkt völlig legal verfünfzigfachen.

Inzwischen gibt es spezielle Energiemanagementsoftware für Unternehmen wie z.B. das auf der letzten CeBit vorgestellte Produkt „Greentrac“, mit der sich das Verbrauchsverhalten von PCs und damit indirekt das Arbeitsverhalten der Nutzer davor „managen“, d.h. in erster Linie überwachen lässt. Schließlich zieht ein PC an dem intensiv gearbeitet wird und auf dem mehrere Programme laufen auch mehr Strom aus dem Netz als ein Rechner im Leerlauf. Eine Software aber, die Daten über Aktiv- und Leerlaufphasen von PCs erhebt und auswertet, kann damit auch für Aussagen über die Arbeitszeiten an den Geräten genutzt werden. Wenn man weitere Umstände heranzieht, lassen sich auch präzise Angaben über die jeweilige Leistung und das Arbeitsverhalten der PC-Nutzer machen. Denn in Verbindung mit anderen Daten aus betrieblichen Informationssystemen, etwa einem Terminkalender, können so Rückschlüsse über die Anwesenheit am Arbeitsplatz und die Arbeitsleistung gegeben werden.

Damit wird das fortgeschrittene Energiesparen „mit Zusatznutzen“ zum Fall für die betriebliche Mitbestimmung. Denn § 87 Abs. 1 BetrVG räumt dem Betriebsrat weitreichende Mitbestimmungsrechte beim Einsatz von Programmen ein, die zur Überwachung der Arbeitnehmer geeignet ist. Zumindest dort wo er existiert.

In der Fachliteratur wird zudem kontrovers diskutiert in wie weit eine Betriebsvereinbarung zudem überhaupt als „andere Rechtsvorschrift“ i.S.d. §4 BDSG zu werten ist, die eine individuelle Einwilligung jedes einzelnen Betroffenen ersetzen kann. Zumal es Betriebsräten bei Ausgestalten von Betriebsvereinbarungen rechtlich gar nicht erlaubt ist, gesetzliche Schutzstandards zu unterlaufen oder zu verringern (Ausnahme: das Gesetz sieht hierfür eine Öffnungsklausel vor). Arbeitgeber gehen also das Risiko ein, im Konfliktfall ggf. mit einer zwar ordnungsgemäß abgeschlossenen aber inhaltlich nichtigen Betriebsvereinbarung dazustehen.

Arbeitgeberorientierte Rechtsberater empfehlen ihren Klienten daher, die Betriebsvereinbarung so auszuformulieren, dass sie eine „Erlaubnis für Zwecke des Beschäftigungsverhältnisses“ nach § 32 Abs.1 BDSG enthält und die Arbeitnehmerüberwachung per Steckdose über die neu ins BDSG gekommene Regelung zur Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses legitimiert.

Ob sich allerdings Arbeitnehmerüberwachung damit rechtlich wirksam begründen lässt, bezweifle ich. Der Paragraph ist allerdings erst 2009 in Gesetz gekommen und es gibt dazu noch kaum Aussagen im Schrifttum oder gefestigte Rechtsprechung.

Es zeigt sich einmal mehr, dass auch Betriebs- und Personalräte ohne fundierte Kenntnisse der Entwicklungen im Bereich der Informationstechnik auf aktuellem Stand der Dinge immer weniger auskommen.

Der Datenbrief des Chaos Computer Club

In den Datenbanken der Unternehmen sammeln sich immer mehr Daten an. Vieles wird erst durch das Herstellen von Zusammenhängen zwischen vormals unabhängig voneinander entstandenen Datenbeständen für die Firmen ersichtlich. Oftmals eher zum Schaden als zum Nutzen der Bürger und Kunden, die meist gar nicht wissen, wer alles Daten über sie in welchem Umfang und wofür eigentlich speichert und verwertet.

Unternehmen aber reagieren in wettbewerbsintensiven Umfeldern zunehmend sensibel auf Kostensteigerungen. Da lag es nahe, das Sammeln und Halten von Daten zu einem bemerkbaren Kosten- und Aufwandstreiber für Firmen zu machen.

Genau das soll die Idee des Datenbriefes vom CCC tun. Die Bürger dafür sensibilisieren, wer aus welchem Grund wie viele und welche Daten genau über sie speichert. Und das Speichern der Daten bei den Unternehmen und Behörden zu verteuern. Der Datenbrief soll die Funktion eines „Kontoauszugs“ übernehmen, der gesamthaft und vollständig auflistet, wer was warum über den „Kontoinhaber“ speichert. Undokumentierte Datenhaltung auf „Schwarzkonten“ an der „Bilanz“ und den „Büchern“ vorbei wäre dann illegal.

Denn die sollen durch den Datenbrief gesetzlich dazu verpflichtet werden, Betroffene regelmäßig über die über sie gespeicherten Daten zu informieren. Schriftlich und in jedem Einzelfall. Das umfasst auch Daten, die erst durch Anreicherung und Verknüpfung mit anderen Datenquellen zustande kommen, also Profilbildung, Scoring, Annahmen über Vorlieben, interne Kundenklassenzuordnungen usw. Der so entstehende Verwaltungsaufwand soll Wirtschaft und Verwaltung dazu bewegen, verstärkt „Datencontrolling“ zu betreiben, also die schlichte Notwendigkeit einer weiteren Speicherung der Daten regelmäßig zu überprüfen und so schon aus Kostengründen Datensparsamkeit und Datenvermeidung (§ 3a BDSG) umzusetzen.

Das Ziel des Datenbriefes aus Sicht des CCC ist es, für jeden Bürger transparent zu machen, wer wo die eigenen Daten verarbeitet. Der Bürger oder Verbraucher wird zukünftig bewusster mit seinen Daten umgehen, wenn er erst mal einen Überblick bekommen hat, welche Daten über ihn gespeichert sind. Das Recht des Betroffenen auf Auskunft hat dabei Vorrang vor etwaigen Geschäfts- oder Behördengeheimnissen der speichernden und verarbeitenden Firmen. Persönlichkeitsrechte Dritter müssten selbstverständlich gewahrt werden.

Die eher wirtschaftsfreundlich agierende Bundesregierung steht dem Vorhaben eher skeptisch gegenüber obwohl sich Bundesinnenminister Thomas de Maizière (CDU) zunächst interessiert zeigte und sich die Forderung zueigen machte, womit er der  Debatte um das Thema erst so richtig Schub gab. Während die Wirtschaft dagegen ist, dass Unternehmen künftig einmal jährlich schriftlich mitteilen müssen, welche Daten sie gespeichert haben, wird das Vorhaben von Verbraucherschützern begrüßt.

Unternehmen und Wirtschaftsverbände lehnen die Idee ab. Denn wenn der Datenbrief nicht zügig zur großen Löschaktion in Unternehmen und Behörden führte, so würde er jährlich beträchtliche Mengen an Papier in die Briefkästen der Bürger (und oft genug von dort in die Mülleimer) befördern. Zumal Geschäftsmodelle, die auf der Ausbeutung von quasi erzwungenen“ Datenbeständen (Stichwort „Schufa-Klausel“) wie z.B. durch Wirtschaftsauskunfteien oder Versichertendatenbanken schwieriger umzusetzen wären und erheblich mehr Geld kosten würden.

Dennoch sehen Datenschützer die dahinter stehende Idee positiv, so dass darüber auf Fachkongressen und in Projektgruppen zur Entwicklung neuer Gesetzesentwürfe für notwendige Veränderungen der Datenschutzgesetze beraten wird. Erstmals würde den Bürgern klar werden wer alles ihre Daten speichert und nutzt. Verständlich, dass darin die Wirtschaft kein Interesse haben kann, weshalb auch der Interessensverband der Informationswirtschaft BITKOM die Idee des Datenbriefes in einer Stellungnahme als unverhältnismäßig kritisiert, dabei aber auch durchaus berechtigte Einwände gerade zur daten(schutz)technischen Abwicklung eines Datenbriefes erhebt. Etwa wenn Firmen vormals getrennt geführte Datenbestände für den Datenbrief zusammenlegen und dessen Erstellung an einen Dienstleister auslagern. Zumal es oft auch um Daten geht, die aufgrund ihrer Sensibilität nicht dazu geeignet sind, mit einfacher Briefpost oder gar per Mail und Fax zum Empfänger transportiert zu werden. Hinzu käme der Umstand, dass ein solches Regularium nur dann flächendeckend funktionieren würde, wenn Verstöße dagegen aufgedeckt und bestraft werden könnten. Doch die Aufsichtsbehörden haben mit ihrer zu knapp bemessenen Stellenzahl heute bereits Probleme, Datenschutzverstöße durch Betriebsprüfungen aufzudecken und zu ahnden.

Der CCC hat mit seiner mit seiner Datenbrief-Idee aber bereits einen ersten Teilerfolg  erreicht: Über die Ideen eines Pradigma-Wechsels (Datenspeicherung muss regelmäßig geprüft und legitimiert werden), einem Streben nach mehr informationeller Transparenz sowie der Rechtfertigungsnotwendigkeit von Wirtschaft und Verwaltung dem Kunden und Bürger gegenüber solle Dinge wieder ins Lot gebracht werden, die im Laufe der Zeit durch Aneignungs- und Vereinnahmungsbestrebungen gerade der Wirtschaft immer mehr aus dem Gleichgewicht geraten sind. Dass darüber auf Fachebene sowie in der Öffentlichkeit diskutiert wird, ist ein klarer Fortschritt.