Datenschutz heute und in der Zukunft

Die Datenschutz-Grundidee
 

Artikel 2 Satz 1 Grundgesetz:Freie Entfaltung der Persönlichkeit.

Datenschutzrecht, EU-Datenschutz-Grundverordnung (DSGVO)

Wichtige personenbezogene Daten:
  • Name
  • Adresse
  • Telefonnummer
  • E-Mail-Adresse
  • Geburtsdatum
  • Geschlecht
  • Sozialversicherungsnummer
  • Bankverbindung
  • Fotos, Videos
  • IP-Adresse
  • Religiöse oder politische Überzeugungen
  • Gesundheitsdaten
  • Genetische Daten

Quelle: ChatGPT 3.3.2024

Recht am eigenen Bild, Recht an den eigenen Daten ab.  

Personenbezogene Daten. Definition : meine Daten gehören mir.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Quelle: Artikel 4 Nr. 1 EU-Datenschutz-Grundverordnung (DSGVO)

Artikel 6 der EU-DSGVO Erlaubnis für die Erfüllung eines Vertrags, z.B. des Arbeitsverhältnisses. Vertagung auf ein Beschäftigtenschutzgesetz

Artikel 6 EU-DSGVO - Rechtmäßigkeit der Verarbeitung

1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.

c) Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.

d) Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Viel Lobbyarbeit hat dem Gesetz nicht gut getan.

Elektronische Personaldatenverarbeitung in den Betrieben: Personalinformationssysteme Beispiel PAISY-Info
Das Computergrundrecht
 

Bundesverfassungsgericht (27.2.2007 AZ 1BvR 370/07) setzt der staatlichen Datensammelwut enge Grenzen.

Das Grundrecht auf informationelle Selbstbestimmung

Computer für das Leben der Menschen immer wichtiger.

Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, kurz Computergrundrecht schützt die Vertraulichkeit und Integrität informationstechnischer Systeme, wie z.B. Computer und Smartphones.
Bürokratische Entartung
 

Digitalisierung hat ehemals einfache Dinge komplizierter gemacht. Menschen in der Arbeit immer mehr an die Computer gebunden.

Einverständnis für Verarbeitung personenbezogener Daten erforderlich. Missbrauch mit Cookies und ellenlangen Datenschutzerklärungen. Nervt und würde viel Zeit kosten. Also .

Das Ergebnis: Frustration und Gleichgültigkeit. Datenschutz als Belästigung, Sensitivität für Datenschutz hat auf breiter Front abgenommen.

Die EU-Datenschutzgrundverordnung (DS-GVO) 124 DIN-A-4-Seiten 173 Gründe, dann auf 74 weiteren Seiten in 99 Artikel, für Laien nur schwer lesbar und noch schwerer verständlich. Keine spezifischen Vorschriften zur Verarbeitung personenbezogener Daten im Beschäftigungskontext.

Gelungenes Meisterwerk erfolgreicher Lobbyarbeit mit großen Interpretationsspielräumen.

Motto: Nichts ohne mein Anwaltsbüro.
Datenschutz in der Arbeitswelt
 

Gibt es einen Arbeitnehmer-Datenschutz in der EU-GDVO?

Ja, diese Regeln gelten für die Verarbeitung personenbezogener Daten von Arbeitnehmern durch Arbeitgeber und andere arbeitsrechtlich relevante Akteure.

  • Informationspflichten: Arbeitgeber müssen die Arbeitnehmer darüber informieren, wie ihre personenbezogenen Daten verarbeitet werden. Dies umfasst Informationen über den Zweck der Verarbeitung, die Dauer der Speicherung und die Rechte der Arbeitnehmer in Bezug auf ihre Daten.
  • Rechtmäßigkeit der Verarbeitung: Die Verarbeitung personenbezogener Daten von Arbeitnehmern muss auf einer Rechtsgrundlage beruhen. In vielen Fällen basiert dies auf der Notwendigkeit der Datenverarbeitung für die Erfüllung eines Arbeitsvertrags oder auf der Einwilligung des Arbeitnehmers.
  • Rechte der betroffenen Personen: Arbeitnehmer haben das Recht auf Zugang zu ihren personenbezogenen Daten, das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung. Sie können auch der Verarbeitung ihrer Daten unter bestimmten Bedingungen widersprechen.
  • Datensicherheit: Arbeitgeber müssen angemessene Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten der Arbeitnehmer zu gewährleisten und vor unbefugtem Zugriff oder Verlust zu schützen.
  • Übermittlung von Daten: Die Übermittlung von personenbezogenen Daten von Arbeitnehmern in Drittländer außerhalb der EU ist nur unter bestimmten Voraussetzungen erlaubt.

Quelle: Google Gemini, 4.3.2024

Rechte nach Datenschutzrecht: rechtliche Grundlagen für Verarbeitung erforderlich. Informationspflich gegenüber den Die Beschäftigten.

§ 26 Abs. 1 BDSG: „berechtigtes Interesse“ des Arbeitgebers ausdrücklich als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Wortlaut.

Die Verarbeitung personenbezogener Daten ist zulässig, soweit dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für dessen Durchführung oder Beendigung erforderlich ist.

Quelle: § 26 Abs. 1 BDSG

Mangels Präzisierung in den Datenschutzgesetzen (EU-Datenschutz-Grundverordnung, deutsches Datenschutzgesetz BDSG Wortlaut) großer Interpretationsspielraum.

Art. 6 Abs. 1 DSGVO - Rechtmäßigkeit der Verarbeitung

1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der folgenden Voraussetzungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist erforderlich für die Ausübung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist erforderlich zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

2. Verarbeitungen nach Absatz 1 lit. f) bedürfen einer Interessenabwägung, bei der insbesondere die folgenden Aspekte zu berücksichtigen sind:

  • die Umstände und Bedingungen der Verarbeitung;
  • er Zweck der Verarbeitung;
  • die Art der personenbezogenen Daten;
  • die möglichen Folgen der Verarbeitung für die betroffene Person.

Im Zweifelsfall bestimmt dies der Arbeitgeber, aber folgende >Grundsätze sind einzuhalten:

  • Zweckbinding: genaue Festlegung des Verwendungszwecks der Daten
  • Verhältnismäßigkeit: Daten dürfen nur in dem Umfang erhoben und verarbeitet werden, der zur Erfüllung der Verarbeitungszwecke erforderlich ist.
  • Normeklarheit: Die Regeln der Verarbeitung müssen für alle betroffenen Personen transparent sein.

Gängige elektronische Verfahren der Arbeitnehmerdatenverarbeitung: Zeiterfassungs- und Personalabrechnungssysteme, digitale Personalakten, Skill Management-Systeme, Performance-Management-Systeme mit Zielvereinbarungen, Beurteilungsverfahren.

Oft Betriebsvereinbarung als Rechtsgrundlage.


Infrastruktur und Office-Software
 

Viele Programme ohne Arbeitnehmerdatenverarbeitung als erklärtes Verarbeitungsziel.

Betriebsdaten mit Personenbezug, wenn Ort und Zeit des Geschehens bekannt.

Ebenso Mail-System, Internet-Zugang, Programme für die Computersicherheit und Office-Programme, v.a. Systeme von Microsoft.

Ausführliche Protokolliertung der Benutzeaktivitäten. Personenbezug weil bei fast jedem Tastenschlag das Wann (Datum und Uhrzeit) und das Wer (bzw. Maschine oder Arbeitsplatz) festgehalten wird.

Die harmlosen Office-Programme haben sich zu fleißigen Datensammlern gemausert.


Arbeitsbeziehungen in Microsoft Graph


Das Hintergrundprogramm MS-Graph registriert die kompletten Arbeitsbeziehungen der Beschäftigten, eine Fundgruppe für die neuen Anwendungen der Künstlichen Intelligenz. Hier eine kurze Auflistung.

Welche Daten werden bei Nutzung der Microsoft365-Programme in Microsoft Graph übertragen?

Grundsätzlich können über Microsoft Graph verschiedene Arten von Daten übertragen werden, darunter:

  1. Benutzerdaten: Informationen über Benutzerkonten, Profile, E-Mails, Kalender, Aufgaben und Kontakte.
  2. Gruppendaten: Informationen zu Gruppen, Gruppenmitgliedschaften und Gruppenressourcen.
  3. Dateidaten: Zugriff auf Dateien und Ordner in OneDrive for Business oder SharePoint, sowie Metadaten zu diesen Ressourcen.
  4. E-Mail-Daten: E-Mail-Nachrichten, Anhänge, Ordnerstrukturen und E-Mail-Metadaten.
  5. Kalenderdaten: Zugriff auf Kalenderereignisse, Termine und Kalendermetadaten.
  6. Aufgabendaten: Informationen zu Aufgaben, ToDo-Listen und Aufgabenmetadaten.
  7. Notizdaten: Zugriff auf OneNote-Notizen und Notizbücher.
  8. Unternehmensdaten: Informationen zu Unternehmensressourcen, wie z.B. Organigramme, Standorte und Abteilungen.

: Quelle: ChatGPT 3.3.2024

Konflikt zwischen einem Konzept, das unter dem Begriff Compliance und Datenschutz.

Mustererkennung als Leistung des Maschinellen Lernens.

Abgleich von „normalem“ und tatsächlichem Verhalten.

Möglichkeit völlig neuartiger Auswertungen.
Künstliche Intelligenz
 

robotSeit November 2022 alles anders: ChatGPT Jeder, wirklich jeder kann jetzt mitmachen. Ein mächtiges Werkzeug mit Antworten für alle auf fast alle Fragen,

Was Chatbots mit Sprache können, geht auch mit Video- und Audiomaterial.

Mustererkennung auch für Mimik und Körpersprache (Sentimentanalyse). Überwachung von Produktivität, Loyalität und die Bindung von Beschäftigten an das Unternehmen.

Systeme können menschliche Emotionen erkennen, simulieren und darauf reagieren - neue Dimensionen für das Management und neue Probleme für den Persönlichkeitsschutz.

Und was heißt das jetzt für den Datenschutz?

  • Digitalisierung: Für alles, was einmal digitalisiert wurde, gilt: kaum noch etwas bleibt geheim. Fast alles kann man herausfinden und in beliebigen anderen Zusammenhängen weiterverwenden.
  • Das datenschutzrechtliche Gebot der Zweckbestimmung für die Verarbeitung personenbezogener Daten ist so gut wie aufgehoben.
  • Verlorene Kontrolle: Die Einhaltung der Verabredung, persönliche Daten im Betrieb nur nach vereinbarter Zweckbestimmung zu verwenden, ist technisch nicht mehr überprüfbar.
  • Datensparsamkeit wird zum einzig wirksamen Schutz. Daten, die nicht vorhanden sind, können auch nicht missbraucht werden.
  • Transparenz der Verarbeitung lässt sich nicht mehr herstellen. Die den Chatbots und den meisten anderen KI-Anwendungen zugrundeliegende Technik der Large Language Models und Neuronalen Netze kann nicht erklären, wieso sie zu ihren Ergebnissen kommt. Die Systeme wurden in zigtausendfachen Wiederholungen nur auf Mustererkennung trainiert.
  • Das Wissen der Benutzerinnen und Benutzer über die Funktionsweise und vor allem die Leistungsgrenzen der aktuellen KI-Technik ist wichtiger denn je. Man muss die "Halluzinationsgefahr" der Technik kennen.
  • Das Zusammenspiel zwischen Technik und menschlicher Arbeit wird sich verändern.Wir haben uns auf eine andere Beziehung zwischen Menschen und Maschinen einzustellen. Welche Grenzen der KI-Technik dabei gesetzt werden, muss noch herausgefunden werden.
  • Eine große Herausforderung wird es sein, eine Polarisierung der Welt - sowohl der Beschäftigten als auch der Unternehmen und Gesellschaften - zu vermeiden. Um auf der Höhe der Zeit mit der neuen Technik umzugehen, bedarf es gut überlegter Initiativen des Managements und gründlicher Qualifizierungskonzepte für die Beschäftigten.
  • Wir verfügen zur Zeit über keine Blaupausen oder fertigen Konzepte. Erfahrungen müssen gesammelt und gemeinsam bewertet werden.

Von der Politik zur Zeit (leider) wenig zu erwarten. Nicht vorhandene Regulierungen durch betriebsinterne Regeln ersetzen.

Stolpersteine: Marktmacht der großen Tech-Konzerne, Ahnungslosigkeit und Verschlafenheit der Politik, Blindheit der Verbände (Gewerkschaften und Arbeitgeberorganisationen gleichermaßen), Ferne der Unternehmenszentralen vor allem internationaler Konzerne von der konkreten Arbeit.

 
Karl Schmitz März 2024