Josef Haverkamp
Datenschutz
Grundlagen und Arbeitshilfen für Betriebs- und Personalräte
Buch:
© 2016 by Bund-Verlag GmbH, Frankfurt am Main
Herstellung: Kerstin Wilke
Umschlag: eigensein, Frankfurt am Main
Satz: Dörlemann Satz, Lemförde
E-Book:
© 2016 by Bund-Verlag GmbH, Frankfurt am Main
Produktion: Satzweiss.com, Saarbrücken
ISBN 978-3-7663-8390-7
Alle Rechte vorbehalten, insbesondere die des öffentlichen Vortrags, der Rundfunksendung und der Fernsehausstrahlung, der fotomechanischen Wiedergabe und der Speicherung, Verarbeitung und Nutzung in elektronischen Systemen, auch einzelner Teile.
www.bund-verlag.de
Es ist eine Zeit der großen Umbrüche bei der Datensicherheit und im Datenschutz: die NSA-Affäre, also die große globale Überwachungs- und Spionageaffäre durch die USA und das Vereinigte Königreich, Hacker, die mit Erpressersoftware beispielsweise Krankenhäuser angreifen, die nächste industrielle Revolution, Industrie 4.0, und die neue EU-Datenschutz-Grundverordnung.
Diese sicherlich unvollständige Liste zeigt, dass sich Firmen und Behörden, Betriebs- und Personalräte intensiver mit Fragen der Überwachung und des Arbeitnehmerdatenschutzes auseinandersetzen müssen. Einerseits ist es die Aufgabe von gesetzlichen Interessenvertretern, darüber zu wachen, ob sich ihre Arbeitgeber an die bestehenden Gesetze halten, anderseits geht es aber auch darum, den Datenschutz im Büro und in der Arbeit der gesetzlichen Interessenvertretung einzuhalten. Das ist nicht einfach, denn immer wieder legen Arbeitgeber die Datenschutzparagrafen »nach Belieben« aus, und mal ignorieren sie diese einfach. Neben den durch die Geschäftsführungen und Leitungen verursachten Datenschutzproblemen drohen weitere Gefahren im Datenschutz. So gibt es noch die Wirtschaftsspionage, denn die Unternehmenskonkurrenz schläft nicht. Sie interessiert sich für neue Produkte und Entwicklungen, für die Preisgestaltung bei Angeboten oder für die Strukturen in Betrieben und Behörden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt daher immer wieder fest, dass diese Art der Spionage das wirtschaftliche Überleben vieler Betriebe gefährdet und dass Datenschutz kein Luxus sein darf, sondern ein Bereich ist, der höchste Aufmerksamkeit erfordert, um die Zukunft zu sichern.
In der innerbetrieblichen und innerbehördlichen Praxis zeigt sich zudem, dass selbst eine »exzellente« Zusammenarbeit mit der Firmen- oder Behördenleitung nur so lange funktioniert, wie es keine größeren Konflikte in Betrieb und Verwaltung gibt. Spätestens in einer harten Tarifrunde oder wenn eine Abteilung bzw. ein Standort geschlossen oder der Betrieb verlagert werden soll, geht es zur Sache; und der Arbeitgeber wüsste nur zu gerne, welche Aktionen die Interessenvertretung plant oder welche Position diese zu einer personellen Einzelmaßnahme einnimmt. Obwohl die Presse in den letzten Jahren über mehr Datenschutzprobleme berichtet hat und Datensicherheit immer wichtiger wird, ist gleichzeitig festzustellen, dass der persönliche Umgang mit Datenschutzfragen bei vielen Menschen immer lockerer wird. Ein Negativbeispiel ist Facebook, wo sehr viele personenbezogene Daten freiwillig preisgegeben werden. Denn obwohl der Stellenwert eines guten Datenschutzes theoretisch von vielen erkannt und gefordert wird, fühlen sich die meisten Menschen von ihrer praktischen Umsetzung überfordert. Das gilt leider auch für viele Mitglieder von gesetzlichen Interessenvertretungen. Der Datenschutz steht daher in der Praxis oftmals weit hinten auf der To-do-Liste von Interessenvertretungen.
Diese Praxis hat natürlich noch weitere Gründe: So hat sich der Arbeitsdruck in den vergangenen Jahren immens erhöht, vielerorts fehlen daher die Zeit und die Kraft, sich dieses wichtigen Themas anzunehmen, und somit auch die Bereitschaft, sich mit oftmals sehr komplexen Inhalten auseinanderzusetzen. Zudem sind viele Interessenvertreter damit beschäftigt, überzogene Forderungen der Arbeitgeber abzuwehren. Dieses Buch will daher eine kurze, aber fundierte Einführung in den Datenschutz aus der Sicht von Interessenvertretungen geben. Schwerpunkte sind dabei eine Einführung in den Datenschutz mit den wichtigsten Begriffen und Bestimmungen des Bundesdatenschutzgesetzes (BDSG) sowie die konkrete Gefahrenlage und die praktische Umsetzung von datenschutzrelevanten Aspekten in der Praxis einer Interessenvertretung. Besonders im Blick sind dabei die Betriebssysteme und Software von Microsoft, da sie zur Standardausstattung von Büros der Interessenvertretung gehören. Bei der Benutzung eines Computers durch die Interessenvertretung, vor allem im Netzwerk, bei mobilen Geräten (z. B. Notebooks, Tablets, USB-Sticks und Smartphones) oder bei einem Intra- und Internetanschluss, ist die Datensicherheit unter anderem gefährdet durch:
•ungenügendes technisches und juristisches Fachwissen zum Datenschutz,
•ein fehlendes Sicherheitskonzept der Interessenvertretung und seine praktische Umsetzung,
•den leichtfertigen Umgang mit personenbezogenen Daten,
•den fremden Zugriff auf personenbezogene Daten bei nicht gesicherten Computer,
•den fremden Zugriff auf personenbezogene Daten durch eine fehlende oder falsche Benutzerverwaltung,
•illegales Lesen von E-Mails und Dateien, beispielsweise durch den Systemverwalter,
•Sicherheitslücken im Betriebssystem oder in der benutzten Software,
•Verschlüsselungssoftware, die unsichere Schlüssel benutzt oder einen betrieblichen Nachschlüssel enthält,
•Kontrollprogramme, die z. B. jeden Tastaturanschlag protokollieren und regelmäßig Bildschirmfotos machen,
•Hintertürprogramme, sogenannte »Trojanische Pferde«, die die vollkommene Kontrolle über fremde Rechner erlauben,
•Fernwartungstools (tool = Werkzeug), die die gleichen Funktionsmöglichkeiten wie Hintertürprogramme haben,
•Viren, die Daten zerstören können.
Selbst wenn die Computer der Interessenvertretung nicht an das Intranet oder Internet angeschlossen sind, bedeutet das nicht automatisch, dass der notwendige Datenschutz gegeben ist. Ein unverschlossenes Büro der Interessenvertretung und ein nicht durch Passwörter, Verschlüsselung oder andere Sicherheitsmaßnahmen geschützter PC ist vergleichbar mit einem unverschlossenen Auto mit steckendem Zündschlüssel, das auf der Straße parkt – ein lohnendes Objekt, selbst für Gelegenheitsdiebe. Schon die normale Weitergabe von Dateien kann ein Datenschutzproblem sein. Denn Office-Dateien enthalten Informationen, die für den Arbeitgeber von Interesse sein können, und sie sind problemlos auszulesen.
Diese unvollständige Zusammenstellung der Risiken zeigt, wie wichtig der Datenschutz auch für eine gesetzliche Interessenvertretung ist. Und das ist keine Frage der Freiwilligkeit, denn das Bundesdatenschutzgesetz (BSDG) gilt auch für die Interessenvertretung. Es schreibt unter anderem zwingend den Schutz personenbezogener Daten vor unbefugtem Zugriff vor. Einen laxen Umgang mit Daten darf es daher auch und gerade bei einer Interessenvertretung nicht geben.
Natürlich kann und soll das vorliegende Buch nicht die großen Kommentare zum BDSG und anderer wichtiger datenschutzrelevanter Gesetze ersetzen. Es möchte vielmehr dabei helfen, das Problembewusstsein für den Datenschutz zu schärfen und diesen in der Interessenvertretung zu verankern, und praxisbezogene Anregungen zur Umsetzung geben. Daher enthält das Buch viel praktisch umsetzbare Hinweise und Tipps.
Josef Haverkamp
Abs. | Absatz |
|---|---|
ADK | Additional Decryption Key |
AES | Advanced Encryption Standard |
AiB | Arbeitsrecht im Betrieb (Zeitschrift) |
Aufl. | Auflage |
|
|
BAG | Bundesarbeitsgericht |
BBC | British Broadcasting Corporation |
Bcc | Blind Carbon Copy = blinder Durchschlag |
bDSB | betrieblicher oder behördlicher Datenschutzbeauftragter |
BDSG | Bundesdatenschutzgesetz |
BetrVG | Betriebsverfassungsgesetz |
BIOS | Basic Input Output System |
BSI | Bundesamt für Sicherheit und Informationstechnik |
BPersVG | Bundespersonalvertretungsgesetz |
|
|
Cc | Carbon Copy = Durchschlag |
CF | Computer Fachwissen (Zeitschrift) |
CuA | Computer und Arbeit (Zeitschrift) |
|
|
DGIV | Datenschutzbeauftragte der gesetzlichen Interessenvertretung (= Datenschutzbeauftragter des Betriebs- bzw. Personalrats) |
DOS | Disk Operating System |
DSGVO | Europäische Datenschutz-Grundverordnung |
DSS | Data Storage Server (= ein Server zur Speicherung von Daten) |
|
|
EDV | Elektronische Datenverarbeitung |
EFS | Encrypting File System |
ENISA | Europäische Agentur für Netz- und Informationssicherheit |
|
|
FAT | File Allocation Table |
FBI | Federal Bureau of Investigation |
f. | folgende |
ff. | die nachfolgenden (Seiten) |
FoeBuD | Verein zur Förderung des öffentlich bewegten und unbewegten Datenverkehrs e. V. |
GAN | Global Area Network = Weltweites Netzwerk |
GB | Gigabyte |
|
|
HTML | Hypertext Markup Language |
|
|
ID | Identifikation/Benutzerkennung |
IDC | International Data Corporation |
IP | Internetprotokoll |
IPSec | Internet Protocol Secure Protocol = Internetsicherheitsprotokoll |
ISDN | Integrated Services Digital Network |
IT | Informationstechnologie |
|
|
LAN | Local Area Network = Lokales Netzwerk |
MAV | Mitarbeitervertretung |
|
|
Nr. | Nummer |
NSA | National Security Agency |
NTFS | New Technology File System |
|
|
OLE | Object Linking and Embedding = das Verknüpfen und Einbetten von Objekten |
|
|
PC | Personal Computer |
PGP | Pretty Good Privacy |
PIN | Persönliche Identifikationsnummer |
POP | Post Office Protocol |
RTF | Rich Text Format |
S. | Seite |
SMS | Short Message Service |
SRTP | Secure Real Time Protocol |
SSD | Solid State Drive |
SSL | Secure Socket Layer |
StGB | Strafgesetzbuch |
TSL | Transport Layer Security |
USB | Universal Serial Bus = Universelle, externe Schnittstelle |
usw. | und so weiter |
VoIP | Voice over IP = Sprachübermittlung über das Internetprotokoll |
WLAN | Wireless Local Area Network = drahtloses lokales Netzwerk |
WPA | Wi-Fi Protected Access |
WWW | World Wide Web |
z. B. | zum Beispiel |
Quellen Fotos/Grafiken:
BSI, Blockmaster, KYOCERA, Nitrakey, Computer und Arbeit, Kensington.
Beutelspacher, Kryptologie, Eine Einführung in die Wissenschaft vom Verschlüsseln, Verbergen und Verheimlichen, 10. Auflage, 2015
Bott/Siechert/Stinson, Windows 10 für Experten, 2015
BSI (Hrsg.), Die Lage der IT-Sicherheit in Deutschland 2015, 2015
BSI (Hrsg.), IT-Grundschutz-Kataloge, 15. Ergänzungslieferung, 2016
Däubler, Gläserne Belegschaften. Handbuch zum Arbeitnehmerdatenschutz, 6. Auflage, 2015
Däubler, Internet und Arbeitsrecht, 5. Auflage, 2016
Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, Kompaktkommentar, 5. Auflage, 2016
Gieseke, Windows 10 – Das Kompendium, 2016
Gola/Schomerus, BDSG. Bundesdatenschutzgesetz, Kommentar, 12. Auflage, 2015
Saumweber, Windows 10. Das große Handbuch, 2016
Wedde (Hrsg.), Handbuch Datenschutz und Mitbestimmung, 2016
Checkliste zur Rechtmäßigkeit der Nutzung personenbezogener Daten durch die Interessenvertretung
Checkliste DGIV
Checkliste Datensicherheitskonzept der Interessenvertretung
Checkliste Netzwerkkontrolle
Checkliste Fernwartungssoftware
Checkliste Gefahrenabwehr Bot-Netze
Checkliste Kontrollprogramme
Checkliste Firewall
Checkliste Viren
Checkliste sicheres Internet
Checkliste E-Mails
Checkliste Videokonferenz
Checkliste Verschlüsselung mit Windows
Checkliste PGP
Checkliste verräterische Informationen in Dokumenten
Checkliste sichere USB-Sticks
Checkliste Drucker und Kopierer
Checkliste Datensicherung und Archivierung
Checkliste Passwörter