Über das Projekt

BeDaX ist ein Forschungs- und Entwicklungsprojekt der INPUT Consulting gGmbH unterstützt von ver.di, der Vereinten Dienstleistungsgewerkschaft. Die Abkürzung steht für Index Beschäftigtendatenschutz und will analog dem DGB-Index Gute Arbeit (https://index-gute-arbeit.dgb.de/) ein fundiertes Instrument zur Selbstbewertung des Beschäftigtendatenschutzes im Betrieb, Unternehmen oder Verwaltung zur Verfügung stellen.

Komplexe rechtliche Vorgaben des Beschäftigtendatenschutzes – einschließlich ungeklärter Rechtsfragen – wurden betrachtet und in ein schematisiertes, auf Erhebungsfragen basierendes System zur Selbstbewertung des Schutzniveaus für Beschäftigten überführt. Aus sozialwissenschaftlicher Perspektive wird ein methodisch abgesichertes Selbstbewertungsinstrument entwickelt, mit dem die komplexen Sachverhalte und rechtlichen Anforderungen durch die Anwender bewertet werden.

Das Projekt greift den von ver.di eingebrachten Vorschlag aus dem Weißbuch Arbeit 4.0 des Bundesministeriums für Arbeit und Soziales zur Entwicklung eines „Index Beschäftigtendatenschutz“ auf. Dort wird dies als wichtiges Instrument dargestellt, um Arbeitgeber, Betriebsräten und KMU (kleine und mittelständische Unternehmen) hinsichtlich der konkreten Umsetzung von gesetzlichen Datenschutzanforderungen in einer digitalisierten Arbeitswelt zu unterstützten. Ziele hierbei sind „wissenschaftlich fundierte, anwendungsbezogene Qualitätsmaßstäbe für den Beschäftigtendatenschutz, die – im Sinne eines wissenschaftlichen Tools für die Selbstbewertung oder auch im Rahmen einer Zertifizierung – den Beschäftigtendatenschutz in Betrieben vergleichbarer und handhabbarer machen“ (BMAS: Weißbuch Arbeiten 4.0, 2017, S. 150).

In der ersten Phase des Projektes BeDaX wurden grundlegende Anforderungskataloge und Qualitätsmaßstäbe für die Ziele und Verfahren des Beschäftigtendatenschutzes ermittelt. Dazu wurden die entscheidenden technischen, rechtlichen, ethischen und arbeits- und sozialwissenschaftlichen Anforderungen zusammengetragen, strukturiert und in Faktoren gegliedert. Daraus wurden übergeordnete Qualitätsmaßstäbe gebildet und die einzelnen Faktoren zugeordnet. Jeder Faktor wurde dann mit konkreten Fragen untergliedert und damit bewertbar gemacht.

Als Start in das Selbstbewertungstool wurden 27 Einstiegsfragen formuliert. Sie ermitteln markante Risikofelder im Betrieb oder in der Verwaltung und fragen nach bestehenden Regularien. Die Einstiegsfragen fließen nicht direkt in den Index ein, erheben aber wichtige Rahmenbedingungen für den Schutz der Persönlichkeitsrechte und weisen auf wichtige Gestaltungsfelder hin.

Werden in ihrem Unternehmen Beschäftigte via RFID-Transponder, GPS, Satelliten, über das Mobiltelefon usw. geortet?
Wurden oder werden Ortungsprofile von einzelnen Beschäftigten (über einen Zeitraum wo, wie lange gearbeitet wurde) erstellt?
Gibt es eine Betriebs- oder Dienstvereinbarung zum Thema Ortung?
Gibt es eine Arbeitsanweisung zum Thema Ortung?
Werden zur Zugangskontrolle im Unternehmen Stimme, Fingerabdruck, Gesichts-/Handgeometrie, Iris, Retina oder Venenbild genutzt?
Gibt es zur Zugangskontrolle eine Betriebs- oder Dienstvereinbarung?
Gibt es zur Zugangskontrolle eine Arbeitsanweisung?
Werden Fotos, auf denen Beschäftigte abgebildet sind, betrieblich genutzt?
Liegen Einwilligungen für die Nutzung der Fotos vor?
Gibt es eine gesetzlich begründete Erlaubnis zur Nutzung der Fotos? (aus Art. 6 Abs. 1 lit. b oder f DSGVO / § 26 BDSG?)
Gibt es zur Nutzung von Fotos eine Betriebs- oder Dienstvereinbarung?
Gibt es zur Nutzung von Beschäftigtenfotos eine Arbeitsanweisung?
Werden Gespräche zwischen Beschäftigten am Telefon oder Gespräche mit Kunden aufgezeichnet oder mitgehört?
Gibt es zur Aufzeichnung oder Mithören von Gesprächen eine Betriebs- oder Dienstvereinbarung?
Gibt es zum Aufzeichnen oder Mithören von Gesprächen eine Arbeitsanweisung?
Gibt es im Unternehmen Videoüberwachung, bei der Beschäftigte erfasst werden?
Gibt es zur Videoüberwachung eine Betriebs- oder Dienstvereinbarung?
Gibt es zur Videoüberwachung eine Arbeitsanweisung?
Gibt es im Unternehmen cloudbasierte Anwendungen wie z.B. Microsoft 365?
Gibt es zu cloudbasierten Anwendungen eine Betriebs- oder Dienstvereinbarung?
Gibt es zu cloudbasierten Anwendungen eine Arbeitsanweisung?
Gibt es im Unternehmen Analysetools (Auswertungsprogramme), mit denen Leistungs- oder Verhaltensdaten der Beschäftigten erhoben werden?
Gibt es zu den Analysetools eine Betriebs- oder Dienstvereinbarung?
Gibt es zu den Analysetools eine Arbeitsanweisung?
Werden besonders sensible Daten (ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit) verarbeitet?
Wird die Verarbeitung besonders sensibler Daten durch eine Betriebs- oder Dienstvereinbarung geregelt?
Gibt es für die Verarbeitung besonders sensibler Daten eine Arbeitsanweisung?
(Abbildung: Vorabfragen)

Für den Index Beschäftigtendatenschutz, wurden insgesamt 8 Qualitätsmaßstäbe definiert, die in Faktoren unterteilt werden. Jeder Faktor wird mit in Fragen gekleidete Indikatoren weiter untergliedert. Diese Fragen dienen als Analyseinstrument für die untersuchten Sachverhalte und Eigenschaften. Insgesamt besteht das Befragungstool aktuell aus 116 Erhebungsfragen.

Alle Qualitätsmaßstäbe, Faktoren und Indikatoren beziehen sich auf das Beschäftigungsverhältnis. Damit wird die Überprüfung des Schutzniveaus für den Beschäftigtendatenschutz ermöglicht und konkrete Schutzlücken angezeigt.

Aus dem Ergebnis der Indexerhebung können Empfehlungen für eine praxistaugliche, angemessene sowie rechtskonforme Lösung abgeleitet werden. Je mehr Mitbestimmungsakteure sich an der Erhebung beteiligen, desto aussagekräftiger wird die Einschätzung zur Üblichkeit der Lösungen Dies kann und sollte für die Einflussnahme auf die Reglementierung von IT und KI-Systemen in Unternehmen oder Verwaltungen berücksichtigt werden.

Die Qualitätsmaßstäbe und Faktoren des Index Beschäftigtendatenschutz sind:

Ethik und AnstandSchutz, Fairness, Würde, Gleichbehandlung, Teilhabe
RechtskonformitätZulässigkeit, Erlaubnistatbestand, Zweckbindung, Drittlandstransfer, Auftragsverarbeitung, Datenschutz by Design und by Default, Automatisierte Entscheidungen, Datenschutzfolgenabschätzung, Datensparsamkeit, Datenschutzbeauftragter, Betroffenenrechte, Meldepflichten
VerantwortungZuordnung – Transparenz der Verantwortung, Datenschutzmanagementsystem, Gemeinsame Verantwortung, Ressourcen bei der Datenschutzorganisation
TransparenzDatenschutzleitlinien, Verzeichnis von Verarbeitungstätigkeiten, Verständlichkeit, Meldung der Schutzverletzung,
KontrollfähigkeitInformations- und Auskunftsrechte, Revision, Löschroutine, Steuerbarkeit
QualitätssicherungDatensicherheit, technische und organisatorische Maßnahmen, Dokumentation
RisikoangemessenheitRisikoanalyse und Robustheit der Systeme,
KompetenzQualifizierung, Praxisrelevanz der Vorgaben, Selbstdatenschutz, Datenschutzbeauftragte
(Abbildung: alle Qualitätsmaßstäbe und deren Faktoren des Index Beschäftigtendatenschutz)

Das Befragungstool wird nun in Betrieben und Verwaltungen getestet. Die entwickelten Anforderungskataloge und Qualitätsmaßstäbe werden in unterschiedlichen Fallkonstellationen angewendet, evaluiert und fortentwickelt, um eine breite Wissensbasis für den Index zu gewinnen. Die so weiterentwickelten und evaluierten Qualitätsmaßstäbe, Faktoren und Erhebungsfragen werden dann in Anwendungsstudien auf Funktionsfähigkeit, Schlüssigkeit und Akzeptanz untersucht

Wer Interesse an einer Erprobung des Index Beschäftigtendatenschutz in seinem/ihrem Betrieb oder Verwaltung hat, kann sich gerne an den Projektleiter Karl-Heinz (Charly) Brandl wenden.

Parallel zur Entwicklung des Index wird ein Informationsangebot zum Beschäftigtendatenschutz hier zur Verfügung gestellt. Dabei werden alle wichtigen Informationen zu relevanten betrieblichen Themen (z.B. Big Data, Data Analytics, Workflowsysteme, Künstliche Intelligenz, GPS-Ortung, Mobiles Arbeiten, Homeoffice, Agiles Arbeiten, cloudbasiertes Arbeiten) zusammengetragen und ständig aktualisiert.

Projektleiter und Ansprechperson ist Karl-Heinz (Charly) Brandl – brandl@input-consulting.de (geprüfter Datenschutzbeauftragter DSB-TÜV, Industriemeister Nachrichtentechnik, Gewerkschaftssekretär).

Rechtswissenschaftlich wird das Projekt von Univ.-Prof. Dr. Jürgen Taeger (Carl von Ossietzky Universität Oldenburg) und politisch von Lothar Schröder (ehemaliges Vorstandsmitglied ver.di) als Vorsitzender des Projektbeirates begleitet.