Datenschutzsouveränität in der digitalen Arbeitswelt

Datenschutzsouveränität in der digitalen Arbeitswelt

Im Forschungsprojekt “Inverse Transparenz” arbeitet die Software AG daran mit, die Datenverwendung für den Beschäftigten selbst transparent zu gestalten.

Im Arbeitsprozess fallen immer mehr Daten an, die unterschiedlich dokumentiert und sichtbar sind. Nicht immer wird für den Mitarbeiter transparent, was mit diesen Daten geschieht. Entwickelt sich hier nicht das Potenzial für eine umfassende Kontrolle und Überwachung von Beschäftigten und ihrer Arbeit? Genau damit befasst sich das vom Bundesministerium für Bildung und Forschung geförderte Forschungsprojekt Inverse Transparenz.

Mit „Vertrauenskultur statt Kontrollkultur“ setzt das Projekt ein neues Paradigma: die konsequente Teilnahme der Mitarbeiter an der Kontrolle der Verwendung ihrer Daten. Diese Offenheit zielt auf die Kontrolle der Beschäftigten (Employee Empowerment) über die eigenen Daten, stärkt das Vertrauensverhältnis zu seinem gesamten Umfeld und bietet eine regelkonforme Grundlage für den Datenumgang. Durch die Digitalisierung in der Produktentwicklung werden bei der Software AG z.B. alle Aufgaben in dem Problemverfolgungstool iTrac erfasst und priorisiert und die jeweiligen Arbeitsprozesse- und -schritte geplant. Die zentralen Systeme und ihre Daten stehen einer breiten Masse an Datennutzern, Teammitgliedern, Führungskräften, dem Management, und gegebenenfalls anderen interessierten Abteilungen für weitere Arbeitsschritte bzw. zur Informationsgewinnung zur Verfügung.

Gefahr des gläsernen Mitarbeiters

Die Daten führen zu einem digitalen Abbild der Arbeitsweise des Mitarbeiters. Technisch gesehen ermöglichen es die Systeme ohne großen Aufwand eine Verhaltens- und Leistungskontrolle über jeden Systemnutzer oder Mitarbeiter zu erstellen. Ganz im Stil des „Gläsernen Menschen“, könnte jeder Schritt verfolgt werden. Die Leistungen ließen sich mit denen anderer Kollegen vergleichen. Der Mitarbeiter könnte so in seinem Handeln, seiner Arbeitsweise und seiner Effektivität transparent werden, sich damit beobachtet und eingeschränkt fühlen und aufgrund dessen könnte sein Handeln und Verhalten beeinflusst werden.

Zusätzlich zu den klassischen Instrumentarien zum Schutz der Mitarbeiterdaten, wie sie z.B.: das Datenschutzgesetz, das Betriebsverfassungsgesetz, der Schutz durch den IuK-Ausschuss und den Betriebsrat als Kontrollorgan etc. darstellen, ist es das Ziel des Projekts „Inverse Transparenz“, die Datensouveränität der Beschäftigten zu stärken und ihnen aufzuzeigen, wie ihre Daten im Unternehmen genutzt werden, ohne einen Datenmissbrauch fürchten zu müssen.

Inverse Transparenz setzt auf drei zentrale Prinzipien:

  • „Watch the Watcher“: Die Verwendung von Daten für die Beschäftigten sichtbar machen
  • Beteiligung: Beschäftigte zu Akteuren eines beteiligungsorientierten Datenschutzes befähigen
  • Empowerment: Beschäftigte zur aktiven Nutzung von Daten befähigen, um eigenständig Arbeitsprozesse und Organisationsstrukturen zu verbessern

 

Expertengespräche in der Software AG

Um im Projekt ganz nah am Beschäftigten zu sein, wurden Mitarbeiter bei uns in der Software AG befragt. Die Kollegen aus allen drei wissenschaftlichen Einrichtungen des Projekts erhoben Daten an den Standorten Saarbrücken und Darmstadt. Das Sample bestand aus 22 Interviewten bei der Software AG – 14 in Darmstadt und acht in Saarbrücken. Die Interviews führten die Kollegen als Expertengespräche mit VertreterInnen des Managements aus diversen Leitungsfunktionen (Bereichs-, Abteilungs- und Teamleiter), aus HR, dem Betriebsrat sowie mit den Beschäftigten aus Entwicklung und Support durch. Dabei ging es um Fragen wie „Welche Bedeutung haben Daten im Arbeitsalltag?“ oder „Wie nutzen Beschäftigte selbst Daten aus dem Arbeitsprozess?“ und „Wie erleben sie die Transparenz?“.

Alle Interviews wurden bereits qualitativ ausgewertet. Erste Teilergebnisse der Forschungspartner zeigen, dass jüngere Befragte prinzipiell offener mit der Transparenz ihrer Daten umgehen, während etablierte Kollegen skeptischer gegenüber dem Vorhaben waren. Allerdings ist festzuhalten, dass auch sie, wie die jüngeren Kollegen, den Mehrwert der Transparenz erkannt haben und schätzen.

 

Kollegen für Praxislaboratorien gesucht

Das 36-monatige Projekt gliedert sich in drei Phasen: Analysephase, Pilotierungsphase und Transferphase. Am Ende jeder Phase steht ein Wissenschafts-Praxis-Dialog, bei dem sich Forschungspartner und die Software AG zusammenfinden, um die zentralen Befunde zu evaluieren und weiterzuentwickeln.

Im zweiten Quartal des nächsten Jahres soll dann in Praxislaboratorien der Prototyp in der Praxis angewendet werden. Es werden noch Kollegen aus der Entwicklung in Deutschland gesucht, die das Tool testen wollen. Wer Interesse hat, kann sich gerne bei den Projektleitern Christian Gengenbach oder Klotilda Muca melden.

 

Das Projekt Inverse Transparenz

In dem interdisziplinären Forschungsprojekt arbeiten drei wissenschaftliche Einrichtungen mit: das Institut für sozialwissenschaftliche Forschung München (ISF München), die Technische Universität München (TU München) und die Ludwig-Maximilians-Universität München (LMU München). Sie alle haben es sich zum Ziel gesetzt, Potenziale und Anwendungsszenarien inverser Transparenz in einer digitalen Arbeitswelt zu bestimmen. Die Software AG ist nicht nur ein relevanter Forschungspartner aus der Industrie, sondern hat die spezielle Rolle des Anwendungspartner in allen Phasen der Forschung übernommen. Konkret bedeutet dies, dass bei der Software AG die Pilotlösungen erprobt und Erfolgsfaktoren für eine breite Anwendbarkeit und Umsetzung des Kozepts entwickelt werden.

Teilen:
An der EU-Datenschutz-Grundverordnung führt kein Weg vorbei

An der EU-Datenschutz-Grundverordnung führt kein Weg vorbei

Im Mai 2018 wird die Anwendung der Datenschutz-Grundverordnung der EU (EU-DSGVO) verpflichtend. Die Vorbereitung darauf ist für Unternehmen zeitraubend und aufwendig, und sehr viele haben noch gar keine Vorkehrungen getroffen. Die Analysten von Gartner gehen davon aus, dass 50 Prozent der Unternehmen, die von der EU-DSGVO betroffen sind, bis Ende 2018 die neuen Anforderungen nicht vollständig erfüllen werden.

Wer das ungute Gefühl hat, nicht ausreichend vorbereitet zu sein, und keine Sanktionen aufgrund von Verstößen riskieren will, sollte umgehend die folgenden ersten Schritte unternehmen.

  • Prüfen Sie, ob die EU-DSGVO für Ihr Unternehmen gilt
    Sie denken: „Für uns ist das nicht relevant, unser Unternehmen hat seinen Sitz nicht innerhalb der EU.“ Moment! Die EU-DSGVO betrifft nicht nur Unternehmen in der EU. Sie gilt für jede Organisation, die durch den Vertrieb von Gütern und Dienstleistungen – auch wenn diese kostenlos sind – personenbezogene Daten von Einwohnern der EU verarbeitet oder deren Verhaltensmuster erfasst. Das heißt: Auch viele Unternehmen außerhalb der EU sind betroffen.
  • Zuständigkeiten festlegen
    Die EU-DSGVO sieht vor, dass Organisationen einen Datenschutzbeauftragten benennen müssen, wenn ihre Kerntätigkeit „in der Durchführung von Verarbeitungsvorgängen besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“ oder wenn ihre Kerntätigkeit in der „umfangreichen Verarbeitung besonderer Kategorien von Daten“ besteht.
  • Wie sich die EU-DSGVO auf Prozesse, Daten und Systeme auswirkt
    Laut der neuen Verordnung müssen Unternehmen ermitteln und erfassen, welche Geschäftsprozesse personenbezogene Daten enthalten. Es ist Pflicht zu dokumentieren, wie die Daten verarbeitet werden, um festzustellen, welche Datenschutzrisiken mit Ihren Geschäftsprozessen und den zugrunde liegenden Systemen verbunden sind. Auch Kontrollen und Verfahren zum Schutz der Vertraulichkeit, Korrektheit und Verfügbarkeit dieser Daten gehören zu den neuen Standards. Die Effektivität Ihrer Maßnahmen muss nachweisbar sein – das erfordert kontinuierliches Testen und Überprüfen Ihrer Methoden.
  • Fremdfirmen und externe Anbieter
    Die Auslagerung von Prozessen an Dritte entbindet Sie nicht von Ihren Pflichten zur Einhaltung der EU-DSGVO. Die Verantwortung liegt nach wie vor bei Ihnen. Wenn Fremdfirmen oder externe Anbieter in Ihre Verarbeitungsprozesse einbezogen sind, müssen Sie sicherstellen, dass auch dort die entsprechenden Kontrollmaßnahmen zum Schutz personenbezogener Daten angewendet werden.
  • Eindeutige, transparente Einwilligungserklärung
    Die EU-DSGVO schreibt vor, dass betroffene Personen ausdrücklich der Erfassung und Verarbeitung ihrer Daten zustimmen müssen. In den meisten Fällen ist es nicht mehr zulässig, den Nutzern automatisch angekreuzte Kästchen anzuzeigen oder stilles Einverständnis vorauszusetzen. Sie müssen Ihre aktuellen Datenschutz- und Offenlegungserklärungen überprüfen und, wenn erforderlich, anpassen.
  • Mitteilungspflichten
    Machen Sie es Ihren Kunden leicht, ihre Einwilligung zu widerrufen. Es gibt eine neue Bestimmung, die Personen ein „Recht auf Vergessen“ zusichert. Beruft sich ein Nutzer darauf, müssen Organisationen seine Daten löschen. Zusätzlich sind sie verpflichtet sicherzustellen, dass auch alle anderen Parteien, denen Sie die Daten zur Verfügung gestellt haben, diese Daten löschen. Außerdem dürfen Betroffene, ihre personenbezogenen Daten in einem lesbaren, übertragbaren Format einfordern, was Nutzern die Auswahl von (Online-)Services erleichtern soll.
  • Einführung von Prozessen zur Meldung von Verstößen
    Nach der EU-DSGVO ist ein Verstoß gegen den Schutzes personenbezogener Daten wie folgt definiert: „Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt , die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden.“ Diese muss „unverzüglich und möglichst binnen 72 Stunden“, nachdem die Verletzung bekannt wurde, an die Aufsichtsbehörde gemeldet werden.
  • Grenzüberschreitender Datentransfer
    Im Falle eines internationalen Datentransfers müssen Sie sicherstellen, dass Sie eine legitime Basis für die Übertragung personenbezogener Daten in Drittstaaten haben, deren Datenschutzgesetze in der EU als nicht angemessen gelten.

An der EU-Datenschutz-Grundverordnung führt kein Weg vorbei, und ihre Einhaltung erfordert eine Menge an Vorbereitung. Fangen Sie jetzt damit an!

In unserem kostenlosen Webinar zeigen wir anhand von praxisnahen Beispielen, wie Sie sich optimal auf die EU-DSGVO vorbereiten. Melden Sie sich an und machen Sie sich fit für die neue Datenschutz-Grundverordnung!

Teilen: