Datenschutz betrifft nicht nur global aufgestellte IT-Konzerne. Die Grundverordnung samt aller zu beachtenden Vorschriften gilt ebenso uneingeschränkt für alle kleinen und mittleren Unternehmen (KMU) der nicht digitalen Wirtschaft.

Die Ambitionen bei der Reform des europäischen Datenschutzes sind nicht zuletzt in der medialen Kommunikation häufig zu sehr auf die Regulierung von Facebook und Google fokussiert und lassen die Betroffenheit der mittelständischen Betriebe außer Acht.

Strengere Regeln auf europäischer Ebene müssen deshalb passgenau auf bestehende Risiken bei sozialen Netzwerken und Suchmaschinen zugeschnitten, aber nicht pauschal und zu Lasten der gesamten übrigen Wirtschaft eingeführt werden. Anspruch und Wirklichkeit liegen gegenwärtig aber noch weit auseinander. So verschärft der Berichterstatter im Europäischen Parlament, Jan Philipp Albrecht (Bündnis 90/DIE GRÜNEN), die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, anstatt gerade hinsichtlich datensparsamer KMU für Entlastung zu sorgen (siehe dazu DSB 2/13, Seite 39).

Albrecht stellt auch die von der Kommission vorgeschlagene Ausnahme für KMU hinsichtlich der Dokumentationspflichten in Frage. Die ohnehin zahlreichen formalistischen Genehmigungs-, Informations- und Dokumentationspflichten werden ohne ersichtlichen Anlass erweitert. Betrieben wird es aufgrund der bürokratischen Anforderungen und der deutlich eingeschränkten Erlaubnistatbestände nachhaltig erschwert, die Daten ihrer Kunden für gezielte Informationen und individuelle Dienstleistungen zu verwenden. Die bewusste Konzentration der Kommission und des Parlamentsberichterstatters auf die Einwilligung als maßgebliche Grundlage für eine rechtmäßige Datenverarbeitung wird absehbar nicht zum eigentlich erwünschten Erfolg einer transparenteren Datenverarbeitung führen, sondern stattdessen die Kommunikation zwischen Betroffenen und Betrieben mit Formalismen und Textbausteinen stören. Die gängige und überwiegend reibungslose Betriebspraxis und Kundenansprache müsste auf den Prüfstand gestellt und neu geordnet werden.

Dies scheint gerade aus Sicht des deutschen Mittelstands ohne Not; bieten doch gerade KMU, die in der Regel lediglich die Daten ihrer Bestandskunden für eigene Werbezwecke nutzen, keinen Anlass für strengere und vor allem formalistischere Regelungen. Rat und Parlament haben im weiteren Verlauf der parlamentarischen Beratungen die Chance, die richtige Zielsetzung der Europäischen Datenschutz-Grundverordnung in praxisnahe und handhabbare Vorschriften umzusetzen. Dies verlangt jedoch mehr denn je eine spürbare Berücksichtigung der Leistungsfähigkeit kleiner Betriebe und eine Besinnung auf den Leitgedanken der europäischen Rechtsetzung „Think small first“.

Dr. Markus Peifer ist Rechtsanwalt und tätig beim Zentralverband des Deutschen Handwerks e.V.

16. Mai, Vortrag, 15.15 Uhr

Probleme kleinerer Unternehmen bei der Einhaltung von Datenschutzvorschriften

Die Vernetzung von Fahrzeugen ist das große Zukunftsthema bei der Mobilität. Worum geht es? Fahrzeuge vernetzen sich mit anderen Fahrzeugen, dem Hersteller oder mit Dritten.

Vernetzte Fahrerassistenzsysteme, Navigationssysteme, Systeme zur Flottensteuerung, die „Black Box“, Fehlerdiagnosesysteme sowie die Einbindung von Smartphone, Tablet und TV sind Standard; sich selbst steuernde Fahrzeuge sind in den USA bereits im Praxistest. Ziele dieser Techniken sind vor allem mehr Sicherheit und Verlässlichkeit, effizienteres Fahren durch Auswählen der besten Routen und Meldung von Staus sowie nicht zuletzt mehr Unterhaltung an Bord eines Fahrzeugs.

Rechtliche Fragen aus diesen Konstellationen gibt es vielfältige, etwa zu Nutzungsrechten, Produkthaftung, Beweisfragen, etc. Der Round Table soll die datenschutzrechtlichen Fragen für die Unternehmenspraxis erörtern. a) Wie erfolgt die Navigation und Flottensteuerung bei Fahrzeugen in der Logistik und im Vertrieb in den Unternehmen? Welche rechtlichen Maßgaben sind dabei einzuhalten, etwa der Standard des § 32g des Entwurfs zum Beschäftigtendatenschutzgesetz? b) Welche personen- und ortsgebundenen Daten werden von Herstellern,  Autovermietern oder Leasing-Gesellschaften gesammelt? Haben die Unternehmen bei Bedarf darauf Zugriff, etwa zur Klärung von Haftungsfragen bei Unfällen? Müssen den Arbeitnehmern auf Anfrage sämtliche dabei erhobenen (Roh-)Daten im Rahmen des Auskunftsrechts zur Verfügung gestellt werden? c) Was müssen Unternehmen umgekehrt  betriebsintern regeln, um eine derartige Nutzung zu ermöglichen und transparent zu machen? Welche Regelungen mit Betriebsräten sind ratsam und möglich?

Dr. Jürgen Hartung, Rechtsanwalt und Partner, Oppenhoff & Partner, Köln

16. Mai, Round-Table, 15.15 Uhr

Fahrzeuge im Netz und Datenschutz

Diese und weitere Fragen werden Herr Dr. Hartung gemeinsam mit dem Konzerndatenschutzbeauftragten der Daimler AG, Herr Dr. Joachim Rieß, im Round-Table intensiv bearbeiten.

Social Media war lange ein rein privates Phänomen. Freunde finden, sich vernetzen, sich verabreden – eine typische Freizeitbeschäftigung. Doch angesichts der rasant wachsenden Nutzerzahlen entdecken die Unternehmen die sozialen Netzwerke mehr und mehr als Medium für Werbung.

Dabei spielt die eigene Unternehmenspräsenz nach wie vor eine wichtige Rolle. Aber auch darüber hinaus etablieren sich die Social Media-Plattformen immer mehr als einer der wichtigsten Werbekanäle.

Die Spielregeln, die es dabei zu beachten gilt, gleichen zwar in vielerlei Hinsicht den Regeln für Werbung im Internet. Es gibt jedoch zahlreiche Besonderheiten für die Werbung im Web 2.0, die neue und spannende Fragen aufwerfen. Und wie immer fallen die Antworten angesichts eines hoffnungslos veralteten Bundesdatenschutzgesetzes nicht leicht.

In der Praxis spielen beispielsweise die zahlreichen „Sharing-Optionen“ eine bedeutende Rolle, also die Möglichkeit, Inhalte über Social Media-Kanäle mit anderen zu teilen. Hier stellen sich zahlreiche offene Fragen. Ist beispielsweise für das Teilen kommerzieller Inhalte stets die Einwilligung des Empfängers erforderlich? Und falls ja, wie kann man diese rechtssicher einholen? Oft bereitet in diesem Zusammenhang die rechtliche Einordnung eines solchen Sharings bereits einige Schwierigkeiten.

Auch das schon zur Genüge diskutierte Thema User Tracking bekommt im Zusammenhang mit Social Media eine ganz neue Tragweite.  Sammelte man im „herkömmlichen“ Internet bislang lediglich IP-Adressen, über die man dann mehr oder weniger treffsicher einen bestimmten Nutzer identifizieren konnte, so bieten die sozialen Netzwerke unbegrenzte Möglichkeiten für Werbetreibende, sehr persönliche Informationen über die individuellen Interessen der Nutzer zu sammeln. Die rechtlichen Grenzen erscheinen jedoch gerade hier noch
sehr verschwommen.

Schließlich bekommen die datenschutzrechtlichen Fragen durch den Trend zum mobilen Internet eine ganz neue Dimension. Die Werbung im mobilen Internet, etwa innerhalb einer App, folgt eigenen Regeln, die ebenfalls oft noch unklar sind. So begegnet es etwa einigen Hindernissen, eine erforderliche datenschutzrechtliche Einwilligung rechtssicher über ein mobiles Endgerät einzuholen. Dabei stehen neben rein technischen Hindernissen (etwa die Größe des Displays der Geräte, auf denen sich komplexe Einwilligungstexte nur schwer darstellen lassen) auch neue Werbeformen wie etwa die In-App-Werbung oder die Verwendung von Standortdaten zu Werbezwecken im Mittelpunkt.

Dr. Ulrich Baumgartner ist Partner im Münchner Büro der Kanzlei Osborne Clarke.

Round-Table 16. Mai, 15.15 Uhr

Social Media Marketing

> Im Round-Table erfahren Sie, wie das Unternehmen den Fallstricken des unternehmerischen Social Media Marketing aus dem Weg gehen kann.

Die altbekannte und klare Trennung zwischen Beruf und Privatleben verschwindet zunehmend. Der eine mag dies als furchtbar neumodisch oder belastend empfinden, viele andere finden es kreativ und anregend. Eine klare Grenzziehung wird zudem durch technische Entwicklungen etwa im Bereich von Smartphones und andere mobilen Geräten erschwert.

Dabei sind mobile Geräte aus Sicht des Datenschutzes nicht unproblematisch. Der sonst übliche Zugriffsschutz als technische und organisatorische Maßnahme in Firmengebäuden entfällt nahezu vollständig. Um ein gleichbleibendes Sicherheitsniveau zu gewährleisten, sind daher zusätzliche Maßnahmen im Rahmen der im Anhang zu § 9 BDSG geforderten Kontrollen einzurichten.

Noch weiter gehen diese Anforderungen, wenn Mitarbeiter eigene Geräte mit in das Unternehmen einbringen wollen. Das Konzept „Bring Your Own Device“ (BYOD) ermöglicht es zwar dem Mitarbeiter, eine gewohnte Arbeitsplattform zu nutzen, stellt aber das Unternehmen vor eine Reihe von Herausforderungen, sowohl aus technischer als auch rechtlicher Perspektive.

das Unternehmen, gefordert, personenbezogene Daten zweckgebunden und gesetzeskonform zu verarbeiten. Dafür bedarf es der Kontrolle und der Zugriffshoheit auf eigene Daten. Da ein „own device“ aber zum Eigentum des Mitarbeiters gehört, sind Zusatzvereinbarungen zur Nutzung im Beschäftigungsverhältnis erforderlich. Der Mitarbeiter muss dabei Zugriffsrechte auf die Daten des Unternehmens gewähren und dies auch für den Fall zusichern, dass er als Mitarbeiter ausscheidet oder das Gerät verliert. In beiden Fällen wird das Unternehmen versuchen, schützenswerte Daten bei bestehender Netzverbindung auf dem Gerät zu löschen. Ein solcher „Remote-Wipe“ kann dabei auch private Daten des Mitarbeiters umfassen, was dieser unter Umständen nicht wünscht.

Doch neben den Geräten bringen Mitarbeiter auch weitere Technologien in das Unternehmensumfeld ein: die Nutzung eigener Netze, zum Beispiel des häuslichen WLAN, eigene Apps und Programme, deren Lizenzbedingungen für den geschäftlichen Einsatz ungeklärt sind, oder eigene Speicherplätze für Dateien, etwa in Cloudsystemen. Technische Maßnahmen sind dabei nur einer der Hebel, die das Unternehmen in Gang setzen muss. Es sollte darüber hinaus die Organisation des Geräteeinsatzes klar regeln und das Bewusstsein der Mitarbeiter für die Gefahren von BYOD schärfen.

Jörg Steinhaus ist Datenschutzbeauftragter der Fresenius SE & Co. KGaA, Bad Homburg

16. Mai, Vortrag, 11.30 Uhr

Bring Your Own Technology— Keine Grenzen mehr zwischen Privat und Beruf?

> Wie technische Maßnahmen der Trennung der Privat- von der beruflichen Sphäre, wie organisatorische Vorgaben an die Beschäftigen bei BYOD aussehen müssen und wie dabei dem Datenschutz genüge getan wird, zeigt der Vortrag des Referenten.

Big Data ist im Marketing und insbesondere im Bereich Customer Relations zu einem viel genutzten Schlagwort geworden. Dahinter verbirgt sich im Wesentlichen die Idee, über drei verstärkende Faktoren neue Geschäftsmodelle für existierende und neue Kunden zu schaffen.

Massive Daten
Es sollen alle nur erdenklich möglichen Daten gesammelt werden, auch wenn sie keine direkte Beziehung zu Kunden oder Umsatz haben. Es gibt viele Modelle, bei denen aufgrund von neuen, andersartigen Daten ganz neue Wirkungsbeziehungen entstehen, die zu neuen Kundenbeziehungen und Geschäft führen (zum Beispiel Groupon).

Echtzeit-Daten (real-time data)
Echtzeit-Datenverarbeitung sorgt dafür, dass der Kunde in einer bestimmten Situation (beispielsweise einer Kaufentscheidung) mit einer auf ihn und seine Situation zugeschnittenen Marketingmaßnahme angesprochen wird. Das eröffnet ganz neue und schnellere Geschäftsabschlüsse (zum Beispiel passend zugeschnittene Display-Werbung auf einer E-Commerce-Seite).

Hochrechnungen von Daten (Prediction)
Selbst wenn nur wenige einzelne Kunden durch eine direkte Marketing-Kampagne angesprochen werden, kann durch den Einsatz massiver Daten eine Hochrechnung erfolgen. Man sucht dann so genannte statistische Zwillinge, die ein sehr ähnliches Verhalten zeigen, auch wenn sie gegebenenfalls noch nicht Kunde sind. Damit kann die Sample-Größe für eine Marketing-Kampagne deutlich erweitert werden und das Potenzial, neues Geschäft zu machen steigt erheblich.

Bewertung
Bei Big Data kommt dem Datenschutz besondere Bedeutung zu, da gegenüber anderen Geschäftsansätzen viel mehr Daten erhoben werden und die Daten viel direkter gesammelt werden (zum Beispiel bei einer Verhaltensbeobachtung des Kunden). Die aktuell bestehenden Datenschutzgesetze sind anwendbar und es muss sehr sorgfältig deren Einhaltung der  Datenschutzgesetze geprüft werden. Es kommen nämlich neue schnellere und mächtigere Technologien zum Einsatz, so dass größere Gefahren bestehen, beispielsweise personenbezogene Daten ohne Einwilligung zu erheben oder zu verarbeiten.

Vorteile von Big Data
Big Data mit den drei beschriebenen Ansätzen (massive Daten, Echtzeit-Daten, Prediction) kann zu deutlich schnellerer und effizienterer Kundengewinnung und Monetarisierung der Kunden führen. Ziel ist es, sehr differenziert Kunden zu erreichen, und zwar möglichst in dem Augenblick, wenn diese sich im Kaufprozess befinden. Ferner können auch statistische Zwillinge durch hochgerechnete Ähnlichkeiten angesprochen werden, so dass noch mehr potentielle oder aktuelle Kunden erreicht werden können. Die Einhaltung der  Datenschutzvorgaben muss genau geprüft werden.

Prof. Dr. Christoph Bauer
Geschäfstführer ePrivacyconsult und Professor für Entrepreneurship und Medien
Hamburg School of Business Administration, Hamburg

16. Mai, Vortrag, 9.05 Uhr

Big Data — Wie Unternehmen jetzt und in Zukunft Kundendaten nutzen

> Der Referent wird im Vortrag deutlich machen,  wie bei Big Data der Datenschutz nicht auf der Strecke bleibt.

In einem Industrieunternehmen wird nach langen und intensiven Verhandlungen eine Betriebsvereinbarung über die Einführung eines zentralen Personalsystems abgeschlossen. Bestandteil der Vereinbarung ist ein Rollen- und Berechtigungskonzept.

Hierzu wird festgelegt, dass dessen Einhaltung in regelmäßigen Abständen durch einen externen Sachverständigen überprüft wird, der eine spezielle Auditsoftware einsetzt. Der Sachverständige wird vom Betriebsrat benannt. Als die erste Prüfung ansteht, interveniert der betriebliche Datenschutzbeauftragte unter Berufung darauf, dass die notwendige Datenverarbeitung gegen einschlägige datenschutzrechtliche Vorgaben verstößt. Der Arbeitgeber folgt dieser Rechtsmeinung. Der Betriebsrat stimmt daraufhin in kollektivrechtlich zulässiger Weise keiner Veränderungen des laufenden Systems mehr zu und kündigt die abgeschlossene Betriebsvereinbarung.

Die vorstehende wahre Begebenheit steht exemplarisch für eine Vielzahl von Problemen, die in der betrieblichen Praxis entstehen können, wenn der Regelungsgehalt des BDSG mit dem des BetrVG aufeinander trifft. Es macht zugleich deutlich, dass das Zusammenspiel von datenschutz- und kollektivrechtlichen Normen zu manchmal nicht vorhersehbaren Schwierigkeiten und Konsequenzen führen kann.

Sollen Probleme wie das beschriebene vermieden werden, ist es notwendig und sinnvoll, dass bei kollektiven Verhandlungsprozessen zwischen Arbeitgebern und Betriebsräten von Anfang an spezifische Anforderungen und Grenzen beachtet werden, die sich aus dem BDSG ableiten. Wenig hilfreich ist es in diesem Zusammenhang, dass der Bereich des klassischen Datenschutzrechts nicht Bestandteil einschlägiger Mitbestimmungsrechte nach dem BetrVGist. Für betriebliche Datenschutzbeauftragte führt diese Situation zu einer schwierigen Gratwanderung: Einerseits müssen sie auf die Einhaltung des BDSG und der dort enthaltenen gesetzlichen Vorgaben hinwirken. Andererseits müssen sie es mit Blick auf die gebotene Neutralität ihres Amtes vermeiden, kollektivrechtliche Verhandlungsprozesse zwischen Arbeitgebern und Betriebsräten unangemessen zu beeinflussen. Um dennoch Lösungen zu finden, die beiden Rechtsmaterien gerecht werden, ist es in der Praxis oftmals notwendig, neue Wege zu suchen und zu gehen.

Prof. Dr. Peter Wedde
Direktor, Europäische Akademie der Arbeit, Universität Frankfurt

15. Mai, Vortrag, 17.10 Uhr

Datenschutzrechtliche Problemfelder zwischen Betriebsrat, betrieblichen Datenschutzbeauftragten und der Geschäftsführung

Der Referent wird aufzeigen, wie der Datenschutzbeauftragte die Gratwanderung zwischen Datenschutzrecht und Betriebsverfassungsrecht meistern kann.

Datenschutzpannen sind handfeste Unternehmenskrisen und damit Chefsache. Werden Kundendaten von Hackern gestohlen oder gehen sie sonst verloren, sind schnelle und überlegte Maßnahmen der Unternehmensleitung erforderlich.

Sobald der Datenverlust Kunden und Medien bekannt wird, muss mit negativer Berichterstattung und empörten Kundenreaktionen gerechnet werden. Handelt es sich bei den abhandengekommenen Daten zudem um sensible Gesundheits-, Bank- oder Kreditkartenkontendaten und werden die Kunden und  Datenschutzaufsichtsbehörden nicht rechtzeitig informiert, droht ein Bußgeld von bis zu EUR 300.000,–.

Es wäre verfehlt, diese Krise „aussitzen“ zu wollen und eine längere aufsichtsbehördliche oder gerichtliche Klärung abzuwarten, denn leider gilt in vielen Medien zwischenzeitlich der Grundsatz, dass Geschwindigkeit vor Genauigkeit geht. Was auf den ersten Blick aussieht wie ein Datenschutzskandal, wird in der Öffentlichkeit schnell wie ein solcher behandelt. Während der echte oder scheinbare Datenverlust zur Headline wird, schafft es die nach gründlicher Prüfung entlastende Feststellung, dass doch kein Datenschutzverstoß vorlag, zumeist allenfalls noch in die Rubrik „Kurz berichtet“. Ähnlich wie im Straßenverkehr sind die „Sofortmaßnahmen am Unfallort“ von entscheidender Bedeutung. Gleich nach Kenntnis des Datenverlustes gilt es, zügig die erforderlichen zielführenden Gegenmaßnahmen einzuleiten. Nach dem „Stopfen“ des Datenlecks ist Kernpunkt die Fragestellung, mit wem, wann und wie kommuniziert
wird.

Eigenheiten hat und ein Diebstahl und ein sonstiges Abhandenkommen sich voneinander unterscheiden, gibt es in der öffentlichen Wahrnehmung solcher Datenpannen und damit auch bei den Gegenmaßnahmen Parallelen. Deshalb sollten Unternehmen bereits vor einer solchen Datenpanne einen Notfallplan mit maßgeschneiderten Sofortmaßnahmen auf das eigene Haus
für die Datenschutzkrise aufstellen. Auch wenn eine derartige in Ruhezeiten gestaltete Checkliste für den Notfall nicht jede künftige Besonderheit erfassen kann, schafft sie doch ein Mehr an Sicherheit, weil nicht jede erforderliche Maßnahme erst in der akuten Krise überlegt und systematisiert werden muss.

Michael Siegert, Rechtsanwalt, Rechtsanwälte Siegert & Keller

15. Mai, Vortrag, 17.10 Uhr

Maßnahmen bei Datenschutzpannen: Praxis-Checkliste für die Datenschutzkrise

> Welche Punkte bei einer Datenschutzkrise abzuarbeiten sind, wird im Vortrag anhand einer pragmatischen Checkliste gezeigt werden.

Auch gewisse Umgehungen, wie der Einsatz von Screenshot-Apps, werden blockiert. Sicher ist das dennoch nicht. Wer glaubt, vergessbar kompromittierende Bilder zu versenden, irrt. Jedenfalls das normale Abfotografieren ist natürlich weiterhin möglich. Und auch nicht alle Screenshot-Bilder können verhindert werden. Wer wie auch immer elektronisch Fotos versendet, sollte im Hinterkopf behalten, dass er im Zweifel die Kontrolle darüber aufgibt, wer das Foto erhält.

So geschehen zuletzt im März 2013 in New Jersey, USA, wo ein Schüler ein Nacktfoto einer minderjährigen Mitschülerin als Screenshot an eine andere Foto-Sharing-App weitergegeben hatte und sich dann einer Durchsuchung ausgesetzt sah.

Dr. Philipp Kramer

Mitarbeiterumfragen sind ein wichtiges Instrument, mit dem moderne Arbeitgeber zu ermitteln suchen, was ihre Arbeitnehmer beschäftigt, wie sie zu ihrem Unternehmen stehen, wie zufrieden sie sind und welche Veränderung sie sich wünschen. Mitarbeiterumfragen werden heute nur noch selten in Papierform durchgeführt; moderne webgestützte Systeme ermöglichen schnelle und umfassende Umfragen sowie eine einfache und doch aussagekräftige Auswertung der Ergebnisse.

Eine breite Beteiligung ist aber nur zu erreichen, wenn die Mitarbeiter darauf vertrauen, dass die Umfrage und ihre Auswertung datenschutzkonform erfolgen, und dass offen vorgetragene Auffassungen ihnen nicht zum Nachteil gereichen. Dieser Kurzbeitrag beleuchtet die Kernanforderungen an die datenschutzgerechte Durchführung von Mitarbeiterumfragen.

Auswahl des richtigen Systems
Viele Anbieter stellen webgestützte Umfragesysteme im Internet zur Verfügung. Sie sind echte Alternativen zu „handgestrickten“ internen Lösungen. Achten Sie aber auf die Vertragsbedingungen! Gerade vordergründig kostenlose Dienste lassen sich die Anbieter „bezahlen“, indem sie sich die Erlaubnis zur Nutzung von EMail-Adressen und Umfrageinhalten einräumen lassen; hier ist die kostenpflichtige Lösung vorzugswürdig. Achten Sie darauf, wo der Anbieter sitzt, und von wo aus er die Umfrage durchführt. Anbieter in der EU und dem EWR erfordern weniger aufwändige Vertragskonstrukte als solche in Drittstaaten.

Auswahl der richtigen Fragen
Achten Sie darauf, möglichst geschlossene Fragen zu stellen, um messbare Antworten zu erhalten. Freitextfelder führen zu schwer vergleichbaren, oft kaum objektivierbaren Ergebnissen. Skalen-Bewertungen, beispielsweise numerische, sind besser – aber nur, wenn die Fragen richtig ausgearbeitet sind.

Hilfe zur richtigen Nutzung
Erläutern Sie die Umfrage richtig; der Mitarbeiter muss erkennen können, welche Informationen von ihm abgefragt werden. Weisen Sie darauf hin, dass die Umfrage anonym ist, wenn sie es wirklich ist! Freitextfelder beenden die Anonymität schnell, wenn in sie personenbezogene Daten eingetragen werden. Falls Sie Freitextfelder nutzen, geben Sie vor, welche Informationen dort eingetragen und nicht eingetragen werden dürfen. Bereinigen Sie die Ergebnisse, bevor Sie sie vorstellen. Falls Sie Zitate oder Testimonials abfragen, die zur Veröffentlichung bestimmt sind, lassen Sie den Mitarbeiter in die Veröffentlichung gesondert einwilligen, und stellen Sie das Ausfüllen frei. Weisen Sie auch dann darauf hin, dass der Inhalt der Zitate den Verfasser erkennen lassen kann.

Sicherung gegen Überwachung
Der Eindruck, die Anonymität sei nicht gewahrt, macht jede Umfrage ineffizient und wirkt breiter Beteiligung entgegen. Treffen Sie technische Vorkehrungen gegen diesen Eindruck und teilen Sie dies den Mitarbeitern mit. Wird im Unternehmen die Internetnutzung protokolliert, nehmen Sie die Umfrage von der Protokollierung aus. Ein externes System kann das Vertrauen erhöhen – beim internen System können Zweifel bleiben, ob nicht doch die Nutzung beobachtet wird. Sichern Sie externe Umfragen gegen unbefugten Zugang! Für Wettbewerber sind schon die Fragen allein interessant.

Beteiligung der Arbeitnehmervertretungen
Beteiligen Sie frühzeitig die zuständigen Arbeitnehmervertretungen, sofern solche (Betriebsräte und gegebenenfalls Gesamtbetriebsräte) im Unternehmen errichtet sind. Je nach Inhalt der Fragen und der Verwendung der Umfrageergebnisse können Informationsrechte oder Mitbestimmungsrechte im engeren Sinn insbesondere wegen der Verwendung von Personalfragebogen, der Aufstellung von Beurteilungsgrundsätzen oder der Anwendung von technischen Einrichtungen zur Verhaltens- oder Leistungsüberwachung bestehen. Mit der Beteiligung der Arbeitnehmervertretungen erfüllen Sie nicht nur gesetzliche Verpflichtungen, sondern erhöhen auch das Vertrauen der Mitarbeiter.

Mitarbeiterumfragen sind in Vorbereitung und Durchführung keineswegs „auf die Schnelle“ zu machen. Falls Sie aber diese Kernanforderungen beachten, können Sie die Umfragen datenschutzkonform durchführen, und es kommt nicht zu Situationen wie dieser:
http://dilbert.com/strips/comic/2010-09-01/

> Im Vortrag wird deutlich, wie Mitarbeiterumfragen so vorbereitet werden, dass sie Datenschutzanforderungen standhalten.

Markus Stamm ist Senior Counsel, Volker Uebbing ist Leiter Arbeits- und Sozialrecht der Alcatel-Lucent Deutschland AG