Datensicherheit vs. Datenschutz: Beschäftigtendatenschutz am Beispiel des Einsatzes der Kassensoftware „LossPrevention“

In einem Beitrag für die August-Ausgabe 2011 der Fachzeitschrift “Computer und Arbeit” stelle ich am Beispiel der Kassensystem-Auswertungs-Software “Loss Prevention” die grundsätzlichen datenschutz- und mitbestimmungsrechtlichen Rahmenbedingungen für den Einsatz von Data Loss Prevention (DLP)-Tools im Überblick dar:

Datensicherheit versus Datenschutz

Beschäftigtendatenschutz am Beispiel des Einsatzes der Kassensoftware „LossPrevention“

In Zeiten wie diesen, in denen Informationen – und vor allem die Herrschaft über sie! – zum wertvollsten Gut eines Unternehmens gehören, rücken die Kernthemen der Verantwortlichen für die IKT-Sicherheit in Unternehmen verstärkt in den Fokus der öffentlichen Wahrnehmung. Exemplarisch hierfür sei auf die aktuellen öffentlich gewordenen Datenlecks bei großen Unternehmen (nicht nur) der Unterhaltungselektronik, sozialen Netzwerken, Banken und Behörden hingewiesen.

Betrieblichen Maßnahmen zum Datenschutz und zur Datensicherheit wird in der Folge dieser Entwicklung (wenn auch zum Teil ersichtlich erst unter dem Eindruck bereits bekanntgewordener eigener Versäumnisse) aufgrund der potenziell schwerwiegenden Folgen, die etwa ein ungewollter und unkontrollierbarer Informationsabfluss für den geschäftlichen Erfolg und das Kundenvertrauen haben kann[1], auch unternehmensintern inzwischen erkennbar häufiger die gebührende Priorität eingeräumt.

Für die begriffliche Funktions-Kennzeichnung entsprechender betrieblicher Präventivmaßnahmen, die sowohl als Software als auch als Hardware von den Herstellern entsprechenden IT-Sicherheitslösungen angeboten werden, ist mittlerweile der englische Begriff „Data Loss Prevention“ (auch in der Abkürzung DLP) verbreitet.

Nun liegt es allerdings bei der Ein- und Durchführung geeigneter Maßnahmen zum Schutz von Informationen im Arbeitsverhältnis in der Natur der Sache, dass diese fast ausnahmslos mit Beschränkungen und Kontrollen verbunden sind, die den Beschäftigten auferlegt werden.

Hierbei wird man sicherlich eine ganze Reihe von Absicherungen benennen können, deren Sinn sich auch dem Laien ohne Weiteres erschließt und die für einen verständigen Mitarbeiter objektiv nachvollziehbar und akzeptabel sind. So wird etwa niemand ernsthaft ein Problem damit haben, wenn ein Arbeits-PC den Anschluss externer Datenträger nicht zulässt, wenn diese Funktion für dienstliche Zwecke nicht benötigt wird oder wenn die PC-Nutzung nur unter Verwendung einer gültigen, regelmäßig wechselnden Zugangskennung möglich ist.

Aber in vielen Fällen geht es tatsächlich weniger um Datenschutz als um Datensicherheit. Die Begriffe sind in ihrer Bedeutung nicht synonym und soweit es den Datenschutz betrifft, wird diese auch gelegentlich verkannt. Denn obwohl der Wortsinn des Begriffs „Datenschutz“ es vordergründig nahelegen mag: Geschützt werden durch ihn nicht die Daten, sondern stets der Mensch, der …