Jobadu.de Menü

Jobadu.de - Jobs und Infos

Analyse betrieblicher Vereinbarungen zum Cloud Computing*

Publikation

Kurzinfo

Titel der Publikation

Analyse betrieblicher Vereinbarungen zum Cloud Computing

Quelle

Hans-Böckler-Stiftung

Kurzbeschreibung

Obwohl die cloudgestützte Verarbeitung von Beschäftigtendaten ansteigt, bildet sich diese Tatsache nicht in Betriebsvereinbarungen ab. Werden zwingende Mitbestimmungsrechte nicht oder zumindest noch nicht ausgeübt?

Download

Publikation zeigen

Link zur Publikation

Ihre Weiterempfehlung

Gefällt Ihnen diese Publikation? Möchten Sie Freunde, Bekannte und Kollegen über diese Publikation informieren? Wir stellen Ihnen die Links zur Verfügung, mit denen Sie eine Weiterempfehlung in den sozialen Medien realisieren können.

Publikation bei Facebook weiterempfehlen
Publikation bei Twitter weiterempfehlen
Publikation bei Linkedin weiterempfehlen
Publikation bei Xing weiterempfehlen
Publikation bei Whatsapp weiterempfehlen

Mit einem Mausklick oder einem Fingertipp öffnen Sie die entsprechende Funktion.

Textauszug

Entwicklung des Cloud Computing Allgemeine Hinweise auf die Datenverarbeitung in der Cloud Regelungspunkte bei cloudbasierter Datenverarbeitung Aufbewahrungsfristen, Löschfristen Grenzüberschreitender Datenverkehr, Konzerndatenfluss, Auftragskontrolle Leistungs- und Verhaltenskontrollen Problematik der cloudfähigen Software EuGH-Urteil zum Safe-Harbor-Abkommen Die Sichtung des Archivs Betriebliche Vereinbarungen der Hans-Böckler-Stiftung ergab 13 Vereinbarungen aus 10 unterschiedlichen Branchen, die sich direkt oder indirekt mit dem Thema Cloud Computing beschäftigen und Gegenstand der vorliegenden Auswertung wurden. Angesichts der in den letzten Jahren stark ansteigenden Verwendung von cloudbasierten Anwendungen in Unternehmen ist dies eine verschwindend geringe Zahl, zumal sich mehrere Vereinbarungen auf die gleiche Software beziehen. Die Materie weist jedoch neben der geringen Regelungsanzahl noch weitere Besonderheiten auf: Zum einen war aus den vorliegenden Vereinbarungen größtenteils nicht ersichtlich, dass es sich um Anwendungen handelt, die nicht mehr im Unternehmen selbst angesiedelt sind. Vielmehr konnte die Tatsache, dass eine Cloud-Datenverarbeitung im Hintergrund steht, oft nur aus den bekannten Namen der Software selbst geschlossen werden. Dabei ist gerade die cloudgestützte Datenverarbeitung selbst stark regelungsbedürftig. Zum einen ist oft nicht klar erkennbar, wo sich die Server-Standorte befinden und welchen Umfang der Zusammenschluss von Server-Farmen weltweit annehmen kann, wenn die Software in Auftragsspitzen die größtmögliche Auslastung erzielt. Datenschutzrechtlich kann jedoch nicht abgewichen werden von dem Grundsatz, dass gerade auch der Ort der Datenverarbeitung ein wesentliches Kriterium für die Sicherheit der Mitarbeiterdaten darstellt. Denn so sicher Regelungen in Deutschland sein können - wenn die Daten ins außereuropäische Ausland transportiert werden, entstehen gewaltige Regelungslücken, da dort geltende Gesetze oftmals keinen Schutz bieten. Zum anderen wurden die bei der außereuropäischen Cloud-Datenverarbeitung zwingend notwendigen vertraglichen Regelungen zwischen Arbeitgeber und Software- bzw. Cloud-Anbieter selten in den betrieblichen Regelungen erwähnt. Ein Mitbestimmungsgremium kann seinen Schutzpflichten jedoch nur nachkommen, wenn der Arbeitgeber hier seine Auflagen erfüllt nämlich die Absicherung der Datenströme durch Auftragsdatenverarbeitungsverträge oder den Abschluss der EU-Standardvertragsklauseln. Diese und viele weitere Punkte sind oftmals jedoch noch weitestgehend ungeklärt. Die untersuchten Vereinbarungen stammen überwiegend aus den letzten drei Jahren und es wäre zu erwarten gewesen, dass sich mit dem Aufkommen der Verlagerungswellen von Kommunikationsdaten oder Reisekostenabrechnungsdaten in die internationalen Clouds die innerbetrieblichen Regelungen verschärfen. Viel hat sich hier jedoch in den letzten Jahren nicht getan, so dass grundlegende Regelungspunkte unzureichend ausgestaltet sind oder teilweise ganz fehlen. Es scheint ein zunehmendes Problem zu sein, dass die Ausgestaltung der digitalen Informationsverarbeitung nicht mehr verstanden wird. Die Folge wird sein, dass ohne sachkundige Unterstützung kaum noch eine Vereinbarung rechtssicher abgeschlossen werden kann, um die Daten der Beschäftigten ausreichend zu schützen. Es wird hier noch viel Arbeit auf die Gremien zukommen. Cloud Computing bedeutet, dass IT-Software, IT-Hardware sowie diverse Anwendungen von einem Drittanbieter über das Internet zur Verfügung gestellt und entstehende Daten entsprechend in einer Cloud gespeichert werden. Die bisher im lokalen Rechenzentrum vorgehaltenen IT-Ressourcen von Unternehmen sind das Geschäftsmodell und werden je nach Nutzung mit dem, der sie bereitstellt, abgerechnet. Unternehmensinterne Rechenzentren gehören der Vergangenheit an. Längerfristige Investitionen für Technologie werden reduziert, es entstehen vor allem noch operationale Kosten für den Dienstleister. Zur Verfügung gestellt wird alles was denkbar ist: IT-Infrastruktur, Netz-Plattformen, Speicherkapazitäten, Abwicklung von Geschäftsprozessen etc. Die Arbeit von IT-Abteilungen verändert sich, sofern sie überhaupt noch im Unternehmen existieren. Zahlreiche Arbeitsabläufe können ver- und ausgelagert werden, weil via Cloud der Arbeitsort nicht mehr das Unternehmen selbst sein muss. Je nachdem wo Daten gespeichert werden, drängen sich verstärkt Fragen zum Datenschutz und zur Datensicherheit auf. Safe Harbour ist ein entsprechendes Stichwort. Dabei geht es darum, dass personenbezogene Daten aus EU-Staaten in externen Clouds in den USA gespeichert werden, obwohl das Datenschutzniveau der USA nicht dem europäischen Schutzniveau entspricht. Safe Harbour (sicherer Hafen) ist ein Verfahren und soll das Schutzniveau gewährleisten. Inzwischen wurde diese Regelung gekippt und soll durch ein neues EU-US-Datenschutzschild ersetzt werden. Die Meldungen in Presse- und Fachveröffentlichungen zu Cloud Computing variieren in den letzten Jahren stark. Berichte über Zugriffsmöglichkeiten von US-amerikanischen und europäischen Sicherheitsbehörden auf Datenwolken wechseln sich ab mit Ankündigungen über neuartige homomorphe Verschlüsselungstechnologien, die die Datenhaltung in Clouds sicherer machen sollen (vgl. Kirsch 2011 und Dr. Datenschutz 2013). Erst vor kurzer Zeit entschied ein amerikanischer Richter, dass er Zugriffe auf Daten, die in europäischen Clouds gespeichert sind, anordnen dürfe und wird so zum Schreckgespenst der IT-Industrie, die die Cloud-Daten vor dem Zugriff der NSA in Sicherheit bringen wollte (vgl. Schröder/Spieß 2014). Bei all dem ist Cloud Computing trotzdem die Zukunft der Datenver arbeitung. Aufgrund der Flexibilität und allzeitigen Verfügbarkeit, die das Datenvorhalten in der Speicherwolke ermöglicht, wird es sinnvollerweise kein Zurück zu ortsgebundenen Lösungen geben. Genau dies ist der Anknüpfungspunkt, wenn es um die Frage der Regelung von unternehmens seitiger Datenspeicherung geht: Viele der heutigen Anwendungen greifen bereits auf Daten zu, die nicht mehr im Betrieb vorgehalten werden, sondern über Dienstleister kostengünstig aber extern bereitgestellt werden. Das Wissen jedoch, wo genau die betrieblichen Daten - beispielsweise Beschäftig tendaten - heute gespeichert sind, ist oft kaum oder gar nicht vorhanden. Betriebliche Interessenvertretungen greifen dabei auf Regelungen zurück, die noch aus Zeiten stammen, als die Daten vor Ort blieben und damit höchstens dem Risiko betrieblicher Geheimnisverletzungen ausgesetzt waren. Solche Gefahren waren jedoch wesentlich besser in den Griff zu bekommen. Die handelnden Akteure waren bekannt, die rechtliche und tatsächliche Kontrolle konnte relativ einfach ausgeübt werden. Allenfalls gegenläufige Interessenlagen zwischen Arbeitgeber und Arbeitnehmern mussten beachtet und ausgeglichen werden. Heute kommen vollkommen neue Akteure hinzu: zum Beispiel Anbieter von cloudgestützten Lösungen, die ihren Sitz oft im Ausland haben. Sie richten ihr Hauptaugenmerk regelmäßig nicht auf (deutsche) Datenschutzgesetze, sondern auf eine mögliche Effizienzsteigerung ihrer Produkte. Unternehmen werben mit Slogans wie Cloud Your Car - Fahrerüberwachung ist besser als Rätselraten. Anlässlich solcher Drittinteressen müssen Softwarelösungen auch vor dem Hintergrund notwendiger Auftragsdatenverarbeitungsverträge neu überdacht oder zumindest neu betrieblich geregelt werden. Auf der Basis der bereits bestehenden Regelungen wird im Folgenden herausgearbeitet, ob Unternehmen und betriebliche Interessenvertretungen bereits einen Standard für den Umgang mit der Tatsache etabliert haben, dass sie die alleinige Kontrolle über die Daten aus der Hand geben. Es wird auch aufgezeigt, wie und wo versteckte Cloud-Lösungen hinter vermeintlich einfachen Anwendungen stehen und welche betrieblichen Regelwerke daher Lücken in der Durchsetzbarkeit beinhalten - und wie diese geschlossen werden können. Ein derart umfassendes Thema wie Cloud Computing lässt sich nicht vollständig für alle Einsatz- und Regelungsmöglichkeiten beschreiben. Ziel ist daher, die bestehenden Vereinbarungen und Richtlinien so aufzubereiten, dass den Nutzern unterschiedliche Vorgehensweisen differenziert ersichtlich werden. Hieraus können die betrieblichen Interessenvertretungen Handlungsstrategien ableiten, wenn sie im eigenen Unternehmen mit der Anforderung konfrontiert sind, neue Regelungen erstellen zu müssen...

Menü Jobadu.de
Abschlussleiste