Datenschutzkonzepte bei der Einführung von Workflow-Management-Systemen

Transkript

1 Herrmann, Th.; Bayer, E. (1999): Datenschutzkonzepte bei der Einführung von Workflow-Management-Systemen. In: Herrmann, Th.; Scheer, A-W.; Weber, H. (Hrsg.): Verbesserung von Geschäftsprozessen mit flexiblen Workflow-Management-Systemen. Band 4, Heidelberg: Physika Verlag, S Datenschutzkonzepte bei der Einführung von Workflow-Management-Systemen Thomas Herrmann 1, Elke Bayer 1 1 Fachgebiet Informatik und Gesellschaft, FB Informatik, Universität Dortmund Zusammenfassung Bei der Verarbeitung personenbezogener Daten durch Workflow-Management- Systeme (und ggf. weiterer Auswertungssysteme), insbesondere im Rahmen der Optimierung von Geschäftsprozessen, müssen datenschutzrechtliche Aspekte berücksichtigt werden. Da die in Workflow-Management-Systemen (WMS) verarbeiteten personenbezogenen Daten zum Teil zum Zweck der Leistungs- und Verhaltenskontrolle verwendet werden können, sind sie gemäß 87 Abs.1 Ziff. 6 des Betriebsverfassungsgesetzes mitbestimmungspflichtig und können Gegenstand divergierender Interessenlagen im Betrieb sein. Management und Betriebsräte stehen häufig vor dem Problem, bei der Einführung von WMS geeignete begleitende Maßnahmen des Datenschutzes entsprechend den datenschutzrechtlchen Vorschriften zu finden. Um beiden zu helfen, mit dieser Problematik umzugehen, werden die rechtlichen Rahmenbedingungen, die für WMS besondere Relevanz haben, kurz vorgestellt und die Eigenschaften und Möglichkeiten in WMS analysiert, die betriebliche Regelungen erforderlich machen. Darauf aufbauend wird ein Konzept zur Regelung dieser Erfordernisse vorgeschlagen, das die Flexibilität der Systeme möglichst wenig einschränkt und die Optimierung der Geschäftsprozesse nicht behindert. Die Aufstellung der Regelungserfordernisse kann von Management und Betriebsräten bereits dazu genutzt werden, um abzugleichen, ob bestehende betriebliche Regelungen ausreichen oder ob neue Regelungen zu treffen sind und wenn ja, welche. Das hier vorgeschlagene Regelungskonzept ist eine Kombination aus technisch unterstützten Datenschutz-Prozessen und organisatorischen Maßnahmen, die selbst wieder als Geschäftsprozeß dargestellt und einem kontinuierlichen Verbesserungsprozeß unterworfen werden können, der sich auf die zur Anwendung kommenden Regeln bezieht.

2 1 Einleitung Grundlage der Ergebnisse der folgenden Beschreibung sind die Auswertung der angegeben Literatur sowie die praktische Erfahrung in MOVE. Im Rahmen von MOVE wurden in einem Workshop zum Thema Datenschutzaspekte bei der Einführung von Workflow-Management-Systemen Ausgangslage, rechtliche Rahmenbedingungen und Vorschläge zu Maßnahmen sowie Erfahrungen zu der Berücksichtigung datenschutzrechtlicher Aspekte bei Workflow-Management-Systemen (WMS) erarbeitet und diskutiert. Die hier vorgestellten Regelungskonzepte wurden im Rahmen des MOVE-Projektes dem Management, Betriebsräten und Gliederung: Abschnitt 2 gibt einen Überblick über die rechtlichen Rahmenbedingungen, die bei WMS zu berücksichtigen sind. Dabei steht der Schutz der personenbezogenen Daten der Arbeitnehmer im Vordergrund. Abschnitt 3 befaßt sich mit der Analyse verarbeiteter personenbezogener Mitarbeiterdaten in WMS. In Abschnitt 4 wird untersucht, welche Abfrageund Auswertungsmöglichkeiten der verarbeiteten personenbezogenen Daten in WMS bestehen. Die Verarbeitung dieser Daten zieht Regelungserfordernisse nach sich, die jeweils zusammenfassend dargestellt sind. Abschnitt 5 enthält Vorschläge zu technisch unterstützten Datenschutz-Prozessen und organisatorischen Maßnahmen, die vor und während des Einsatzes einer Workflow- Management-Anwendung zu berücksichtigen sind. Die Abschnitte 2 und 5 sind je nach dem verfolgten Interesse bei der Lektüre dieses Beitrags Datenschutzbeauftragten eines Unternehmens vor der Einführung eines WMS vorgestellt und sind bei der Formulierung einer Vereinbarung herangezogen worden. Die rechtlichen Rahmenbedingungen und Datenschutzkonzepte wurden Rechtsexperten zur Begutachtung vorgelegt und dabei vorgenommene Ergänzungen und Kommentare in den Beitrag aufgenommen. In diesem Beitrag wird in den Modellen die Modellierungsmethode SeeMe (Soziotechnische semistrukturierte Modellierungsmethode) verwendet (vgl. Abb. 2 - Abb. 10), die die Darstellung sozio-technischer und semi-strukturierter Aspekte von Kommunikations- und Kooperationsbeziehungen unterstützt (vgl. zur Vertiefung in die Modellierungsnotation SeeMe: [ Herrmann et al. 1998] sowie [ Herrmann et al.1999]). Gerade bei der Modellierung der Abläufe und Eigenschaften eines Systems aus datenschutzrechtlichem Blickwinkel ist es wichtig, wechselseitige Abhängigkeiten von soziotechnischen Prozessen abzubilden. Dabei sind soziale Aspekte wie organisatorische Strukturen, Kommunikationsstrukturen, Erwartungen und Interessen, Qualifikationen und Rechte von Personen relevant, deren Beschreibung SeeMe unterstützt. Wesentlich erscheint bei der Modellierung der datenschutzrechtlichen Aspekte auch die Möglichkeit der Repräsentation von Vagheit [ [Herrmann&Loser 1998], die z.b. die Kennzeichnung unvollständiger oder unsicherer

3 Information ermöglicht. Die in diesem Beitrag verwendeten Symbole werden zu den Modellen bei ihrer erstmaligen Verwendung erläutert. Beim Workflow-Management ist aus datenschutzrechtlicher Sicht die Erhebung und Verarbeitung personenbezogener oder personenbeziehbarer Daten mit Hilfe von WMS von Relevanz (vgl. zur Unterscheidung [ Däubler et al. 1996, S.21 ff.]). Dabei sind personenbezogene Daten nach 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener). Die in WMS verarbeiteten personenbezogenen Daten können zum Teil zum Zweck der Leistungs- und Verhaltenskontrolle verwendet werden. Deshalb sind WMS gemäß 87 Abs.1 Ziff. 6 des Betriebsverfassungsgesetzes (BetrVG) mitbestimmungspflichtig. Ein Personenbezug wird auch dann unterstellt, wenn es sich um sogenannte personenbeziehbare Daten handelt, deren Personenbezug mit einem noch vertretbaren Aufwand durch Hinzunahme von Zusatzwissen herstellbar ist (vgl. [ Däubler 1987, S. 202]). Im folgenden Beitrag wird auf eine Unterscheidung der Begriffe personenbezogener beziehungsweise personenbeziehbarer Daten verzichtet und zusammenfassend der Begriff personenbezogene Daten verwendet. Das SeeMe-Modell in Abb. 2 zeigt die Phasen der kontinuierlichen Verbesserung von Geschäftsprozessen. Die Erhebung und Verarbeitung personenbezogener Daten beginnt nicht erst mit der Inbetriebnahme eines WMS, sondern ist in allen Phasen der Geschäftsprozeßoptimierung (vgl. hierzu auch den dem MOVE- Vorhaben zugrundeliegenden Zyklus [ MOVE-Band 1: Just-Hahn et al. 1998, S. 8]) mittels solcher Systeme relevant. Dies gilt auch für die Beteiligung der Mitarbeiter und für die Mitbestimmung. Ausgangspunkt ist die Erhebung der Daten, die zur Identifizierung geschäftsprozeßrelevanter Vorgänge im Betrieb führen soll und Potentiale zur Verbesserung der Geschäftsprozesse erbringen soll. Bereits diese Daten spiegeln Aspekte der Leistung oder des Verhaltens von Mitarbeitern wieder oder genauer gesagt das, was von ihnen selbst oder von Vorgesetzten hierzu geäußert wird. Da es letztlich im Interesse des Unternehmens selbst liegt, daß auch kritische Punkte benannt werden, ist es für den Aussagegehalt der Erhebungen von besonderer Bedeutung, daß nachvollziehbare Maßnahmen zur Verifizierung und zum Schutz dieser Daten vorgenommen werden. Eine Benennung kritischer und verbesserungswürdiger Aspekte und deren Verbesserung ist zudem wichtig im Hinblick auf eine breite Akzeptanz des Systems und neuer Verfahren bei allen Betroffenen. Im Rahmen der Modellierung von Geschäftsprozessen, die auch die Analyse und Sollkonzeption von Verbesserungen der Prozesse einschließt, werden sowohl auf einzelne Mitarbeiter oder Arbeitsgruppen beziehbare Schwächen und Stärken im Rahmen der Arbeitsverteilung als auch hinsichtlich der Auslastung von Abteilungen analysierbar. Durch die Sollkonzeption können Entscheidungen zur Ver-

4 änderung der Aufgabengestaltung und Arbeitsorganisation getroffen werden. Hierbei sind die Unterrichtungs- und Beratungsrechte des Betriebsrats zu berücksichtigen. Außerdem wird durch die Art der Modellierung, etwa hinsichtlich der Detailliertheit, auch vorstrukturiert, unter welchen Gesichtspunkten Daten später aggregiert und statistisch ausgewertet werden können. Bei der Systemauswahl und Implementierung der Geschäftsprozesse auf einem System werden wichtige Entscheidungen hinsichtlich der technischen Möglichkeiten der Verarbeitung personenbezogener Daten getroffen. Hier fällt letztlich die Entscheidung, was in welcher Form gespeichert wird und welche Möglichkeiten der Umsetzung datenschutzrechtlicher Regelungen gegeben sind. Zum Beispiel verfügen unterschiedliche Systeme über unterschiedliche Mechanismen der Aggregierung und Auswertung von Daten, entweder durch eigene Funktionalität, die Funktionalität der unterliegenden Datenbank oder z. B. zusätzlicher On-Line Analytical Processing (OLAP) oder Data-Mining Anwendungen. Hier sind auch Möglichkeiten der Anonymisierung von Relevanz, die jedoch nur von wenigen Systemen angeboten werden. Die Systemauswahl und damit die Möglichkeiten und Restriktionen durch das konkret gewählte Produkt und letztlich die am Markt verfügbaren Systeme haben einen großen Einfluß auf die Ausprägung der in diesem Beitrag vorgeschlagenen Datenschutzkonzepte.

5 Erhebung Beteiligung und Mitbestimmung Modellierung, Analyse und Verbesserung Evaluation der Geschäftsprozesse WMS Systemauswahl und Implementierung Qualifizierung, Erprobung, Anwendung Anpassung Erläuterung zur Modellierungsnotation SeeMe Aktivität a b Aktivitäten repräsentieren Operationen an Entitäten, Arbeitsaufgaben, Verrichtungen und Tätigkeiten. Kontrollfluß: Wenn die Aktivität abgeschlossen ist startet die Aktivität b. Entität c Entitäten sind Ressourcen zur Ausführung von Aktivitäten. Sie repräsentieren z.b. Dokumente, Dateien, Nachrichten, Wissen und Information. a und b sind Subaktivitäten von c. a b Nicht spezifizierte Subaktivitäten der Aktivität a sind mit Subaktivitäten der Aktivität b verbunden. a b Abb. 2: Phasen der kontinuierlichen Verbesserung von Geschäftsprozessen Wenn das WMS nach Qualifizierung der Mitarbeiter und einer Erprobungsphase zur Anwendung kommt, werden mit jedem neuen Fall, der bearbeitet wird, Daten produziert und gespeichert, die sich auf Mitarbeiter beziehen lassen. Es wird gespeichert, wann wer, in welcher Rolle, welchen Auftrag welchen Geschäftsprozeßtyps erhält und wie lange er für die Bearbeitung braucht. Auftretende Ausnahmen (wie z.b. Terminüberschreitungen) können abgespeichert werden, Adhoc-Anpassungen oder Abweichungen werden dokumentiert, und es werden Daten festgehalten, die für eine spätere Verbesserung der Geschäftsprozesse von Nutzen sein können.

6 Sie werden im Rahmen der Evaluation der Geschäftsprozesse ausgewertet, um als Grundlage für die weitere Optimierung der Arbeitsorganisation zu dienen. Unter Umständen wird im Rahmen der Evaluation erneut eine Erhebung durchgeführt. Bei der Evaluation ist 87 Abs. 1 Ziff. 12 BetrVG besonders zu beachten, in dem ein Mitbestimmungsrecht zu den Grundsätzen des betrieblichen Vorschlagswesens gewährt wird. In manchen Fällen kann es notwendig werden, in dem beschriebenen Zyklus nach Beendigung der Aktivitäten einer Phase in die vorgelagerte Phase zurückzukehren. Der Durchlauf eines Gesamtzyklus erfordert in der Regel einen längeren Zeitraum. In einer Phase können aber notwendige Änderungen vorhergehender Phasen offensichtlich werden (z.b. wenn sich herausstellt, daß die in der Modellierung, Analyse und Verbesserung vorgegebenen Abläufe durch kein auf dem Markt zur Verfügung stehendes System unterstützt werden können) oder es können in einer Phase Fragen auftreten, die in der vorgehenden Phase direkt geklärt werden könnten (bei der Evaluation könnte z.b. die Erforderlichkeit weiterer Daten aus der Anwendung offensichtlich werden). Ein direktes Weitergehen im Zyklus würde Fehler oder Lücken weiter mitführen, die durch Rücksprünge in vorherige Phasen schnell behoben werden können. Alle Phasen der kontinuierlichen Verbesserung von Geschäftsprozessen! (vgl. Abb. 2) sind bereits für die Mitbestimmung relevant. Die Mitbestimmungsrechte von Betriebs- und Personalräten gemäß 87 Abs. 1 Ziff. 6 BetrVG bzw. 75 Abs. 3 Ziff. 17 Bundespersonalvertretungsgesetz (BPersVG) setzen nach der Rechtsprechung bereits dann ein, wenn eine technische Einrichtung zur Leistungs- und Verhaltenskontrolle auch nur geeignet ist. Das Bundesarbeitsgericht (BAG) räumt Interessenvertretungen bei Verstößen gegen das Mitbestimmungsrecht sogar das Recht ein, Maßnahmen per einstweiliger Verfügung zu stoppen. Ziel dieses Beitrags ist es, eine Regelung zum Umgang mit personenbezogenen Daten in WMS zu finden, die einerseits die datenschutzrechtlichen Bestimmungen berücksichtigt und andererseits die kontinuierliche Verbesserung der Geschäftsprozesse und damit die Flexibilität von WMS möglichst wenig einschränkt. Bei der Konzeption einer solchen Regelung muß man sich bei WMS mit besonderen Problematiken auseinandersetzen. Wenn man mit WMS das recht allgemeine Ziel einer kontinuierlichen Verbesserung von Geschäftsprozessen" verfolgt, dann muß man sich mit dem Dilemma arrangieren, daß man nur eine unpräzise Grundlage hat, um die Zweckbindung der zu speichernden personenbezogenen Daten zu beurteilen. Da man schwer absehen kann, welche Daten zur Identifizierung von Schwach- und Starkstellen sowie zur Konzeption von Verbesserungsmöglichkeiten benötigt werden, erscheint eine breitangelegte, präventive Datensammlung zweckmäßig. Dies widerspricht jedoch datenschutzrechtlichen Prinzipien, die eine präzise Festlegung der Verarbeitungs-

7 zwecke im vorhinein bezogen auf bestimmte Maßnahmen und eine Reduzierung der abgespeicherten Daten auf das erforderliche Minimum vorsehen. Weiterhin ist davon auszugehen, daß bei divergierenden Interessen unterschiedliche Auffassungen hinsichtlich der Frage herrschen, ob ein Datum für die angestrebten Zwecke erforderlich ist oder nicht. Bei WMS besteht ein besonderes Interesse an der Auswertung von Bearbeitungsdaten. Diese Auswertungen können im Rahmen eines kontinuierlichen Verbesserungsprozesses genutzt werden, um die Geschäftsprozesse zu optimieren und auf aktuelle Erfordernisse abzustimmen. Die Architektur von WMS erleichtert es im Unterschied zu Systemen mit festverdrahteten Abläufen, solche Anpassungen regelmäßig vorzunehmen. Daher ist auch ein Interesse an einer regelmäßigen Auswertung der für solche Anpassungen benötigten Daten naheliegender als bei anderen Systemtypen, wie z.b transaktionsorientierte Vorgangsbearbeitungen oder Produktionssteuerungssystemen. Im folgenden Beitrag werden zunächst kurz die rechtlichen Rahmenbedingungen vorgestellt, die bei der Einführung und dem Einsatz von Workflow- Management-Anwendungen (WMA) zu berücksichtigen sind. Dabei wird die Betrachtung auf die gesetzlichen Regelungen zum Arbeitnehmerdatenschutz beschränkt. Auf Lieferanten- und Kundendatenschutz wird in dem Beitrag nicht eingegangen, da bezüglich dieser Daten in WMS keine besonderen Eigenschaften und Problematiken im Vergleich zu herkömmlichen Sachbearbeitungssystemen zu erkennen sind. Hierzu ist allerdings anzumerken, daß die in den Unternehmen diskutierten Data-Warehouse-Konzepte häufig erst durch entsprechende Workflow-Konzepte möglich werden oder zumindest stark mit ihnen korrespondieren. Eine genaue Untersuchung von möglichen Aktivitäten bei der Bearbeitung mit WMS und den dabei verarbeiteten Daten, liefert Hinweise zu Regelungserfordernissen zum Umgang mit personenbezogenen Daten in WMA. Für das MOVE- Projekt wird eine Regelung als Kombination aus technisch unterstützten Datenschutz-Prozessen und organisatorischen Maßnahmen vorgeschlagen. Beide lassen sich selbst durch einen Geschäftsprozeß darstellen und können in einem kontinuierlichen Verbesserungsprozeß aufgebaut und für jeden Betrieb optimal gefunden werden. An dieser Stelle soll schon darauf hingewiesen werden, daß Auswertungen der gespeicherten Daten zur Leistungs- und Verhaltenskontrolle! mit dem Ziel der arbeitsrechtlichen Verwertung auszuschließen sind. Ferner ist der Zugriff auf die gespeicherten personenbezogenen Daten durch strikte Zugriffsregelungen zu kontrollieren. In der Praxis wird derzeit eine datenschutzrechtliche Regelung für WMS häufig vernachlässigt. Ursachen dafür können darin vermutet werden, daß die Problematik nicht erkannt wird oder sie sich als zu komplex darstellt, um geeignete Maß-

8 nahmen zu finden. Beides kann dazu führen, daß Auswertungen ohne die erforderliche Beteiligung von Mitarbeitervertretungen konzipiert und durchgeführt werden oder aber auf die Auswertung und Nutzung der Daten verzichtet wird. Verfahren und Erfahrungen bei der Umsetzung der Regelungskonzepte in dem erwähnten Unternehmen werden im letzten Abschnitt dieses Beitrags vorgestellt. 2 Rechtliche Rahmenbedingungen Datenschutzprobleme sind nicht nur für die Interessenvertretung der Mitarbeiter, sondern auch für die Unternehmensführung ein wichtiges Problem. Für ein Unternehmen ist die Akzeptanz der Benutzer des WMS von zentraler Bedeutung. Ohne Datenschutz geben die Mitarbeiter weniger Informationen preis, was zu geringerer Aussagekraft oder Fehlern bei der Interpretation erhobener Daten führen kann. Nach dem Einsatz einer WMA ist es wichtig, daß Benutzer das neue System akzeptieren und, gerade bei WMS relevant, innerhalb des kontinuierlichen Verbesserungsprozesses, wie bei der erstmaligen Erhebung, dazu bereit sind, Aussagen zum System und ihrer Arbeit mit dem System zu treffen (vgl. hierzu den Beitrag zu Feedback als KVP-Werkzeug [ Just-Hahn&Rolles 1998, in diesem Band]). Weiterhin ist zu beachten, daß ohne funktionsfähiges Konzept der Reduktion vertraulicher Daten, die in Zukunft immer wichtigere Möglichkeit überbetrieblicher Workflows nicht zu realisieren ist, ohne dabei die Offenlegung von Betriebsgeheimnissen zu riskieren. Bei der Einführung und beim Einsatz von WMS sind eine Reihe von rechtlichen Rahmenbedingungen zu berücksichtigen. Diese werden im folgenden kurz in ihren für WMS relevanten Eigenschaften aufgelistet. Die Grundsätze des Volkszählungsurteils des Bundesverfassungsgerichts aus dem Jahre 1983 zum Recht auf informationelle Selbstbestimmung und des dort formulierten Verhältnismäßigkeitsgrundsatzes sind unumstößliche Vorgaben für datenschutzrechtliche Regelungen. An dieses Urteil sind sowohl die Gesetzgebung als auch die Verwaltungen gebunden (vgl. [ Tinnefeld, S. 81]). Das Recht auf informationelle Selbstbestimmung sichert jedem Bürger zu, daß er erstens bestimmen kann, ob und ggf. wer, was, wann und unter welchen Bedingungen über ihn weiß. Falls man einer Offenbarung oder Abspeicherung von Daten zustimmt oder gesetzliche Vorschriften die Abspeicherung erlauben, zweitens wissen können muß, wer was, wann und unter welchen Bedingungen über einen selbst weiß. Nach dem Recht auf informationelle Selbstbestimmung, ist jede Verarbeitung personenbezogener Daten durch die öffentliche Verwaltung ein Eingriff, der eines Gesetzes Bedarf. Die Grundsätze der Volkszählungsentscheidung gelten im Wege der Drittwirkung von Grundsätzen auch für das Verhältnis zwischen dem Arbeitgeber und dem Arbeitnehmer und nicht nur für das Verhältnis Bürger-Staat, für die sie ursprünglich formuliert wurden.

9 Die Grundlage für die Datenverarbeitung im nicht-öffentlichen Bereich ist das Bundesdatenschutzgesetz (BDSG), dort insbesondere der dritte Abschnitt (Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen, 27 ff. BDSG). Das Gesetz erstreckt sich auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Das Grundrecht auf informationelle Selbstbestimmung gilt als Ausgestaltung des Persönlichkeitsrechts bei der Verwendung von personenbezogenen Daten mit dem Anspruch auf grundsätzliche Verfügungsbefugnis eines jeden über seine Daten sowie der Entscheidungsfreiheit bezüglich Preisgabe und Verwendung seiner Daten. Der Schutz des Persönlichkeitsrechts wird im u.a. BDSG gewährleistet durch: Genau beschriebene Zulässigkeitsvoraussetzungen für den Umgang mit personenbezogenen Daten. Die Zulässigkeitsvoraussetzungen für die Datenverarbeitung insbesondere im nicht-öffentlichen Bereich ergeben sich aus 4 Abs.1 BDSG. Ein Umgang mit personenbezogenen Daten ist demnach erlaubt, wenn das BDSG diesen erlaubt, eine andere Rechtsvorschrift (hierzu zählen auch Tarifverträge und Betriebsvereinbarungen und vertragliche Regelungen, wie der Arbeitsvertrag) dies vorsieht oder eine schriftliche Einwilligung des Betroffenen vorliegt. 28 Abs. 1 BDSG nennt als Zulässigkeitsmaßstab die Erfüllung eigener Geschäftszwecke im Rahmen der Zweckbestimmung eines Vetragsverhältnisses mit dem Betroffenen und soweit der Umgang mit personenbezogenen Daten zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist. 28 Abs. 2 BDSG ergänzt als Zulässigkeitsvoraussetzung die Wahrung berechtigter Interessen eines Dritten oder öffentlicher Interessen. Betriebsvereinbarung, Arbeitsvertrag und Einwilligungserklärung sind bei WMS wichtige Gestaltungsinstrumente der Zulässigkeitsvoraussetzungen für die Verarbeitung personenbezogener Daten, da sie eine! andere Rechtsvorschrift darstellen. Rechte des Betroffenen: Hierzu gehören das Recht auf Benachrichtigung ( 33 BDSG), das Recht auf Auskunft ( 34 BDSG) sowie das Recht auf Berichtigung, Löschung und Sperrung ( 35 BDSG). Die Betroffenenrechte auf Auskunft und auf Berichtigung, Löschung und Sperrung können im Kern nicht durch vertragliche Regelungen aufgehoben werden (vgl. 6 BDSG). Kontrollbefugnisse der Aufsichtsbehörden Betriebliche Selbstkontrolle durch den betrieblichen Datenschutzbeauftragten Erleichterte Beweislastregelung zugunsten des Betroffenen im Falle einer Schadenersatzforderung. Nach 28 Abs. 1 und Abs. 2 BDSG muß immer geprüft werden, inwieweit das Speichern, Verändern oder Übermitteln personenbezogener Daten zur Erfüllung des eigenen Geschäftszwecks oder der Wahrung berechtigter Interessen eines

10 Dritten erforderlich ist. Das Prinzip der Erforderlichkeit läßt sich als Erforderlichkeitsgebot verstehen, so wenig wie nötig personenbezogene Daten zu verarbeiten 1. Aus dem Grundsatz der Verhältnismäßigkeit l assen sich neben dem Erforderlichkeitsgebot das Gebot der Zweckbindung und das Verbot von Vorratsspeicherung ableiten (vgl. [ Tinnefeld, S. 87]). Es muß bekannt sein, zu welchem Zweck Daten erhoben werden. Im Hinblick auf WMA dürfen demnach Daten nur für die vereinbarten Zwecke verarbeitet werden und nach dem Erforderlichkeitsgebot nur, wenn dies zur Erfüllung der Zwecke erforderlich ist - mit abnehmender Erforderlichkeit sollte der Umfang der gespeicherten Daten und die Zugangsmöglichkeiten in WMA schrittweise eingeschränkt werden. Im Sinne des Verhältnismäßigkeitsgrundsatzes sollten nur solche Daten über längere Zeit abgespeichert werden, deren Notwendigkeit zur Erreichung der Unternehmensziele erforderlich ist, wobei man versuchen sollte, den Umfang der abgespeicherten Daten zu minimalisieren. Daten dürfen nicht präventiv ohne eindeutige Vorstellung über die Zwecke, für die man sie braucht, abgespeichert werden. Das Verfahren der Verarbeitung personenbezogener Daten mittels WMA muß transparent und kontrollierbar sein. In der Anlage zu 9 BDSG werden technische und organisatorische Maßnahmen vorgestellt, die zu treffen sind, wenn Daten automatisiert verarbeitet werden. Sie stellen daher den Hintergrund für die in Abschnitt 5 skizzierten Vorschläge dar. Diese Maßnahmen dienen dazu, die Vorschriften des BDSG zu gewährleisten. Dabei sind diese Maßnahmen nur erforderlich, wenn sie in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Ziele dieser Maßnahmen sind Integrität, Vertraulichkeit, Verfügbarkeit und Kontrollierbarkeit der Daten. Es ist immer dafür zu sorgen, daß eine Totalüberwachung von Arbeitnehmern ausgeschlossen bleibt. Auch wenn gespeicherte Daten im! Rahmen des vereinbarten Zwecks genutzt werden, dürfen Auswertungen dieser Daten nicht soviel Kontrollinformation liefern, daß ein vollständiges Arbeitsprofil erstellt werden kann (vgl. [ Däubler 1987, S. 110]). Da die 1995 verabschiedete EG-Richtlinie zum Datenschutz [ EG 1995] nicht vor dem (vgl. Art. 32 ff. EG-Richtlinie) in deutsches Recht umgesetzt wurde, ist das nationale Datenschutzrecht (insbesondere das BDSG) von diesem Termin an richtlinienkonform auszulegen. Betroffene in der BRD können sich jetzt schon erfolgreich auf die EG-Richtlinie berufen (vgl. [ Götz 1992]). Diese bringt einige Änderungen und Neuerungen bezüglich des Datenschutzes mit 1 Das Informations- und Kommunikationsdienstegesetz enthält in 3 Abs. 4 explizit ein Gebot, sich bei der Gestaltung und Auswahl technischer Einrichtungen an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Dieses Gebot ist im BDSG bisher nicht enthalten.

11 sich (vgl. [ Gounalakis 1997a u.1997b], [ Däubler et al. 1996], [ Bäumler 1998]): Die EG-Richtlinie unterscheidet nicht zwischen privatem und öffentlichem Bereich. Ziel der Bestimmungen der EG-Richtlinie ist der Verantwortliche für die Verarbeitung, im Gegensatz zur speichernden Stelle im BDSG. Für die Wahl des jeweils gültigen nationalen Rechts ist der Ort, an dem der Verantwortliche ansässig ist maßgeblich und nicht der Ort der Verarbeitung, es sei denn, daß der Verantwortliche für die Verarbeitung die Daten in einer Niederlassung oder in einem Mitgliedsstaat verarbeitet. Im Gegensatz zum BDSG wird in der EG-Richtlinie auf eine Differenzierung zwischen Akten und Dateien verzichtet. Eine Datei wird als strukturelle Sammlung personenbezogener Daten angesehen. Die EG-Richtlinie verfolgt den Gedanken eines umfassenden Verarbeitungsbegriffs und sieht die Erhebung als integralen Bestandteil der Verarbeitung an. In der EG-Richtlinie wird das Recht garantiert, daß keine automatisierten Einzelentscheidungen, die Bewertungen der Persönlichkeit enthalten, ohne vorherige Anhörung des Betroffenen rechtliche Folgen nach sich ziehen dürfen. Die EG-Richtlinie sieht die Beauftragung öffentlicher Kontrollstellen zur Überwachung der einzelstaatlichen Vorschriften vor. Diese verfügen über Untersuchungsbefugnisse, Einwirkungsbefugnisse, Klagerechte und Anzeigebefugnisse. Gegenüber den öffentlichen Kontrollstellen besteht eine strengere Meldepflicht der nicht-öffentlichen Datenverarbeiter bei vollständig oder teilweise automatisierter Verarbeitung. In der deutschen Diskussion um die noch anstehende Novellierung des BDSG gibt es die folgenden Schwerpunkte: verstärkter Datenschutz durch Technik, Selbstregulierung, dazu gehört die Förderung von Selbstschutzmechanismen durch die Benutzer wie der Einsatz von Verschlüsselungstechniken, Ermöglichung anonymer und pseudonymer Nutzungsformen, Einführung eines Datenschutzaudits; Modernisierung und Verschlankung des Datenschutzrechts; Aufhebung der Unterscheidung zwischen öffentlichem und nicht-öffentlichem Bereich; umfassende Eingriffsrechte der Datenaufsichtsbehörden; Stärkung der Stellung des Datenschutzbeauftragten; Aufnahme spezifischer Anforderungen zum Kunden- und Arbeitsnehmerdatenschutz (vgl. [ Bäumler 1998]). Nach der EG-Richtlinie wie auch nach dem BDSG dürfen Daten nur! dann verarbeitet werden, wenn sie dem angestrebten Zweck entsprechen, dafür erforderlich sind und nicht darüber hinausgehen. Die Zweckbestimmung von zu speichernden Daten ist in WMA problematisch, sofern man den kontinuierlichen Verbesserungsprozeß unterstützen will. Bei WMA kann man nicht immer im voraus wissen und bestimmen, welche Daten später in Optimierungsphasen von Interesse sind. Das Betriebsverfassungsgesetz (BetrVG) gibt den kollektivrechtlichen Rahmen für Maßnahmen und Beteiligungsformen im Bereich des Arbeitnehmerdatenschutzes vor. Im BetrVG werden dem Betriebsrat Mitwirkungs- und Mitbestim-

12 mungsrechte zugesichert. Bei den Mitbestimmungsrechten wird unterschieden in bloßes Widerspruchsrecht und das gleichberechtigte, erzwingbare Mitbestimmungsrecht. In Streitfällen müssen Betriebsrat und Arbeitgeber zur Schlichtung und Entscheidung eine Einigungsstelle heranziehen. Wesentlicher Anknüpfungspunkt für datenschutzrechtliche Regelungen zum betrieblichen Einsatz von WMS sind die Mitbestimmungsrechte zur möglichen Leistungs- und Verhaltenskontrolle ( 87 Abs.1, Ziff. 6 BetrVG) mittels technischer Einrichtungen. Solche Einrichtungen unterliegen der Mitbestimmung des Betriebsrats, wenn diese zur Überwachung des Verhaltens und der Leistung von Arbeitnehmern geeignet sind. Dies gilt, ergänzt durch die Kienzle-Schreiber-Entscheidung des BAG auch, wenn die technische Einrichtung zur Überwachung einer Arbeitsgruppe geeignet ist und sich die Überwachung auf den Einzelnen durchschlagen kann (vgl. [ Tinnefeld, S. 135]. Das Bundesarbeitsgericht (BAG) hat sich zu den aus 87 Abs. 1 Ziff. 6! BetrVG bzw. 75 Abs. 3 Ziff. 17 BPersVG folgenden echten Mitbestimmungsrecht klar geäußert: Den Interessenvertretungen wird das Recht eingeräumt, Maßnahmen per einstweiliger Verfügung zu stoppen, wenn dieses Mitbestimmungsrecht nicht beachtet worden ist. In der Praxis bedeutet dies, daß ein Arbeitgeber, der ein WMS ohne Verhandlungen mit dem Betriebsrat (BR) über eine entsprechende Betriebsvereinbarung (BV) einführt oder den BR bewußt außen vor läßt, riskiert, daß der praktische Einsatz (ggf. auch kurzfristig) vom Arbeitsgericht unterbunden wird (vgl. [ Däubler et al. 1996]). Weitere Mitbestimmungsrechte bestehen bei der Systemgestaltung. Hierzu gehören die Umsetzung von Rahmenvorschriften zum Arbeitsschutz ( 87 Abs.1 Ziff. 7 BetrVG). In der Bildschirmarbeitsverordnung (Bestandteil der Verordnung zur Umsetzung von EG-Einzelrichtlinien zur EG-Rahmenrichtlinie Arbeitsschutz) wird z.b. gefordert, daß die Überwachung per Computer dem Betroffenen nachvollziehbar sein muß. Außerdem ist die Anwendung gesicherter arbeitswissenschaftlicher Erkenntnisse über die menschengerechte Gestaltung der Arbeitsbedingungen zu berücksichtigen ( 91 BetrVG) (vgl. [ Meyer-Degenhardt, S. 260]). Mitbestimmungsrechte ergeben sich für WMS ferner aus 87 Abs.1 Ziff 1 BetrVG bei Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb, wenn die WMS hier Auswirkungen haben. Soll durch WMS eine kontinuierliche Verbesserung der Geschäftsprozesse unterstützt werden, sind die Mitbestimmungsrechte zu Grundsätzen über das betriebliche Vorschlagswesen ( 87 Abs. 1 Ziff. 12 BetrVG) von zentraler Bedeutung. Ein Zustimmungsrecht des Betriebsrats besteht nach 94 Abs. 1 zu Personalfragebögen und nach 94 Abs. 2 auch für die Aufstellung allgemeiner Beurteilungsgrundsätze. Letztere sind bei WMS im Hinblick auf vorgenommene Auswertungen interessant. Ihre Ergebnisse deuten auf Stark- bzw. Schwachstellen im System hin. Die Bewertung der Ursachen können vorgegebenen Beurteilungsmaß-

13 stäben und Verfahren zur Beurteilung von Verhalten und Leistung der Arbeitnehmer unterliegen, die vorher mit der Interessenvertretung abzuklären sind. Auch Personal-Auswahlrichtlinien bei Einstellungen, Versetzungen, Umgruppierungen und Kündigungen bedürfen nach 95 Abs. 1 der Zustimmung des Betriebsrats (vgl. [ Däubler 1987 S. 165] und [ Meyer-Degenhardt, S. 260]). 111ff. sichert Mitbestimmungsrechte bei Betriebsänderungen, z.b. grundlegende Änderungen der Betriebsorganisation oder Einführung neuer Arbeitsmethoden und Fertigungsverfahren. Bei WMS sind ferner die Mitwirkungsrechte der Information und Beratung bei der Planung und Einführung von Maßnahmen relevant, z.b. bei der Arbeitssystemgestaltung, technischen Veränderungen oder Personalplanung und Veränderungen von Arbeitsverfahren und Arbeitsabläufen. Sie können unter anderem auch einem präventiven Persönlichkeitsschutz dienen. 80 Abs. 2 gewährleistet, daß der Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend vom Arbeitgeber zu unterrichten ist und ihm die notwendigen Unterlagen zur Verfügung gestellt werden müssen. Mit 90 BetrVG umfaßt die Informationspflicht des Arbeitgebers auch die Planung von technischen Anlagen [ Däubler 1987 S. 164]. Sobald ein Arbeitgeber die Einführung von WMS plant, ist die Interessenvertretung so frühzeitig wie möglich zu informieren, d.h. auch schon! vor der konkreten Planung immer dann, wenn erste Vorüberlegungen getroffen werden. Der Betriebsrat ist also in den Planungsphasen schon vor der eigentlichen Erhebung in den Prozeß der Einführung von WMS einzubeziehen. Nach 92 Abs. 1 BetrVG ist der Betriebsrat vom Arbeitgeber über die Personalplanung, insbesondere über den gegenwärtigen und künftigen Personalbedarf und daraus resultierende geplante personelle Maßnahmen zu unterrichten und nach 92 Abs. 2 wird ihm ein Vorschlagsrecht für die Einführung und Durchführung einer Personalplanung gewährt. Weitere Beteiligungsrechte existieren bei Qualifizierungsmaßnahmen. Nach 96 Abs.1 BetrVG haben Betriebsrat und Arbeitgeber die Berufsbildung der Arbeitnehmer zu fördern, hierzu kann der Betriebsrat Vorschläge machen und hat nach 98 Abs. 1 bei der Durchführung von Maßnahmen der Berufsbildung mitzubestimmen. Im BetrVG wird nach 75 Abs. 2 und 80 Abs.1 dem Betriebsrat die Aufgabe des Schutzes der freien Entfaltung der Persönlichkeit und der Überwachung der zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen zugeordnet. Dabei kann der Betriebsrat nach 80 Abs. 3 BetrVG bei der Durchführung seiner Aufgaben, nach näherer Vereinbarung mit dem Arbeitgeber, Sachverständige hinzuziehen, falls dies zur Erfüllung seiner Aufgaben erforderlich ist. Das BetrVG bietet im eigentlichen Sinn keine echten Mitbestimmungsrechte, die zur Sicherung des Arbeitnehmerdatenschutzes genutzt werden können. Die Einhaltung des BDSG läßt sich beispielsweise nur über die allgemeinen Mitwir-

14 kungsrechte des 80 BetrVG gewährleisten, die dem Betriebsrat vorrangig nur Informations- und Beratungsrechte einräumen. Diese geben dem Betriebsrat allerdings in der Regel nur die Möglichkeit, Verstöße gegen Datenschutzgrundsätze zu erkennen und beratend auf den Arbeitgeber einzuwirken. Berücksichtigt der Arbeitgeber diese Beratung allerdings nicht, laufen die Mitwirkungsrechte ins Leere. Durch die umfassende Ausnutzung bestehender Mitbestimmungsrechte nach dem BetrVG (insbesondere die des 87 Abs. 1 Ziff. 6 BetrVG) kann eine weitgehende Sicherung der Datenschutzrechte der Arbeitnehmer bei WMS erreicht werden. Es ist zu beachten, daß 87 Abs. 1 Ziff. 6 BetrVG gerade bei der Einführung starke Mitbestimmungsrechte sichert. Einführung ist die Entscheidung, ob, für welchen Zeitraum, an welchem Ort, mit welcher Zweckbestimmung und mit welcher Wirkungsweise eine technische Überwachungsanlage betrieben werden soll. Natürlich gelten die Mitbestimmungsrechte aber auch für die Anwendung, also die allgemeine Handhabung einer technischen Einrichtung (vgl. [ Däubler et al. 1998]). Um bei WMS im Rahmen des kontinuierlichen Verbesserungsprozesses nicht in einen (Endlos-)Kreislauf der Mitbestimmung zu geraten, sollte von Anfang an eine betriebliche Regelung getroffen werden, welche die Veränderungen und kontinuierlichen Verbesserungen mit berücksichtigt (vgl. hierzu die organisatorischen Maßnahmen in Abschnitt 5). Ansonsten löst jede Veränderung des Systems erneut die Mitbestimmungsrechte aus, wenn diese als neue Einführung zu werten sind. Betriebsvereinbarungen sind eine andere Rechtsvorschrift im Sinne des 4 Abs.1 BDSG (vgl. die Ausführungen zu den Zulässigkeitsvoraussetzungen im BDSG). Einzelne Vorschriften des BDSG können durch das Betriebsverfassungsgesetz verdrängt werden, wenn sie sich auf den gleichen Regelungstatbestand beziehen. Betriebsvereinbarungen können dabei vom BDSG auch in Richtung eines geringeren Datenschutzes abweichen. Sie stellen häufig einen Kompromiß zwischen dem erforderlichen Datenschutz und den wirtschaftlichen Interessen des Betriebs dar und enthalten aus Sicht der Arbeitnehmer nicht immer eine optimale Regelung. Der Betriebsrat darf allerdings nicht in den Kernbereich des Rechts auf informationelle Selbstbestimmung des Arbeitnehmers eingreifen. Der Arbeitnehmer behält ein eigenes Recht auf informationelle Selbstbestimmung, das nicht zur Disposition von Betriebsvereinbarungen und zur Disposition des Mitbestimmungsrechts steht. Auf einige Sonderprobleme konnte in der Darstellung der rechtlichen Rahmenbedingungen nicht eingegangen werden, diese werden hier im folgenden nur kurz angesprochen. Besondere Probleme auf mitbestimmungsrechtlicher und datenschutzrechtlicher Ebene ergeben sich bei einer Vernetzung von Informationssy-

15 stemen mit anderen Betrieben und Unternehmen [ Däubler 1987, S. 238], bei international eingesetzten WMS oder wenn z.b. in Konzernen Mitarbeiter in unterschiedlichen juristischen Einheiten mit einem WMS arbeiten. Bei der Auflistung der Gesetze ist fraglich, ob auch das Teledienstedatenschutzgesetz (TDDSG) bei WMS Anwendung finden könnte. Eine andere besondere Problematik besteht, wenn eine Person sowohl als Kunde als auch als Mitarbeiter einer Firma gespeichert ist. Für Kundendaten, die sich auf einzelne Personen beziehen lassen, ist das BDSG zuständig und eine Überwachung und Kontrolle obliegt dem Datenschutzbeauftragten eines Betriebes, der Betriebsrat ist nicht zuständig für Kunden- und Lieferantendaten [ Däubler 1987, S. 157]. In Unternehmen und Betrieben ohne Betriebsräte laufen die entsprechenden Mitbestimmungsrechte leer. Um in solchen Fällen auch das Recht auf informationelle Selbstbestimmung zu wahren, wäre ein betriebliches Kontrollgremium notwendig, das über Rechte verfügt, die denen nach dem BetrVG ähnlich sind. Würde man in diesen Fällen ganz auf entsprechende Kontrollinstanzen verzichten, wäre dies zwar für Arbeitgeber kurzfristig ein Vorteil, weil sich WMS einfacher einführen ließen. Mittelund langfristig könnte aber die Akzeptanz in der Belegschaft für WMS schwinden, wenn es wirklich zu Eingriffen und Verstößen gegen das Recht auf informationelle Selbstbestimmung käme. 3 Klassifikation der datenschutzrechtlich relevanten Daten Bei der Analyse von Konzepten wird im folgenden von fortentwickelten WMS ausgegangen, die Kommunikations- und Anpassungsmöglichkeiten integrieren. Die Integration solcher Erweiterungen ist Ziel des Projektes MOVE. Mit Hinblick auf die unterschiedlichen Zwecke, für die Mitarbeiterdaten mittels WMA verarbeitet werden können, ist es sinnvoll, verschiedene Datenarten zu differenzieren, um bei Bedarf gezielte datenschutzrechtliche Regelungen treffen zu können. In diesem Abschnitt geht es um die Frage, welche personenbezogenen Daten aufgrund welcher Aktivitäten mittels Workflow-Management-Anwendung (WMA) anfallen 2. Aufbauend auf dieser Untersuchung und Klassifikation werden dann im nachfolgenden Abschnitt 4 die Abfragen und Auswertungen, in die diese Daten eingehen, näher betrachtet, um für diese differenzierte Regelungserfordernisse aufzustellen. 2 Bei einer solchen Analyse ist zu beachten, daß die in unterschiedlichen WMS gespeicherten Daten unterschiedlichster Ausprägung sein können. Hier wurde versucht (u.a. unter Berücksichtigung der Standardisierung durch die Workflow-Management-Coalition [ Workflow Management Coalition, 1996a u. 1996b] eine möglichst umfassende Aufstellung der Daten vorzunehmen, die sich aber nicht generell auf alle WMA übertragen läßt.

16 3.1 Aktivitäten und Daten bei der Bearbeitung mit WMA Das SeeMe-Modell in Abb. 3 zeigt die Datenarten, die durch die Aktivitäten eines Nutzers einer WMA verändert oder verwendet werden und welche Aktivitäten dabei längerfristig eine Spur in einer Datenbasis für statistische Auswertungen hinterlassen.

17 Bearbeiter n Prozeßbeschreibung Ablaufbeschreibung Kommentare Aufbaubeschreibung WMA - nutzen anpassen kommentieren auswählen Worklist Anpassungsdaten Prozeßsteuerung... bearbeiten abfragen kommunizieren Statusdaten Fall Falldaten Kundendaten Datenbasis für statistische Auswertung Abb. 3 Client WMS - Server Anwendungssystem Erläuterung zur Modellierungsnotation SeeMe Rolle Eine Rolle repräsentiert eine Menge von Rechten und Pflichten, die einer organisatorischen Einheit zugeordnet sind. a b b wird von der Aktivität a verändert. a b Die Aktivität a nutzt die Entität b. Mit Konnektoren können Relationen kombiniert werden.(entweder oder, Oder, Und) r a Die Rolle r führt die Aktivität a aus. a Abb b a steht mit b in Beziehung. Die Eigenschaften von a beeinflussen die Eigenschaften von b. Das Element wird an anderer Stelle verfeinert dargestellt, hier bei der angegeben Abbildung. Spezifizierung ist unvollständig, kann aber nicht vervollständigt werden. Das Element wurde nicht weiter spezifiziert, da dies für den Zweck des Modells nicht notwendig ist. Abb. 3: Aktivitäten und Daten bei der Bearbeitung mit WMS Jedem Bearbeiter in der WMA stehen verschiedene Aktivitäten zur Verfügung, die WMA zu nutzen. Mitarbeiter sollten erkennen können, welche Fälle zur Bearbeitung anstehen, um entscheiden zu können, welche Aufträge sie auswählen

18 wollen. Generell ist es wichtig nachzuvollziehen, bei wem wieviele Aufträge zur Bearbeitung anstehen. Diese Daten sind als Worklist im System gespeichert. Hier stellt sich die Frage, wie eine geeignete Gestaltung dieser erforderlichen Transparenz aussehen kann, die insbesondere dann wichtig wird, wenn ein Mitarbeiter unvorhergesehen vertreten werden muß und die ihm zugeordneten Aufgaben zu verteilen sind. Nachdem eine Aufgabe aus der Worklist ausgewählt wurde, kann sie bearbeitet werden. Dies umfaßt z.b. auch, daß eine Aufgabe weitergeleitet, reserviert, anderen zugeordnet oder abgelehnt werden kann. Die Aktualisierung der Worklist erfolgt jeweils aus der Prozeßsteuerung (Workflow-Steuerung) heraus. Die Abfolge der einzelnen Bearbeitungsschritte wird von der Prozeßsteuerung übernommen. Sie bezieht die Steuerungsdaten von der Prozeßbeschreibung. Teil der Prozeßbeschreibung (Workflow-Modelle) sind die Daten, die die Aufbau- und Ablauforganisation eines Unternehmens in Form von Modellen beschreiben. Aus diesen Daten kann man entnehmen, wer welche Arten von Geschäftsprozessen mit welchen Aufgaben zu bearbeiten hat. Diese beim Management und den Mitarbeitern erhobenen Daten dienen als Grundlage für alle anderen Phasen der Geschäftsprozeßoptimierung. Sie werden in der Regel elektronisch abgespeichert und können unter Umständen zu technisch unterstützter Leistungsund Verhaltenskontrolle herangezogen werden. Die Bearbeitung von Aufgaben beinhaltet die Nutzung von Falldaten der an die WMA angeschlossenen Anwendungssysteme. Besonders zu berücksichtigen ist hierbei der Umgang mit Kundendaten, speziell dann, wenn sie zugleich auch Mitarbeiterdaten sind. Ebenfalls gehören zu einem Fall sogenannte Statusdaten, anhand derer man nachvollziehen kann, wieweit ein aktueller Auftrag bearbeitet ist und wer zu welchem Zeitpunkt mit einem konkreten Fall beschäftigt ist. Der Status eines Falles gibt u.a. wieder, ob er vor der Bearbeitung steht, gerade bearbeitet wird oder abgeschlossen ist. Die Verarbeitung solcher Informationen liegt auch im Interesse der Mitarbeiter, wenn sich z.b. Kunden nach dem Stand der Bearbeitung ihrer Aufträge erkundigen. Dann ist es hilfreich, wenn der jeweils kontaktierte Mitarbeiter mit Hilfe einer sogenannten Statusabfrage abfragen kann, ob der Auftrag schon abgeschlossen ist oder an wen er den Kunden weitervermitteln kann, damit er über den aktuellen Stand informiert werden kann. Die Verwaltung der Worklist und der Statusdaten geschieht durch die Prozeßsteuerung im WMS. Es ist sinnvoll, daß Mitarbeiter die Abläufe anpassen können. Voraussetzung dafür ist jedoch, daß Abänderungsvorgänge dokumentiert werden und mittels der WMA nachvollzogen werden können, um sie etwa bei einer Auskunft an Kunden erkennen zu können. Anpassungsdaten zu aktuellen Fällen werden in der Prozeßbeschreibung festgehalten und können dort von der Prozeßsteuerung genutzt

19 werden, um den zugehörigen Fall z.b. umzuleiten, wenn die Ablaufbeschreibung modifiziert wurde oder um Aktivitäten anderen Mitarbeitern zuzuordnen, als ursprünglich mittels der Rollenbeschreibung vorgesehen. Es ist sinnvoll Anpassungsdaten längerfristig bereitzuhalten, um die Bearbeitung von Reklamationen oder die spätere Auswertung und Verbesserung eines Geschäftsprozesses zu unterstützen. Mitarbeiter können die Art und Weise, wie Geschäftsprozesse organisiert sind und wie die WMA arbeitet, kommentieren (vgl. hierzu den Beitrag zu Feedback als KVP-Werkzeug [ Just-Hahn&Rolles 1998, in diesem Band]). Diese Kommentare sollten unter Umständen elektronisch erfaßbar sein, um somit direkt in den Kontext der WMA eingebunden zu werden, auf den sie sich beziehen. Kommentare müssen in der Regel auf ihre Urheber beziehbar sein, um einen weiterführenden Dialog an sie anknüpfen zu können. Sie sind daher auch als personenbezogene Daten zu betrachten. Kommentare zu laufenden Fällen können in die Prozeßbeschreibung aufgenommen werden. Ein weiterer Schritt zur Flexibilisierung besteht darin, daß im Rahmen der WMA-Nutzung zu anderen Prozeßbearbeitern mittels Groupware (etwa ) Kommunikationsverbindungen aufgebaut werden können, die nicht von der Prozeßsteuerung vorgegeben werden. Zumindest die Verbindungsdaten dieses Kommunizierens können für die Nachvollziehbarkeit der Fallbearbeitung relevant sein und sollten daher abgespeichert werden. Die Nutzung einer jeden der zur Verfügung stehenden Aktivitäten der WMA- Nutzung führt in WMS zur Erzeugung eines Protokolldatensatzes, der den Zeitpunkt der Nutzung dieser Funktion, den Nutzer dieser Funktion und jeweils nutzungsspezifische Daten dokumentiert. Eine Standardisierung hierzu für WMS wird z.b. in den Ausführungen zu den Schnittstellen des Refenzmodells der Workflow Management Coalition dargestellt (vgl. [ Workflow Management Coalition 1996a u. 1996b]). Diese Protokolldaten gehen in die Datenbasis für statistische Auswertungen ein. Daneben gibt es Nutzungs- und Verbindungsdaten, die Auskunft darüber geben, welche Benutzer gerade mit dem System arbeiten, welche Nutzungsintensität gegeben ist und welche Verbindungen im Netz (etwa zwischen Client und Server) existieren, die ebenfalls in die Datenbasis für statistische Auswertungen eingehen. 3.2 WMA-Daten für statistische Auswertungen und Kontext Abb. 4 zeigt ein SeeMe-Modell, welches eine differenzierte Darstellung dieser Datenbasis für statistische Auswertungen veranschaulicht und sie in Zusammenhang zu Kontextinformation setzt, die dazu genutzt werden kann, die protokollierten Daten auszuwerten und zu interpretieren.

20 Die Anpassungshistorie gibt das Abweichen von vorgegebenen Standards wieder und enthält Information dazu, wer wann und wie, welchen Fall modifiziert hat. Kommentare zu abgeschlossenen Fällen werden in der Kommentarehistorie der Datenbasis für statistische Auswertungen gespeichert. Anhand der protokollierten Worklisthistorie kann im nachhinein z. B. untersucht werden, welche Mitarbeiter welche Aufgaben bearbeitet bzw. ausgewählt haben, bzw. bei anderer Arbeitsverteilung, welcher Fall welchem Mitarbeiter wann zugeordnet wurde und wieviele Fälle wann in der Worklist enthalten waren. Nutzungs- und Verbindungsdaten spiegeln wider, wer wann ein System nutzt bzw. ein- und abschaltet, welche Nutzungsintensität gegeben ist und welche Verbindungen zwischen verschiedenen Systemen (etwa zwischen Client und Server) aufgebaut werden. Mitarbeiter können z.b. ein Interesse an diesen Daten haben, indem im nachhinein Rechner- oder Verbindungsausfälle belegt werden können, um längere Bearbeitungszeiten zu begründen. Abfrage/ Auswertung... Statistik Interpretation Kontext Dokumentation der Falldatenbearbeitung Prozeßbeschreibung Ablaufbeschreibung Abb. 2 Aufbaubeschreibung... PIS/ BDE Datenbasis für statistische Auswertung Kommentarhistorie Anpassungshistorie Worklisthistorie Abfrageprotokoll Nutzungsu. Verbindungsdaten (Client) Kommunikationshistorie Verbind. Inhalte Fallbearbeitungshistorie Nutzungsu. Verbindungsdaten (Server) Laufzeitdaten Nutzungs-/ Worklist Verbindungsdaten Gruppe Einzelner... Statusdaten Falldaten Erläuterung zur Modellierungsnotation SeeMe E Modifikation auf Relationen. Existenz der Relation wird eingeschränkt. Die Relation entspricht nur dann der Realität, wenn E der Fall ist.... Bedingung des Auftretens einer Relation ist unbekannt bzw. muß noch geklärt werden. Abb. 4: WMA-Daten für statistische Auswertungen und Kontextdaten

21 Das Abfrageprotokoll zeigt, wer wann auf die Statusdaten zugegriffen hat. Über an das WMS angeschlossene Groupware oder Systeme oder ein im WMS integriertes Kommunikationssystem können Kommunikationsinhalts- und Verbindungsdaten der Mitarbeiter gespeichert werden, z.b. Rückfragen, die an andere Mitarbeiter bezüglich eines Falles gerichtet werden. Die Statusdaten zu einem Fall ergeben eine Fallbearbeitungshistorie, anhand der z. B. nachvollzogen werden kann, wer wann an diesem Fall wie lange gearbeitet hat, wann und wie lange ein Fall in welcher Worklist liegt und welchen Weg ein Fall durch die einzelnen bearbeitenden Instanzen nimmt. Alle diese Daten der Datenbasis für statistische Auswertungen (vgl. Abb. 4) können bereitgestellt werden, um Auswertungen vorzunehmen 3. In der Regel werden solche Auswertungen als statistische Aussagen zusammengefaßt, die unter bestimmten Bedingungen wiederum in einer Datei aller Statistiken abgespeichert werden können. Statistische Aussagen können auf Gruppen oder Abteilungen etc. bezogen werden, u.u. auch auf einzelne Personen. Diese Auswertungen sind besonders relevant im Rahmen der Optimierung von Geschäftsprozessen, wie sie in einem zyklischen, kontinuierlichen Verbesserungsprozeß auftritt. Zur Unterstützung dieses Prozesses müssen Daten gesammelt werden, die über Stärken und Schwächen des Ist-Zustandes Auskunft geben. Diese Daten spiegeln in der Regel die Historie der Geschäftsprozesse im Überblick wider. Dabei ist es nicht auszuschließen, daß auch personenbeziehbare Daten über längere Zeiträume festgehalten werden. Die Datenbasis für statistische Auswertungen wird in der Regel genutzt, um nach Abschluß mehrerer Fälle einen vergleichenden Überblick zu erlangen. Man kann aber auch Daten zu einzelnen Fällen entnehmen. Wir erachten es für sinnvoll, zwischen den Daten zu unterscheiden, die zur Laufzeit abfragbar sind (Laufzeitdaten) und solchen Daten, die nach Abschluß einer Fallbearbeitung für statistischen Zwecke gespeichert werden (Protokolldaten in der Datenbasis für statistische Auswertungen). Laufzeitdaten werden z.b. benötigt, um Kundenanfragen nach dem Bearbeitungsfortschritt eines Falles zu beantworten. Zu den Laufzeitdaten gehören die erwähnten Statusdaten, die Falldaten selbst, die im Zuge der WMA-Nutzung verändert werden, die aktuellen Verbindungsdaten und letztlich die Worklisteinträge. Hierbei ist zu beachten, daß es Worklists für Gruppen und auch für Einzelpersonen geben kann. 3 Nicht alle WMS bieten die angesprochenen Möglichkeiten zur Auswertung der Daten. In einigen Systemen werden die angesprochenen Daten in geschützten Bereichen verwaltet (oder auf die Speicherung ganz verzichtet), für die keine Auswertungswerkzeuge angeboten werden. Allerdings werden im WMS nicht vorhandene Auswertungsmöglichkeiten oftmals durch die Funktionalität der dem WMS unterliegenden Datenbank oder zusätzlicher OLAP- oder Data-Mining Anwendungen ersetzt.