Zum Inhalt springen Zur Navigation springen
Enterprise Search & Datenschutz: Worauf Unternehmen achten sollten

Enterprise Search & Datenschutz: Worauf Unternehmen achten sollten

Immer mehr Unternehmen setzen auf Enterprise Search (unternehmensweite Suche), damit ihre Mitarbeiter schnell die Informationen finden, nach denen sie suchen. In diesem Artikel beleuchten wir die datenschutzrechtlichen Aspekte, die bei der Implementierung einer Enterprise Search berücksichtigt werden sollten.

Was ist Enterprise Search?

In vielen Unternehmen geht wertvolle Zeit verloren, weil wichtige Informationen nicht auffindbar sind oder die Suche danach viel zu lange dauert. In den meisten Betrieben sammelt sich eine immense Menge an Daten und Dateien in verschiedenen Systemen wie Intranets, Collaboration-Tools, CRM-, ERP-Systemen, Datenbanken, Cloud-Diensten und Fileservern an. Hier kommt Enterprise Search ins Spiel.

Enterprise Search wird oft als „Google for Work“ bezeichnet. Es handelt sich um eine Technologie, die es Unternehmen ermöglicht, interne Daten und Informationen aus verschiedenen Quellen wie Datenbanken, E-Mails, Dokumentenmanagementsystemen, Intranets und mehr zu durchsuchen und abzurufen. Diese Suchlösungen sind darauf ausgelegt, schnell relevante Informationen zu finden, unabhängig davon, wo sie gespeichert sind, und sie in einem einheitlichen, durchsuchbaren Index zusammenzuführen.

Vorteile und datenschutzrechtliche Bedenken

Finden statt Suchen. Enterprise Search bietet erhebliche Vorteile, indem Wissen und Informationen schneller und gezielter zugänglich gemacht werden, was die Effizienz im Arbeitsalltag steigert. Allerdings bringt der umfassende Datenzugriff auch datenschutzrechtliche Herausforderungen mit sich.

Da Enterprise Search eine Vielzahl von Datenquellen anbinden kann, bietet sie Zugriff auf eine große Menge an Daten. In einem Unternehmen sollte jedoch in der Regel nicht jeder auf alle Daten zugreifen können und oft ist es sogar notwendig, den Zugriff von Personen auf bestimmte Systeme zu beschränken. Beispielsweise sollte ein Einkaufssachbearbeiter keinen Zugriff auf Personalakten haben, die ausschließlich der HR-Abteilung vorbehalten sind. Daher ist es von entscheidender Bedeutung, klar zu definieren, welche Suchergebnisse den jeweiligen Nutzern angezeigt werden dürfen.

Berechtigungskonzept einhalten

Die Einführung einer Enterprise Search muss auf den bestehenden Berechtigungskonzepten eines Unternehmens basieren, um die vorgegebenen Zugriffsrechte und Rollen nicht zu verletzen. Ein Benutzer darf nur auf Inhalte zugreifen, die ihm auch in den Quellsystemen zugänglich sind. So wird sichergestellt, dass keine unberechtigten Daten in den Suchergebnissen erscheinen.

In den meisten Unternehmen existieren bereits Berechtigungs- und Rollenkonzepte, die dem Need-to-know-Prinzip folgen. Diese werden tagtäglich gelebt und in der bestehenden Systemlandschaft gepflegt. Die Datenquellen sollten daher auf „alle dem Mitarbeiter zugänglichen“ Daten beschränkt werden. Daten, die nur bestimmten Gruppen zugänglich gemacht werden sollen, sind von der Suche auszuschließen oder nur für bestimmte Gruppen zugänglich zu machen. Zusätzlich kann die Anzeige von Treffern durch Berechtigungen und Filter beschränkt werden.

Allgemeine datenschutzrechtliche Verpflichtungen nicht vergessen

Rechtsgrundlage berücksichtigen

Falls die Verarbeitung mittels Enterprise Search mit dem Zweck vereinbar ist, zu dem die personenbezogenen Daten ursprünglich erhoben wurden (z.B. innerhalb des Beschäftigungsverhältnisses, zur Bearbeitung von Kundenanfragen), ist für die Verwendung des Tools selbst grundsätzlich keine gesonderte Rechtsgrundlage erforderlich.

Sollte die Enterprise Search jedoch neue Datenverarbeitungen entstehen lassen, beispielsweise durch Überwachung, Auswertung oder Zusammenführung von Mitarbeiterdaten, muss diese Datenverarbeitung auf eine separate Rechtsgrundlage gestützt werden.

Abschluss eines AVV mit dem Anbieter

Vor der Implementierung der Enterprise Search muss sichergestellt werden, dass geeignete technische und organisatorische Maßnahmen zum Schutz der Daten ergriffen wurden. Es ist zu prüfen, ob die Lösung die Anforderungen des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gemäß Art. 25 DSGVO erfüllt. Insbesondere sollte die Beschränkung der Anzeige von Treffern durch Berechtigungen und Filter technisch gewährleistet sein. Ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter ist in der Regel erforderlich.

Datenschutz-Folgenabschätzung denkbar

Ob eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist, hängt von der Art der verarbeiteten Daten und den eingesetzten Technologien ab. Nach Art. 35 DSGVO ist eine DSFA erforderlich, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Dies gilt insbesondere beim Einsatz innovativer Technologien wie KI, die personenbezogene Daten aus verschiedenen Quellen zusammenführen und analysieren (Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO, LfDI BW).

Künstliche Intelligenz bei Enterprise Search

Moderne Enterprise Search-Lösungen nutzen zunehmend KI-Technologien, um Inhalte thematisch zu erfassen, Daten automatisch zu sortieren und Beziehungen zwischen Daten zu erkennen. Diese KI-gestützten Systeme können auf jede Anfrage individuelle Antworten generieren, die aus den verfügbaren Daten stammen. Bei Integrierung von KI-Tools in den Geschäftsalltag sollten Arbeitsgeber besonders darauf achten, dass dies zu neuen Herausforderungen bei der Verarbeitung personenbezogener Daten führen kann. In unserem Blogartikel „Künstliche Intelligenz – Was Arbeitgeber beachten müssen“ haben wir diese Thematik ausführlich erläutert.

Betriebsrat ins Boot holen

Bereits im Auswahlprozess der Enterprise Search-Lösung sollte der Betriebsrat einbezogen werden. Der Betriebsrat hat gemäß § 87 Abs. 1 Nr. 6 BetrVG Mitbestimmungsrechte hinsichtlich „technischer Kontrolleinrichtungen“. In Bezug auf die Änderung und Einführung von IT-Systemen muss der Arbeitgeber den Betriebsrat ausführlich und zeitnah über den möglichen Einsatz einer Softwarelösung informieren (§ 80 Abs. 2 BetrVG). Der Betriebsrat muss auch hinzugezogen werden, wenn lediglich die Möglichkeit besteht, dass aufgrund der IT-Anwendung eine Überwachung, Auswertung oder Zusammenführung von Mitarbeiterdaten denkbar ist. So wird verhindert, dass Mitarbeiter unbemerkt überwacht werden.

Datenschutzbeauftragten einbinden

Bei der Einführung einer Enterprise Search stellt sich immer die Frage: Welche Systeme und Datenquellen sollen durchsucht werden? Welche Berechtigungsstrukturen müssen berücksichtigt werden? Die korrekte Umsetzung des Berechtigungskonzepts ist eine komplexe Aufgabe. Noch komplizierter wird es beim Einsatz moderner Enterprise-Search-Lösungen, die z.B. auch Analysefunktionen bieten. Es ist ratsam, den DSB bereits in der Auswahlphase der Lösung einzubeziehen, um sicherzustellen, dass alle datenschutzrechtlichen Vorgaben und speziellen Richtlinien von Anfang an berücksichtigt werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.