Artikel-Archiv

5/2016
Dokumentation + Kommunikation Advertorial

Rechtliche Aspekte bei der Einführung einer Enterprise-Search-Lösung

von Eduard Daoud

Die zunehmende Digitalisierung von Geschäftsprozessen ermöglicht es, komplexe Entscheidungsprozesse im Unternehmenskontext auf Basis fundierter Informationen nachhaltiger zu gestalten. Das Thema des Wiederfindens von Informationen ist deshalb Bestandteil eines Informationsmanagement-Konzepts für viele Unternehmen geworden. Die Entscheidung für eine Enterprise-Search-Lösung im Rahmen einer Informationsmanagement-Strategie wird von Unternehmen getroffen, um interne Prozesse zu optimieren und zu vereinfachen und sowohl die Mitarbeiter- als auch die Kundenzufriedenheit zu erhöhen. Dabei geht es am Ende um die Erhöhung der Produktivität des ganzen Unternehmens. Der entscheidende Punkt ist die einfache und schnelle Zugänglichkeit der gesuchten Daten für den Mitarbeiter.

Die zunehmende Digitalisierung von Geschäftsprozessen ermöglicht es, komplexe Entscheidungsprozesse im Unternehmenskontext auf Basis fundierter Informationen nachhaltiger zu gestalten. Das Thema des Wiederfindens von Informationen ist deshalb Bestandteil eines Informationsmanagement-Konzepts für viele Unternehmen geworden. Die Entscheidung für eine Enterprise-Search-Lösung im Rahmen einer Informationsmanagement-Strategie wird von Unternehmen getroffen, um interne Prozesse zu optimieren und zu vereinfachen und sowohl die Mitarbeiter- als auch die Kundenzufriedenheit zu erhöhen. Dabei geht es am Ende um die Erhöhung der Produktivität des ganzen Unternehmens. Der entscheidende Punkt ist die einfache und schnelle Zugänglichkeit der gesuchten Daten für den Mitarbeiter.

Sobald man Daten aus verschiedenen Strukturen, Bereichen und Anwendungssystemen innerhalb eines Unternehmens aggregiert und analysiert, ist das Thema jedoch nicht mehr nur IT-relevant, sondern betrifft das ganze Unternehmen und es müssen auch rechtliche Gesichtspunkte beachtet werden. Deshalb ist es erforderlich, beim Auswahlprozess einer Lösung zum allumfassenden (Wieder-)Finden und Teilen von Daten und Informationen innerhalb unternehmerischer Strukturen Rechtsbestimmungen zu beachten.

Unternehmensweite Suche als Bestandteil des Informationsmanagements

Wichtige Informationsarten, die zur Steuerung eines Unternehmens benötigt werden, sind:

  • Informationen, die eine Aussage über Zielerreichung der Unternehmensstrategien ermöglichen.
  • Informationen, die zur Erfüllung rechtlicher und anderer Verpflichtungen dienen.
  • Informationen, die Mitarbeiter des Unternehmens benötigen, um ihre täglichen Aufgaben optimal zu erfüllen.

Mit einem ganzheitlichen Informationsmanagement-Konzept (IT-Governance) wird festgelegt, wie und wo Informationen gespeichert werden, wer Zugang zu diesen Informationen braucht bzw. bekommt und welche Werkzeuge zur Analyse und Nutzung der Daten bereitgestellt werden.

Enterprise Search ist ein elementares Werkzeug, um Informationen inhaltsorientiert zugänglich zu machen.

Datenschutz und Sicherheitsaspekte im Rahmen von Enterprise Search

Werden durch Enterprise-Search-Lösungen personenbezogene Daten analysiert, aggregiert oder zusammengeführt, unterliegen diese dem Bundesdatenschutzgesetz (BDSG) und es gelten besondere Regeln und Anforderungen im Umgang mit ihnen. Enterprise-Search-Systeme sind aus Sicht der IT-Sicherheit erst einmal gewöhnliche IT-Systeme und somit gilt all das, was auch beim Betrieb eines Servers oder Datenbanksystems zu beachten ist. Selbst zur Aggregation der Daten gibt es datenschutzfreundliche Sicherheitsansätze, die unter dem Begriff Privacy-Preserving [1] zusammengefasst werden.

In Zusammenhang mit Datenschutz tauchen beim Auswahlprozess einer Enterprise-Search-Lösung Fragen zu den Rechtsbestimmungen auf. Oft wird schon in dieser Phase der Betriebsrat des Unternehmens (bzw. der Personalrat) oder zumindest der Datenschutzbeauftragte herangezogen, nicht zuletzt, weil der Betriebsrat nach §80 Abs. 2 Betr.VG ausführlich und zeitnah über den möglichen Einsatz einer Software-Lösung vom Arbeitgeber informiert werden muss. Der Betriebsrat muss auch dann hinzugezogen werden, wenn lediglich die Möglichkeit besteht, dass aufgrund der IT-Anwendung eine Überwachung, Auswertung oder Zusammenführung von Mitarbeiterdaten denkbar ist. Oft enthalten Enterprise-Search-Lösungen auch Analytics-Ansätze – eine Auswertungsmöglichkeit beginnend beim allgemeinen Suchverhalten und der Betrachtung der vorhandenen Datenqualität. Es ist also durchaus ratsam, die Verantwortlichen für den Datenschutz bereits bei der Lösungsauswahl mit einzubeziehen. Wenn dieser Aspekt durch die Unternehmensverantwortlichen beachtet wird, können spätere Projektverzögerungen vermieden und es kann von Beginn an geklärt werden, welche Bedingungen und speziellen Unternehmensrichtlinien wie eingehalten werden sollen.

Erklärend ist hinzuzufügen, dass in den Unternehmen bereits Berechtigungs- bzw. Rollenkonzepte existieren und diese tagtäglich gelebt sowie in der bestehenden Systemlandschaft gepflegt werden. Das heißt, dass nicht jeder auf alle Daten zugreifen kann, ja teilweise nicht mal auf alle Systeme, die im Unternehmen vorhanden sind.

Eine unternehmensweite Suche bietet aufgrund einer Vielzahl von Konnektoren, mit denen die verschiedensten Datenquellen angeknüpft werden, einen Zugriffspunkt auf „alle“ Daten. Das bezieht sich aber auf „alle dem Mitarbeiter zugänglichen“ Daten. Die bestehenden Rollenkonzepte werden als Sicherheitsaspekte der Lösung übernommen. Weiterhin gibt es die Möglichkeit, Datenquellen komplett von der Suche auszuschließen oder nur für bestimmte Gruppen zugänglich zu machen. Zusätzlich kann die Anzeige von Treffern durch Berechtigungen und Filterungen beschränkt werden.

Nutzung der Social-Komponente einer Enterprise-Search-Lösung

Neben der reinen Suche bieten Enterprise-Search-Produkte auch zunehmend eine Social-Komponente an. Blickt man in die Nutzung sozialer Medien wie Facebook & Co., so bestehen bei einem Großteil der Bevölkerung geringe Ängste, Daten preiszugeben, zu teilen und zu kommentieren. Im privaten Sektor gehen also viele Menschen sehr offen mit ihren Daten um. Das ist sicher auch dem geschuldet, dass sie selbst bestimmen können, welche Informationen in den Netzwerken veröffentlicht werden.

Im Rahmen eines Unternehmens oder einer Organisation muss dies differenzierter betrachtet werden. Auch hier ist ein langsamer Trend erkennbar, sich innerhalb der Organisation mehr zu öffnen, um Wissen zu teilen und zu erhalten. Das ist besonders wichtig für neueste Wissensmanagement-Ansätze, die mit Hilfe von sozialen Vernetzungen innerhalb des Unternehmens die Weitergabe von Wissen ermöglichen und verstärken wollen (z.B. Work-Out-Loud).

Oftmals überwiegen aber noch Bedenken, was die Einführung von sozialen Netzwerk-Funktionalitäten für das Unternehmen angeht. Die Social-Komponenten müssen gleich zwei Hürden überwinden: Während die reine Suche einer Enterprise-Search-Lösung hauptsächlich den Aspekt beachten muss, welche Daten für wen zugänglich sein dürfen, so muss beim Teilen von Daten auch beachtet werden, was der Mitarbeiter überhaupt weitergeben darf. Beide Punkte können aufgrund der Rollenkonzepte, welche in die Softwarelösung mit eingebunden werden, auch für das Teilen und Weitergeben von Daten Berücksichtigung finden: Werden von mir Suchergebnisse geteilt, so kann ich diese auch nur an berechtigte Kollegen weitergeben. Und ich selbst kann nur Inhalte teilen, für welche mir auch die entsprechenden Berechtigungen vorliegen.

Fazit

Zusammenfassend kann festgehalten werden, dass es durchaus richtig und wichtig ist, sich möglichst vor Einführung von IT-Anwendungen über die Integration bestehender Rollenkonzepte zu informieren und die zuständigen betriebsinternen Organe, wie den Betriebsrat oder den Datenschutzbeauftragten, mit ins Boot zu holen. Viele rechtliche Aspekte lassen sich auch durch Betriebsvereinbarungen (§ 77 BetrVG) regeln. Deshalb ergeben sich aus der Einführung einer Enterprise-Search-Lösung keine zusätzlichen Sicherheitsbedenken, da diese auf bestehende Sicherheitskonzepte aufsetzt und somit die vorgegebenen Zugriffsrechte und Rollen nicht verletzt werden.

Für die Nutzung von Social-Komponenten sollte frühzeitig der Umfang der Möglichkeiten des „Netzwerkens“ geklärt sein, um diesen ggf. über Betriebsvereinbarungen genauer zu regeln. Beachtet man diese Punkte und schaut auf die bereits vorhandenen Regelungen im Unternehmen, so ist die Einführung einer Enterprise-Search-Lösung unbedenklich und kann unkompliziert erfolgen.

Abschließend ein Tipp: Die interface projects GmbH ist mit dem eigenen Produkt intergator ein führender deutscher Anbieter von Enterprise-Search- und Wissensmanagement-Lösungen. So arbeitet bspw. die Viessmann IT Service GmbH erfolgreich mit der intergator Trusted Search Appliance.

Literatur

[1] Aggrawal, Charu C. und S. Yu, Philip: Privacy-Preserving Data Mining. New York 2008, S. 2-4.


Diesen Artikel als PDF herunterladen

Unsere Empfehlungen