@lucid_dream

Task Mining

Eine fragwürdige Lösung im Bereich der Prozess-Analyse?

Im Zuge der Digitalisierung nutzt eine wachsende Zahl von Unternehmen verschiedene Werkzeuge zur Analyse der jeweiligen Geschäftsprozesse. In nahezu allen Bereichen des Unternehmens verspricht der Einsatz solcher Tools eine kostengünstige aber dennoch qualitativ hochwertige Analyse von Prozessen etwa eines O2C (Order-to-Cash)- oder auch P2P (Purchase-to-pay)-Prozesses einschließlich der zugehörigen Teilprozesse. In allen Fällen erfordern diese Analyse-Werkzeuge den Zugriff auf die unternehmenseigene IT-Landschaft, auf die entsprechenden Anwendungsprogramme.

Bei der Analyse geht es um die Identifikation von Schwachstellen, die die Geschäftsprozesse in deren täglicher Nutzung aufweisen. Wo werden Teilprozesse mehrfach durchlaufen, welche Personen sind an der Umsetzung eines Prozesses in geplanter oder ungeplanter Weise beteiligt. Ist erst einmal von Personen, von konkreten Anwendern die Rede, so generiert sich nahezu automatisch die Intention, die systemgebundenen Tätigkeiten, die die Mitarbeitenden ausüben, mittels eines solchen Analysetools sichtbar machen zu wollen. Hierbei steht in den meisten Fällen sicher nicht der Gedanke im Raum, einmal qualifiziert nachhalten zu können, welche Aktivitäten der jeweilige Mitarbeitende im Laufe eines Arbeitstages oder einer Arbeitswoche mit Hilfe seines IT-Arbeitsplatzes entfaltet.

So wundert es nicht, das einige Anbieter von Mining Tools im Rahmen der Datengewinnung auf den Ansatz eines Task Mining setzen, um so alle IT-gebundenen Aktivitäten der Anwender zu erfassen und den jeweils zu analysierenden Geschäftsprozessen zuzuordnen. 

Doch was steckt hinter diesem sicher gut gemeinten Ansatz?

Ein technisches Element des Task Mining besteht aus dem Einsatz von Keyloggern, eines software-technischen Hilfsmittels zur Erfassung, Speicherung und Auswertung von user-bezogenen Tastatureingaben. Hierbei drängt sich nahezu zwangsläufig die Frage auf, ob ein solches Vorgehen durch die DSGVO und/oder durch bundesdeutsches Recht überhaupt abgedeckt ist.

Geht man dieser Frage nach, so wird man rasch feststellen, dass der Einsatz dieser technischen Hilfsmittel in der Bundesrepublik Deutschland engen rechtlichen Rahmenbedingungen unterliegt. In einigen Fällen, in denen ein Task Mining Tool angewendet werden soll, das u.a. auf einen Keylogger zurückgreift, zeigt sich sehr schnell, dass ein Einsatz nicht möglich ist.

Warum dies so ist und was ist zu tun?

Lenken wir in einem ersten Schritt unsere Aufmerksamkeit auf das Betriebsverfassungsgesetz; hier auf den vielen IT-Projektverantwortlichen bekannten Paragraphen 87, welcher die Mitbestimmungsrechte des Betriebsrates definiert. Hier heißt es:

(1)
Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen:

(6)
Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Im engen Kontext zu § 87 BetrVG stehen die §§ 90, 91 BetrVG, welche sich mit dem Unterrichtungs- und Beratungsrecht sowie mit dem Mitbestimmungsrecht befassen. 

Widmen wir uns nun einmal der Frage, wie der Einsatz von Keyloggern in der Rechtsprechung bewertet wird. 

Doch was sind Keylogger überhaupt?

Wikipedia definiert Keylogger wie folgt: 
Ein Keylogger ist eine Hard- oder Software, die dazu verwendet wird, die Eingaben des Benutzers an der Tastatur eines Computers zu protokollieren und damit zu überwachen oder zu rekonstruieren. Keylogger werden beispielsweise von Crackern, Nachrichtendiensten oder Ermittlungsbehörden verwendet, um an vertrauliche Daten – etwa Kennwörter oder PINs – zu gelangen. Ein Keylogger kann entweder sämtliche Eingaben aufzeichnen oder gezielt auf Schlüsselwörter wie z. B. Zugangscodes warten und dann erst aufzeichnen, um Speicherplatz zu sparen.

Die unternehmensinterne Frage, ob in dieser Ausgangssituation die von einer Prozess-Analyse betroffenen Mitarbeitenden und insbesondere der Betriebsrat einem solchen Ansinnen überhaupt zustimmen würden, kann in deren Beantwortung zu einem vorzeitigen Aus für das gesamte Projektvorhaben führen.

Aber selbst unternehmensinterne Erläuterungen über die guten Absichten, die seitens der Projektverantwortlichen verfolgt werden, über die Notwendigkeit, die Effizienz von Geschäftsprozessen zum Wohle des Unternehmens und seiner Mitarbeitenden zu steigern, sind hier ausreichend, um ein Projektvorhaben zu retten. Da das Thema seit einigen Jahren auch die Rechtsprechung bemüht, ergeben sich weitere Gesichtspunkte, die den Einsatz solcher Task Mining Tools nicht nur erschweren. 

So stellt das Landesarbeitsgericht (LAG) Hamm (17.6.2016, Az. 16 Sa 1711/15) fest, dass ein Keylogger eine technische Einrichtung ist, die im Sinne des § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz zur Überwachung der Mitarbeiter bestimmt ist. Gemäß Auffassung des LAG Hamm darf ein Arbeitgeber einen Keylogger nicht grundlos einsetzen. Ein Grund für den Einsatz eines Keyloggers ist nur dann gegeben, wenn ein konkreter Verdacht auf eine strafbare Handlung vorliegt. Darüber hinaus ist der Einsatz dann möglich, wenn konkrete betriebliche Notwendigkeiten, beispielsweise aufgrund gesetzlicher Vorschriften, gegeben sind.

Es wäre nun eine Begründung für den Einsatz eines Keyloggers denkbar, die in ihrem Kern auf die betriebliche Notwendigkeit zur Analyse und Verbesserung der Geschäftsprozesse abstellt. Diesem Argument wäre zu entgegnen, dass die Aufarbeitung und Analyse von Geschäftsprozessen zu den alltäglichen Aufgabenstellungen eines Unternehmens gehört und das diese Aufgabenstellung keine Neuentdeckung der IT- und Consulting-Branche ist, die zu ihrer Lösung des zwingenden Einsatzes eines Keyloggers bedarf. Daher dürfte es schwierig sein, eine betriebliche Notwendigkeit innerhalb der gesetzten Grenzen zu formulieren.

Was bedeutet dies für ein Process Mining Projekt?

Der Einsatz von Task Mining Tools, die auf einem Keylogger und/oder vergleichbaren technischen Einrichtungen basieren, die in der Lage sind, das komplette Surfverhalten des Arbeitnehmers aufzuzeichnen und zu protokollieren, ist problematisch. Es sei denn, die Arbeitnehmer haben ausdrücklich dem Einsatz des Tools zugestimmt. Zu beachten ist in diesem Zusammenhang, dass es bei der Einholung der angesprochenen Genehmigung nicht ausreicht, den Arbeitnehmern eine Widerspruchsfrist einzuräumen, etwa in dem Sinn „…sollten Sie bis zum 30. Juli nicht schriftlich dieser Maßnahme widersprochen haben, so gehen wir von Ihrer Zustimmung aus.“ Es bedarf vielmehr der ausdrücklichen schriftlichen Zustimmung.

Der angesichts der gegebenen Restriktionen möglicherweise aufkeimende Gedanke, im Sinne des „guten Zwecks“ den ja ein Process Management Projekt verfolgt, ein Task Mining heimlich einzusetzen, sollte umgehend verworfen werden, denn die heimliche Installation einer solchen Überwachungssoftware, die sämtliche Tastatureingaben aufzeichnet und möglicherweise noch Screenshots der Bildschirmhalte speichert, stellt einen schweren Eingriff in das Rechts des Arbeitnehmers auf informationelle Selbstbestimmung dar.

Ist damit der Einsatz von Tools zur automatisierten Prozess-Analyse ein für alle Mal unmöglich? 

Muss in einem Business Process Management Projekt auf die rasche und valide Analyse der IST-Prozesse, auf die Simulation von SOLL-Prozessen verzichtet werden und müssen alle Analysetätigkeiten in der Form von Interviews, Workshops und zeitintensiver Auswertung von Dokumenten weiterhin „händisch“ umgesetzt werden? Auf diese Fragen ein klares NEIN. In Projekten zur digitalen Transformation setzt die bcs-people GmbH mit ihrem Data Driven Process Management (DDPM) ganz auf die Analyse und Simulation von Prozessen mit Hilfe eines Process Mining Tools, das auf ein personifiziertes Task Mining verzichtet. Der Einsatz intelligenter Algorithmen für das digitale Prozessmanagement darf in seiner Bedeutung für ein effizientes und qualitativ hochwertiges Projekt nicht unterschätzt werden. 

Daher unsere Nachricht an alle Projektverantwortlichen, die die Vorteile eines Process Mining nutzen wollen: Das von der bcs-people eingesetzte Process Mining Tool ist vollständig konform mit den geltenden Datenschutzregeln, insbesondere mit der DSGVO. 

Hier verfolgen wir die Grundsätze

  • Datenintegrität
  • Datenreduzierung auf das tatsächlich erforderliche Maß
  • zertifizierter Schutz personenbezogener Daten
  • Schaffung eines konstruktiv kritischen Bewusstseins für Daten
  • frühzeitige Einbindung des Compliance-Beauftragten in ein Projektvorhaben

Wir schaffen so einen Projektrahmen, der innerbetrieb­liche Auseinandersetzungen vermeidet, juristische Frage­stellung und damit drohende Prozessrisiken und ein Scheitern des Projektvorhabens verhindert, aber eine hohe Qualität in der Analyse von Geschäftsprozesse und der Entwicklung neuer Prozessmodelle sicherstellt. Sprechen Sie uns gerne und unverbindlich an.

Bildnachweise: 
Titelbild: ©adobestock
Bild im Beitrag: ©adobestock – Looker_Studio

Das könnte Sie auch interessieren

Bleiben Sie informiert:

bcs-people hilft Ihnen...

Weitere Blogthemen: