Zum Inhalt springen

Arbeitnehmerdatenschutz

New work und der Datenschutz

Die Coro­na-Pan­de­mie hat der Arbeits­welt gezeigt, dass es auch anders gehen kann bezie­hungs­wei­se anders gehen muss. Die Lern­kur­ve in Bezug auf mobi­les Arbei­ten, Arbei­ten aus dem Home Office und der dazu­ge­hö­ri­gen Nut­zung digi­ta­ler Tools wie Video­kon­fe­ren­zen war für zahl­rei­che Orga­ni­sa­tio­nen beacht­lich steil. Und als net­ten Neben­ef­fekt haben sich die Her­stel­ler von Head­sets und Web­cam dar­über auch sehr gefreut. Weni­ger erfreut sind die Ver­mie­ter von Büro­flä­chen, was auch nach­voll­zieh­bar ist. In der Fol­ge muss­ten sich auch Füh­rungs­kräf­te zwangs­läu­fig umstel­len. Denn die anver­trau­ten Mit­ar­bei­ter waren nun nicht mehr von “9 to 5” (Grü­ße an Dol­ly Par­ton) im Büro anwe­send und damit qua­si ihrer Auf­sicht ent­zo­gen. Und da gin­gen für die eine oder ande­re Füh­rungs­kraft die Pro­ble­me und Sor­gen los. 🙂

“Kon­trol­le von Beschäf­tig­ten im Home­of­fice” (Kapi­tel 11.2)

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) — zustän­dig für nicht-öffent­li­che Stel­len, also Unter­neh­men in Bay­ern hat dazu einen inter­es­san­ten Arti­kel im 12. Tätig­keits­be­richt 2022 (Sei­te 54) geschrie­ben. Und die behan­del­ten Anfra­gen rund um das The­ma Mit­ar­bei­ter­über­wa­chung im Home Office hal­ten wir für erschre­ckend. Eigent­lich waren wir aber dann doch nicht wirk­lich über­rascht, da uns selbst zu Beginn von Coro­na eine Anfra­ge einer kom­mu­na­len Füh­rungs­kraft erreich­te: “Dür­fen wir unse­re Mit­ar­bei­ter im Home Office dazu ver­pflich­ten, sich zu Dienst­be­ginn in einem Video­ka­nal anzu­mel­den, in dem alle Mit­ar­bei­ter im Home Office auf­ge­schal­tet sind, und die Video­ka­me­ra den gan­zen Tag anzu­las­sen? Nur so kön­nen wir fest­stel­len, ob sich der Mit­ar­bei­ter wäh­rend der vor­ge­schrie­be­nen Arbeits­zeit am Schreib­tisch auf­hält. Die fort­lau­fen­de Sicht­kon­trol­le den Tag über wür­de ich als Füh­rungs­kraft von mei­nem PC aus durch­füh­ren.” Und damit ist eigent­lich auch schon viel zum The­ma Füh­rungs­kraft, aber auch der Akzep­tanz von new work gesagt 🙂

Doch schau­en wir mal in den Arti­kel des BayL­DA. Kern­the­ma der Anfra­gen war die daten­schutz­recht­li­che Zuläs­sig­keit einer Über­wa­chung der Mit­ar­bei­ter im Home Office. Und hier wur­den teil­wei­se wirk­lich schwe­re Geschüt­ze aufgefahren.

New work und GPS-Überwachung

Ein Arbeit­ge­ber woll­te die phy­si­ka­li­sche Anwe­sen­heit des Mit­ar­bei­ter im Home Office mit­tels GPS-Ortung sicher­stel­len. Beim Lesen des Tätig­keits­be­richts hat­ten wir bild­lich einen Mit­ar­bei­ter mit ange­leg­ter elek­tro­ni­scher GPS-Fuß­fes­sel vor Augen. Auf­grund des erheb­li­chen Miß­brauch­po­ten­ti­als die­ser Tech­no­lo­gie emp­fahl das BayL­DA auf mil­de­re Mit­tel wie z.B. einen Kon­troll­an­ruf per Tele­fon aus­zu­wei­chen. Die Nut­zung einer hier­für genutz­ten pri­va­ten Ruf­num­mer des Mit­ar­bei­ters wäre über die Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO zu beschrei­ben und — sofern schon in den Stamm­da­ten vor­han­den — eine nach­träg­li­che Zweck­än­de­rung durch­zu­füh­ren und zu doku­men­tie­ren. Das BayL­DA schreibt im Zusam­men­hang mit die­sen Anru­fen zu Kon­troll­zwe­cken von Stich­pro­ben­an­ru­fen. Eine Stich­pro­be defi­niert sich dadurch, dass nicht alle Mit­ar­bei­ter im Home Office ange­ru­fen wer­den und auch nicht alle 30 Minu­ten das Tele­fon klin­gelt 🙂 Oder wie es das BayL­DA for­mu­liert: “Die Häu­fig­keit der Stich­pro­ben­kon­trol­len muss sich dabei an der Erfor­der­lich­keit und Ver­hält­nis­mä­ßig­keit mes­sen las­sen.” Als Rechts­grund­la­ge kann sich das BayL­DA Art. 6 Abs. 1 lit. b DSGVO vorstellen.

New work und Kon­trol­le (in) der Wohnung

Wie schreibt es das BayL­DA: “…, kri­tisch zu sehen.” Stich­wort: Unver­letz­lich­keit der Wohnung.

New work und Keylogger

Den Ein­satz von Key­log­gern (also das auto­ma­ti­sier­te und fort­lau­fen­de Auf­zeich­nen der gedrück­ten Tas­ten im Hin­ter­grund) stuft das BayL­DA als nicht zuläs­sig ein. Aus­nah­me: Einen auf kon­kre­te Tat­sa­chen gegrün­de­ten Ver­dacht zumin­dest einer schwer­wie­gen­den Pflicht­ver­let­zung oder Straf­tat. Gute Füh­rungs­kräf­te wis­sen, dass eine Über­wa­chungs­pa­ra­noia auf Ver­dacht damit nicht zu legi­ti­mie­ren ist.

Fazit

New work ist natür­lich mehr als das Arbei­ten im Home Office. Für vie­le Orga­ni­sa­tio­nen war durch Coro­na das Home Office jedoch ein ers­ter Kon­takt mit die­sem wirk­lich span­nen­den und zukunfts­träch­ti­gen The­ma. Das sich die Arbeits­welt und auch die Art, wie Arbeit geleis­tet wird, in einer umfas­sen­den Pha­se der Ver­än­de­rung sind, ist nicht zu bestrei­ten. Die Fra­ge ist, wie geht man als Orga­ni­sa­ti­on und als Füh­rungs­kraft damit um? Das der Daten­schutz einem über­bor­den­den Kon­troll­zwang einen Rie­gel vor­schiebt, mag die eine oder ande­re Füh­rungs­kraft nega­tiv emp­fin­den. Dazu soll­te man sich aber, mit einem Augen­zwin­kern, vor Augen hal­ten, dass die Leib­ei­gen­schaft dann doch schon vor eini­gen Jah­ren abge­schafft wur­de. 🙂 Ob der Auf­wand für die­se zuvor skiz­zier­ten Bei­spie­le inner­li­cher Kon­troll­zwän­ge im Ver­hält­nis zu dem mög­li­cher­wei­se ver­mut­lich fest­ge­stell­ten Arbeits­zeit­ver­lust besteht, darf man ruhig in Zwei­fel ziehen.

New work defi­niert unter dem Begriff new lea­der­ship: “Eine Ver­trau­ens­kul­tur und Empa­thie erset­zen streng hier­ar­chi­sche Füh­rungs­sti­le. Haupt­auf­ga­be der neu­en Füh­rungs­kräf­te ist es, die Mit­ar­bei­ter­zur Eigen­ver­ant­wor­tung zu befä­hi­gen und ihre Stär­ken zu för­dern.” Und dem steht der Daten­schutz mit Sicher­heit nicht im Weg 😉

 

 

 

 

Regel­mä­ßi­ges Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”

Was liebt der Datenschutz?

Sen­si­bi­li­sier­te Mitarbeiter.

Wie­so liebt der Daten­schutz sen­si­bi­li­sier­te Mitarbeiter?

Unter ande­rem, weil sich damit die Risi­ken für eine Daten­schutz­ver­let­zung mini­mie­ren las­sen. Aber es hat noch vie­le wei­te­re posi­ti­ve Aspek­te (früh­zei­ti­ge Ein­bin­dung des DSB, funk­tio­nie­ren­des Daten­schutz­ma­nage­ment, ver­bes­ser­te und ver­ein­fach­te Erfül­lung der DSGVO Anfor­de­run­gen, Sen­ken von Buß­geld­ri­si­ken, und und und .…)

Wie bekom­men wir das hin? Wir kön­nen ja nicht jeden neu­en Mit­ar­bei­ter ein­zeln schulen.

Stimmt. Aber wie wäre es mit unse­rem Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”?

An wen wen­det sich denn die­ses Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”?

Bes­tens geeig­net für neue Mit­ar­bei­ter in der Orga­ni­sa­ti­on, die eine grund­le­gen­de Ein­füh­rung in das The­ma zu Beginn erhal­ten sollen.

Nur für neue Mitarbeiter?

Né, ger­ne auch für Mit­ar­bei­ter, die schon lan­ge nicht mehr mit dem The­ma ver­traut gemacht wur­den. Etwas Auf­fri­schung scha­det nicht.

Wie lan­ge dau­ert denn die Veranstaltung?

90 Minu­ten

Muss mein Mit­ar­bei­ter dafür etwas auf sei­nem End­ge­rät installieren?

Nö. Sie brau­chen nur einen mit dem Inter­net ver­bun­de­nen Web­brow­ser und Laut­spre­cher (bes­ser Headset).

Bekom­men Teil­neh­mer eine Bestätigung?

Wir machen im Lau­fe des Web­i­nar ein paar Anwe­sen­heits­checks in Form von Fra­gen /​ Begrif­fen. Die­se Begrif­fe trägt der Teil­neh­mer am Ende in ein For­mu­lar ein und gene­riert sich damit sei­ne Teil­nah­me­be­stä­ti­gung. Die­se wird als PDF-Anhang per Email direkt an den Teil­neh­mer ver­sen­det. Jedes Web­i­nar hat übri­gens ande­re Begriffe 😉

Daten­schutz als The­ma, ist das nicht furztrocken?

Man sagt unse­ren Web­i­na­ren nach, dass die­se hum­vor­voll, inter­es­sant und eben nicht tro­cken sind 🙂

Kön­nen im Web­i­nar Fra­gen gestellt werden?

Aber sicher doch. Wir freu­en uns über jede Fra­ge, die im Chat gestellt wird. Ganz muti­ge Teil­neh­mer schal­ten wir nach Auf­for­de­rung auch ger­ne mit Web­cam und Mikro­fon dazu, wenn gewünscht.

Wie ist das denn mit dem Daten­schutz bei unter­schied­li­chen Teilnehmern?

Chat und Teil­neh­mer­lis­te ste­hen auf anonym. Kei­ner der Teil­neh­mer sieht Namen oder Fra­gen der ande­ren. Fra­gen wer­den von den Mode­ra­to­ren ohne Namen des Fra­ge­stel­lers in einen für alle les­ba­ren Chat kopiert.

Wie oft fin­det das Web­i­nar statt?

Übli­cher­wei­se monat­lich. Die nächs­ten Ter­mi­ne fin­den Sie hier.

Kön­nen wir auch eine eige­ne Ver­an­stal­tung für unse­re Orga­ni­sa­ti­on buchen?

Das lässt sich einrichten 🙂

Was kos­tet die Teilnahme?

Wir hal­ten es ganz ein­fach. Meist nur ein ein­stel­li­ger Euro-Betrag plus MwSt. pro Teil­neh­mer (Aus­nah­me: Orga­ni­sa­ti­ons­in­di­vi­du­el­le Webinare)

Gibt es Beschrän­kun­gen im Hin­blick auf den Teilnehmerkreis?

Nö, das Web­i­nar ist für alle Per­so­nen geeig­net, die im Arbeits­all­tag mit per­so­nen­be­zo­ge­nen Daten han­tie­ren. Es gibt nur eine Ein­schrän­kung: Unser Web­i­nar-Ange­bot rich­tet sich nicht an pri­va­te Endverbraucher.

Müs­sen wir die a.s.k. Daten­schutz als Daten­schutz­be­auf­trag­te benannt haben, damit unse­re Mit­ar­bei­ter teil­neh­men können?

Um Him­mels wil­len, nein. Unser Web­i­nar-Ange­bot rich­tet sich expli­zit nicht nur an unse­re Bestands­kun­den. Aber viel­leicht wer­den Sie ja spä­ter einer 😉

Sind wei­te­re The­men geplant?

Nicht nur geplant. Wir haben wei­te­re The­men am Start wie “Email-Sicher­heit” und “Ein­füh­rung in die Grund­la­gen der Infor­ma­ti­ons­si­cher­heit”. Wei­te­re The­men sind in Vorbereitung.

Wir hät­ten Inter­es­se. Wie geht es jetzt weiter?

Dann schrei­ben Sie uns an.

 

 

 

Tipp: Micro­soft Ana­ly­tics “MyAna­ly­tics” in Office 365 deaktivieren

Nicht über­ra­schend, aber dann doch ohne wei­te­re Ankün­di­gung des genau­en Start­ter­mins hat Micro­soft vor kur­zem den Dienst “MyAna­ly­tics” in Office 365 in Deutsch­land frei­ge­schal­tet. Und wie zu erwar­ten war, begann sogleich der gro­ße Auf­schrei der Arbeit­neh­mer­ver­tre­ter und auch eini­ger Daten­schutz-Auf­sich­ten. Vom “glä­ser­nen Mit­ar­bei­ter” ist die Rede. Es fän­de voll­stän­di­ges Pro­fil­ing aller nut­zen­den Mit­ar­bei­ter durch den Arbeit­ge­ber statt. Zeit­nah wur­de auch die Not­wen­dig­keit einer Daten­schutz-Fol­gen­ab­schät­zung nach Art. 35 DSGVO betont.

Was ist Micro­softs “MyAna­ly­tics”?

MyAna­ly­tics ist ein Micro­soft-Dienst, der im Rah­men bestimm­ter Office 365 bzw. Exch­an­ge 365-Lizen­zen zur Ver­fü­gung steht. Stan­dard­mä­ßig ist die Funk­ti­on ein­ge­schal­tet. Weder der Arbeit­ge­ber noch der Mit­ar­bei­ter müs­sen bzw. muss­ten in die Nut­zung die­ses Ser­vices ein­wil­li­gen. Das erscheint auf den ers­ten Blick zumin­dest sehr unge­schickt, da doch bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch­aus ein Opt In statt­fin­den muss, wenn kei­ne ande­re Rechts­grund­la­ge aus Art. 6 Abs. 1 DSGVO her­an­ge­zo­gen wer­den kann.

Micro­soft selbst beschreibt MyAna­ly­tics dahin­ge­hend “Wer­den Sie pro­duk­ti­ver durch Ein­bli­cke in Ihre per­sön­li­che Arbeits­wei­se in Micro­soft 365. Wer­den Sie noch pro­duk­ti­ver, indem Sie Ihre Arbeits­mus­ter mit MyAna­ly­tics in vier Kern­be­rei­chen aus­wer­ten: Fokus, Wohl­be­fin­den, Netz­werk und Zusam­men­ar­beit. Direkt in Out­look macht MyAna­ly­tics intel­li­gen­te Vor­schlä­ge, damit Sie recht­zei­tig Zeit für kon­zen­trier­tes Arbei­ten reser­vie­ren, Auf­ga­ben und E‑Mails im Blick behal­ten und wich­ti­ge Kon­tak­te pfle­gen kön­nen.” Die Aus­wer­tung der eige­nen Arbeits­wei­se wird jedem ein­zel­nen Nut­zer mit akti­vem MyAna­ly­tics wöchent­lich zusam­men­ge­stellt und per Email zugeschickt.

Mit “Sie” ist daher nicht der Arbeit­ge­ber, son­dern der jewei­li­ge Ein­zel­nut­zer gemeint. Das ist im Eifer des Gefechts dem einen oder ande­ren auf­ge­reg­ten Daten- und Mit­ar­bei­ter­schüt­zer entgangen.

Micro­soft führt wei­ter­hin aus, dass die­se Aus­wer­tun­gen für jeden Mit­ar­bei­ter indi­vi­du­ell erstellt wer­den und weder einem Admi­nis­tra­tor noch dem Arbeit­ge­ber in irgend­ei­ner Wei­se zur Ver­fü­gung oder Ein­sicht ste­hen. Bei unse­ren Tests als Admi­nis­tra­to­ren ist es uns auch nicht gelun­gen, an eine die­ser Aus­wer­tun­gen zu gelan­gen. Aus­nah­me wäre gewe­sen, wir hät­ten uns als Admi­nis­tra­tor Zugang zum Post­fach eines Mit­ar­bei­ter ver­schafft und des­sen Ana­ly­tics-Bericht gele­sen, der als Email direkt an den Mit­ar­bei­ter zuge­stellt wird.

Wozu “MyAna­ly­tics”?

MyAna­ly­tics wer­tet den Kalen­der und die E‑Mails sta­tis­tisch aus. Micro­soft sieht den Nut­zen des Diens­tes in der Mög­lich­keit für den ein­zel­nen Mit­ar­bei­ter zu sehen, auf einen Blick sehen kön­nen, wie viel sie arbei­ten und wie sie ihre Zeit orga­ni­sie­ren. That’s it. Kei­ne Kon­trol­le durch den Arbeit­ge­ber oder ein “Ver­mes­sen der Beleg­schaft” durch den ach so bösen Arbeit­ge­ber. Wer das mag, war­um nicht.

Zu hin­ter­fra­gen wäre sicher­lich, was macht Micro­soft mit den gesam­mel­ten Daten. Wann wer­den die­se wie­der gelöscht? Wer hat außer­halb des Office365 Ten­ants Zugriff dar­auf und vor allem war­um? Die Dis­kus­si­on hier­zu wird noch geführt bzw. wei­ter zu füh­ren sein.

Wie kann ich Micro­soft “MyAna­ly­tics” deaktivieren?

Ob ein Mit­ar­bei­ter den Dienst nut­zen möch­te, kann durch jeden Nut­zer selbst ent­schie­den wer­den. Sobald Sie eine Sta­tus-Email von MyAna­ly­tics erhal­ten (zumeist wöchent­lich als Zusam­men­fas­sung), befin­det sich dar­in der Link zum Deak­ti­vie­ren der Funk­ti­on. Alter­na­tiv kann der Office 365 Nut­zer dies auch direkt über das Dash­board in Office 365 (exter­ner Link zur Anlei­tung) erledigen.

Orga­ni­sa­tio­nen kön­nen “MyAna­ly­tics” jedoch auch gene­rell abschal­ten. Micro­soft stellt dazu eine ein­fa­che Anlei­tung zur Ver­fü­gung. In der Office 365 Admi­nis­tra­ti­on fin­det man links die Opti­on “Ein­stel­lun­gen”. Unter Ein­stel­lun­gen scrollt man run­ter zum Dienst “MyAna­ly­tics” und deak­ti­viert die 3 ange­kreuz­ten Check­bo­xen, die auf der rech­ten Sei­te erscheinen:

Damit steht der Ser­vice für kei­nen Nut­zer auf dem Ten­ant mehr zur Verfügung.

Emp­feh­lung, wenn Sie MyAna­ly­tics für Ihre Mit­ar­bei­ter zulas­sen wollen

  1. Sich mit dem Tool und des­sen Umfang ver­traut machen. Micro­soft bie­tet dazu eine ers­te gute Über­sicht an. Auch die FAQ sind eine gute Grund­la­ge für den Einstieg.
  2. Den Daten­schutz­be­auf­trag­ten und den Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten einbinden.
  3. Mit­ar­bei­ter­ver­tre­tung mit ins Boot neh­men. Auch die­se aus­führ­lich über das Modul infor­mie­ren, Ver­ständ­nis­pro­ble­me klä­ren, damit eine ein­heit­li­che Dis­kus­si­ons­ba­sis vor­han­den ist.
  4. Bei Bedarf vor­han­de­ne Rah­men­be­triebs­ver­ein­ba­rung Office 365 um MyAna­ly­tics ergän­zen bzw. eine Betriebs­ver­ein­ba­rung dazu erstellen.
  5. Wir gehen mal davon aus, die daten­schutz­recht­li­chen Ver­ein­ba­run­gen mit Micro­soft vorliegen? 🙂
  6. Abwar­ten und Tee trin­ken, bis sich die Auf­re­gung wie­der etwas gelegt hat und kla­re, prag­ma­ti­sche Vor­ge­hens­wei­sen vorliegen.

 

Geburts­tags­lis­ten von Mit­ar­bei­tern und die DSGVO

Als aktu­el­le Kurz­in­for­ma­ti­on zum Daten­schutz unter der DSGVO hat der BayLfD jetzt die Num­mer 26 ver­öf­fent­licht, Thema

“Beschäf­tig­ten-Geburts­tags­lis­ten bei baye­ri­schen öffent­li­chen Stellen.”

Jetzt könn­te man als Unter­neh­men oder Ver­ein ver­sucht sein, dar­über hin­weg­zu­le­sen. Schließ­lich han­delt es sich bei die­sen Orga­ni­sa­tio­nen um sog. nicht-öffent­li­che Stel­len. Doch der Inhalt betrifft durch­aus bei­de Berei­che. Ob das The­ma Geburts­tags­lis­te aktu­ell einer der Brenn­punk­te der DSGVO ist, steht auf einem ande­ren Blatt. Aber zur Auf­fri­schung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zei­ten gab es dazu immer wie­der Nachfragen.

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Nun, das ist recht ein­fach erklärt. Wenn abtei­lungs­be­zo­gen oder für die gesam­te Orga­ni­sa­ti­on eine öffent­lich ein­seh­ba­re Lis­te der Geburts­ta­ge der Mit­ar­bei­ter  durch den Arbeit­ge­ber ver­öf­fent­licht wird, dann ver­ar­bei­tet die­ser per­so­nen­be­zo­ge­ne Daten sei­ner Mit­ar­bei­ter und gibt die­se an Drit­te (alle ande­ren Mit­ar­bei­ter) wei­ter. Wie wir nun hin­läng­lich wis­sen, ist dafür einer der Erlaub­nis­tat­be­stän­de aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Ein­wil­li­gung: liegt im Zwei­fel kei­ne vor, sofern es hier­zu kei­nen gere­gel­ten Pro­zess im Rah­men der Ein­stel­lung gibt.
  • b) Not­wen­dig­keit für die Durch­füh­rung, in die­sem Fall des Arbeits­ver­tra­ges: Für das eigent­li­che Beschäf­tig­ten­ver­hält­nis sicher­lich, für die Ver­öf­fent­li­chung an alle Mit­ar­bei­ter sicher nicht.
  • c) Rechts­vor­schrift: Uns ist zumin­dest kei­ne Rechts­vor­schrift bekannt, wel­che das Ver­öf­fent­li­chen von Geburts­tags­lis­ten der Mit­ar­bei­ter vor­schreibt. Kann ja aber noch kom­men im Zuge der aktu­el­len Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebens­wich­ti­ge Inter­es­sen zum Schutz der Mit­ar­bei­ter wird man hier nicht anneh­men können.
  • e) Wahr­neh­mung öffent­li­ches Inter­es­se oder Aus­übung öffent­li­cher Gewalt schei­det aus.
  • f) Ob das sog. berech­tig­te Inter­es­se anwend­bar ist, wird aktu­ell kon­tro­vers dis­ku­tiert. Eine Mehr­heit fin­det sich hier­für kei­ne. Für öffent­li­che Stel­len in Bay­ern ist Buch­sta­be f zumin­dest in der Aus­übung der öffent­li­chen Auf­ga­ben ausgeschlossen.

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

Am Ende des Tages wird es wohl wie frü­her dar­auf hin­aus­lau­fen. Doch ist das Ein­ho­len von schrift­li­chen Ein­wil­li­gun­gen samt deren Abla­ge in der Per­so­nal­ak­te und regel­mä­ßi­gen Prü­fung und Bear­bei­tung von Wider­ru­fen wirk­lich jetzt der Königs­weg. Nein, war es nie und wird es nach unse­rem Dafür­hal­ten auch nie sein. Auch wenn dies durch die oben genann­te Kurz­in­for­ma­ti­on sug­ge­riert wird. Klar kann man die­ses The­ma nun mit viel Papier im Rah­men des Ein­stel­lungs­pro­zes­ses für neue Mit­ar­bei­ter lösen. Allei­ne von den bereits vor­han­de­nen Mit­ar­bei­tern die Ein­wil­li­gung nach­träg­lich ein­zu­ho­len und zu doku­men­tie­ren, ist sicher auch kein zu unter­schät­zen­der Auf­wand. Selbst wenn man die Ein­wil­li­gung mitt­ler­wei­le auch elek­tro­nisch ein­ho­len und doku­men­tie­ren kann. Es geht auch einfacher:

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Egal, ob orga­ni­sa­ti­ons­weit oder nur abtei­lungs­be­zo­gen: Wenn sich ein Mit­ar­bei­ter frei­wil­lig in einen Geburts­tags­ka­len­der (zen­tral in Out­look oder in Papier­form in der Tee­kü­che) ein­trägt, jeder­zeit die Mög­lich­keit des Wie­der­aus­tra­gens besteht, dann kön­nen Sie sich das gan­ze Klim­bim spa­ren. Aber auch das ist nun nichts Neu­es aus der DSGVO, son­dern wur­de schon frü­her so prag­ma­tisch gehandhabt.

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Soll­ten Sie sich als Arbeit­ge­ber das Pro­ce­de­re mit schrift­li­cher Ein­wil­li­gung den­noch antun wol­len, dann ach­ten Sie dar­auf, dass in Ihren Anga­ben zu den Infor­ma­ti­ons­pflich­ten gem. Art. 13 DSGVO für Mit­ar­bei­ter die Geburts­tags­lis­te Erwäh­nung fin­det. Der dazu­ge­hö­ri­ge Ein­trag in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten darf eben­falls nicht fehlen.

Übri­gens zwei Punk­te, die Sie sich durch den Geburts­tags­lis­te-Self-Ser­vice eben­falls je nach Umset­zung erüb­ri­gen kön­nen. Zumin­dest wenn nicht sei­tens der Orga­ni­sa­ti­on der Anstoß für die­se Geburts­tags­lis­ten und deren Ver­wal­tung /​ Durch­füh­rung kommt, also die Mit­ar­bei­ter den Kalen­der in der Tee­kü­che selbst auf­hän­gen (wäre aber sicher im Detail zu dis­ku­tie­ren). Stellt die Orga­ni­sa­ti­on den Geburts­tags­ka­len­der zen­tral in Out­look o.ä. Pro­gram­men zur Ver­fü­gung, macht es Sinn, einen Ein­trag im VVT und in den Infopflich­ten vor­zu­hal­ten (dan­ke für den Hin­weis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrie­den und das The­ma Daten­schutz wird nicht erneut als Stör­fak­tor wahr­ge­nom­men (was es eigent­lich auch gar nicht ist, ent­spre­chend prag­ma­ti­sche Umset­zung vor­aus­ge­setzt). So und jetzt “KUCHEN”

Knack­punkt Geburtstagsliste

Wer kennt das nicht? Im Unter­neh­men hängt direkt über der Kaf­fee­ma­schi­ne eine Geburtstag­lis­te mit den Daten aller Mit­ar­bei­ter. Oder in Out­look ist der Kalen­der “Geburts­ta­ge der Mit­ar­bei­ter” öffent­lich für alle ver­füg­bar. Bei­de Ein­rich­tun­gen selbst­ver­ständ­lich top aktu­ell und zen­tral gepflegt durch die Per­so­nal­ab­tei­lung. Ein­ge­stellt, ein­ge­tra­gen, aus­ge­han­gen 🙂 Nett gemeint, doch nicht ganz ohne.

Der thü­rin­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te hält die­se Vor­ge­hens­wei­se ohne gül­ti­ge Ein­wil­li­gung für nicht rechts­kon­form. Dies äußert er in sei­nem Jah­res­be­richt (Zeit­raum 12/11–12/13) für den nicht-öffent­li­chen Bereich (also Unter­neh­men und Ver­ei­ne) auf Sei­te 81.

Geburts­tags­da­ten von Mit­ar­bei­tern sind Arbeit­neh­mer­da­ten. Daher ist sei­ner Mei­nung nach § 32 BDSG Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses anzu­wen­den. Die dar­in genann­ten Nut­zungs­zwe­cke Begrün­dung, Durch­füh­rung und Been­di­gung des Arbeits­ver­hält­nis­ses geben eine Legi­ti­ma­ti­on der Daten­nut­zung für eine öffent­li­che Geburts­tags­lis­te nicht her. Von daher ist nach sei­nem Dafür­hal­ten die aus­drück­li­che Ein­wil­li­gung jedes ein­zel­nen Mit­ar­bei­ters erfor­der­lich. Dabei ist es uner­heb­lich, ob die Anga­be mit oder ohne Geburts­jahr erfolgt.

Für die kor­rek­te For­mu­lie­rung einer Ein­wil­li­gung fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Die Gefahr von innen — wenn Mit­ar­bei­ter zum Sicher­heits­ri­si­ko werden

Viel Zeit und Mühe wird in das Abschir­men und Absi­chern von IT Netz­wer­ken gegen Angrif­fe von außen inves­tiert. Dabei über­sieht man schnell die Gefah­ren, die Unter­neh­mens­da­ten von innen dro­hen kön­nen. Unab­hän­gig ob Fahr­läs­sig­keit oder Absicht, so soll­ten Sie als Unter­neh­mer und Unter­neh­men die­se Bedro­hung nicht aus dem Blick ver­lie­ren. In fast einem Vier­tel aller Fäl­le sind Mit­ar­bei­ter der Grund für Daten­ab­fluss aus dem Unternehmen.

In Zei­ten von Spei­cher­sticks mit immer grö­ße­rer Spei­cher­ka­pa­zi­tät und Foto­han­dys mit meh­re­ren Mega­pi­xeln Auf­lö­sung erschreckt es teil­wei­se, wie lax der inter­ne Umgang in Unter­neh­men sein kann.

  • Nut­zungs­richt­li­ni­en und Pro­fil­sper­ren für die Nut­zung von USB Sticks sind oft Fehl­an­zei­ge. Daten kön­nen in gro­ßen Men­gen kopiert und unauf­fäl­lig in der Hosen­ta­sche aus­ser Haus gebracht werden.
  • Foto­han­dys wer­den teil­wei­se sogar vom Unter­neh­men den Mit­ar­bei­tern zur Ver­fü­gung gestellt. Die hohen Auf­lö­sun­gen erlau­ben detail­ge­treue Wie­der­ga­ben beim Abfo­to­gra­fie­ren wich­ti­ger und gehei­mer Doku­men­te. Nütz­lich ist die oft­mals zusätz­lich ein­ge­rich­te­te Inter­net­flat, um die Foto­do­ku­men­ta­ti­on gleich noch unauf­fäl­lig  zu versenden.

Doch dies sind nur zwei aus­ge­wähl­te Mög­lich­kei­ten, wie schüt­zens­wer­te Daten das Unter­neh­men ver­las­sen kön­nen. Die­se set­zen selbst­ver­ständ­lich noch ein gewis­ses Maß an kri­mi­nel­ler Ener­gie bei Ihren Mit­ar­bei­tern vor­aus. Aber wer kennt schon den genau­en Preis, ab dem Loya­li­tät in den Hin­ter­grund tritt?

Auch unbe­wuß­te Gefah­ren kön­nen von Mit­ar­bei­tern aus­ge­hen: Ver­tei­len Sie USB Sticks auf dem Park­platz eines Unter­neh­mens vor Arbeits­be­ginn, wie zufäl­lig ver­lo­ren. Zuvor prä­pa­rie­ren Sie die­se mit einer klei­nen, ein­deu­ti­gen und unge­fähr­li­chen Ping Rou­ti­ne im Auto­start. Sie wer­den stau­nen, wie vie­le die­ser Sticks sich bis zum Abend aus dem Unter­neh­mens­netz­werk auf dem bereit­ge­stell­ten Ping Ser­ver gemel­det haben. Stel­len Sie sich vor, die­se Sticks wären mit Schad­soft­ware prä­pa­riert gewe­sen (Back­doors, Lösch­funk­tio­nen etc.) !! Hor­ror­vor­stel­lung, aber bedau­er­li­cher­wei­se Realität.

Eine belieb­te Metho­de ist das Aus­spä­hen von Daten und Geheim­nis­sen über die Abfall­be­häl­ter. Sei es direkt aus den Papier­kör­ben an den Schreib­ti­schen oder aus den Con­tai­nern im Hof. Etwas Unter­stüt­zung vom Rei­ni­gungs­per­so­nal und Sie wer­den stau­nen, an wel­che Infor­ma­tio­nen man bei der “Müll”-Auswertung so alles gelan­gen kann. Zahl­rei­chen Unter­su­chun­gen zufol­ge fin­den fast 50% der Spio­na­ge-Angrif­fe nicht auf elek­tro­ni­schem Weg statt, son­dern durch ein­fa­ches Durch­su­chen der Abfall­be­häl­ter, auch “Bin Rai­ding” genannt.

100%ige Sicher­heit und Schutz vor die­sen und ähn­li­chen Gefah­ren gibt es nicht. Als Bera­ter für Daten­schutz und Daten­si­cher­heit unter­stüt­ze ich Sie jedoch bei der Mini­mie­rung die­ser Risi­ken durch kon­kre­te Maß­nah­men im Bereich der IT Sicher­heit und durch Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter durch Schu­lung und Auf­klä­rung. Sie kön­nen Ihre Mit­ar­bei­ter zu den regel­mä­ßi­gen Schu­lun­gen “Daten­schutz und Daten­si­cher­heit” schi­cken oder ange­pass­te Schu­lun­gen auf Basis Ihrer vor­han­de­nen (oder noch zu erstel­len­den) Nut­zungs­richt­li­ni­en durch mich bei Ihnen vor Ort durch­füh­ren las­sen. Spre­chen Sie mich an.

Lesen Sie aktu­el­le Aus­sa­gen (07.07.2014) zu die­sem The­ma vom Ver­fas­sungs­schutz-Prä­si­dent H.-G. Maa­ßen auf unse­rer Bera­tungs-Web­page.

[wpfi­le­ba­se tag=‘file’ id=‘2’]

Mal sehen, was der Kol­le­ge so ver­dient — Daten­pan­ne bei der Telekom

Ver­geb­li­che Mühe

Seit Jah­ren bemüht sich die Deut­sche Tele­kom um Ver­bes­se­run­gen im Umgang mit per­so­nen­be­zo­ge­nen Daten, nicht nur auf­grund zahl­rei­cher Skan­da­le. Wie zahl­rei­che Medi­en wie n‑tv nun berich­ten, hat es beim Beschäf­ti­gen­da­ten­schutz nicht ganz gereicht.

120.000 Mit­ar­bei­ter betroffen

Eine inter­ne Daten­bank mit Anga­ben zu fast allen Mit­ar­bei­tern des Unter­neh­mens samt Name, Anschrift und Gehalt stand einem grö­ße­ren Mit­ar­bei­ter­kreis zur Ein­sicht zur Ver­fü­gung, als eigent­lich zuläs­sig gewe­sen wäre. Die ursprüng­lich vor­ge­se­he­ne Anony­mi­sie­rung war nicht erfolgt.

Seit 2002 soll die Daten­bank in die­ser Form ver­füg­bar gewe­sen sein. Mitt­ler­wei­le wur­de sie vom Netz genom­men. Ein exter­ner Wirt­schafts­prü­fer soll die Ursa­chen und Fol­gen nun ermit­teln. Der Betriebs­rat läßt die Unter­su­chung durch einen eige­nen Anwalt begleiten.

Nach Unter­neh­mens­an­ga­ben hat man von einem Miß­brauch der Daten bis­her kei­ne Kenntnis.

 

 

Pri­va­tes Out­sour­cing durch Mitarbeiter

Bereits in einer Kun­den­in­for­ma­ti­on aus 2012 haben wir auf das The­ma inoff­zi­el­les Out­sour­cing durch Mit­ar­bei­ter auf­merk­sam gemacht. Nicht vor­han­de­ne Funk­tio­nen in der IT-Struk­tur wer­den durch gewief­te Mit­ar­bei­ter und exter­ne Tools — oft­mals dann ohne Kennt­nis der IT-Ver­ant­wort­li­chen — ein­ge­führt und genutzt. Sicher­heits­lü­cke, dro­hen­de Buß­gel­der und mög­li­che Daten­pan­nen gleich inklusive.

2009 hat das ame­ri­ka­ni­sche Sati­re Maga­zin The Oni­on einen Video­clip pro­du­ziert, auf­ge­macht wie einen offi­zi­el­len Nach­rich­ten­bei­trag im US Fern­se­hen. Dar­in wird berich­tet, das nun nicht mehr nur Unter­neh­men Out­sour­cing betrei­ben, son­dern auch Mit­ar­bei­ter selbst. Um Arbeits­zeit zu spa­ren und mehr Zeit­res­sour­cen z.B. zum Kaf­fee trin­ken, Ebay-Auk­tio­nen ver­fol­gen oder ein­fach nur rela­xen, heu­ern ame­ri­ka­ni­sche Mit­ar­bei­ter (im Video noch Fakes) preis­wer­te exter­ne Hilfs­kräf­te an. Die­se erle­di­gen dann die Auf­ga­ben des Ange­stell­ten, der sei­ne freie Zeit nun deut­lich sinn­vol­ler nut­zen kann. Was 2009 als Sati­re begann, wur­de mit einer Mel­dung am gest­ri­gen Tage Realität:

Eine Fir­ma wand­te sich an das Sicher­heits­un­ter­neh­men Veri­zon mit der Bit­te, auf­fäl­li­ge Log­files zu über­prü­fen. Die­se wür­den einen kon­ti­nu­ier­li­chen VPN Tun­nel nach Chi­na bele­gen. Die Ver­bin­dung wur­de mit dem eTo­ken (vor­bild­lich) eines Soft­ware­ent­wick­lers auf­ge­baut, der wäh­rend der Log­zei­ten jedoch nicht zu Hau­se, son­dern an sei­nem Schreib­tisch im Büro saß. Wei­ter ergab die Ana­ly­se, das die Ver­bin­dung in den letz­ten 6 Mona­ten fast kon­ti­nu­ier­lich auf­ge­baut war. Die Unter­su­chung des Arbeits­plat­zes brach­te es dann ans Tages­licht: der Ent­wick­ler hat­te sich für ein Fünf­tel sei­nes eige­nen Jah­res­ge­halts einen Dienst­leis­ter aus dem fer­nen Chi­na geleis­tet, der sei­ne Pro­gram­mier­auf­ga­ben pflicht­be­wußt über­nahm. Das not­wen­di­ge eTo­ken schick­te der fin­di­ge Mit­ar­bei­ter auf dem Post­weg ins Land der auf­ge­hen­den Son­ne. Mitt­ler­wei­le arbei­tet der Pro­gram­mie­rer nicht mehr für das Unter­neh­men. Kuri­os jedoch: der ver­meint­lich von ihm gelie­fer­te Pro­gramm-Code war stets so gut, so daß er mehr­fach bes­te Bewer­tun­gen dafür erhielt.

Wie fin­dig sind Ihre Mitarbeiter?

Quo vadis Arbeit­neh­mer­da­ten­schutz? (Update)

Für eini­ges Auf­se­hen sorg­te im August letz­ten Jah­res der Ent­wurf der Bun­des­re­gie­rung für ein neu­es  Arbeit­neh­mer­da­ten­schutz­ge­setz. Der Name soll­te nicht irre­füh­ren, es wird wohl kein eigen­stän­di­ges Gesetz geben. Es ist viel­mehr beab­sich­tigt, die ergän­zen­den Rege­lun­gen in das Bun­des­da­ten­schutz­ge­setz (BDSG) zu inte­grie­ren. Ziel ist es, die­se noch vor Som­mer 2011 in Kraft tre­ten zu lassen.

Bei aller Eupho­rie um die not­wen­di­gen Rege­lun­gen sorg­te der Ent­wurf jedoch auch für kri­ti­sche Stim­men. Im Novem­ber 2010 nahm der Bun­des­rat zu den geplan­ten Aus­ge­stal­tun­gen Stel­lung und bemän­gel­te unter ande­rem feh­len­de Rege­lun­gen für einen mög­li­chen Kon­zern­da­ten­schutz, die schwe­re Les- und Nach­voll­zieh­bar­keit der aus­for­mu­lier­ten Rege­lun­gen (gera­de für juris­ti­sche Lai­en) oder auch die Ver­ein­bar­keit mit ande­ren gesetz­li­chen Regelungen.

Der Tages­spie­gel bringt es am 30.01.2011 auf den Punkt: es ist für alle Betei­lig­ten zu früh, sich gegen­sei­tig auf die Schul­ter zu klop­fen. Ein zitier­tes Gut­ach­ten stellt fest, die geplan­ten Rege­lun­gen schüt­zen nicht die Arbeit­neh­mer bes­ser in Sachen Daten­schutz. Im Gegen­teil, die­se sind ein Kata­log an Erlaub­nis­tat­be­stän­den für Arbeit­ge­ber, umfas­send Daten über ihre Mit­ar­bei­ter zu erheben.

Es bleibt spannend!

Sind in Ihrem Unter­neh­men die bereits gel­ten­den Aspek­te des Arbeit­neh­mer­da­ten­schutz regel­kon­form umge­setzt? Die­se Fra­ge beant­wor­tet Ihnen ihr betrieb­li­cher Daten­schutz­be­auf­trag­ter. Sie haben noch kei­nen? Dann spre­chen Sie mich an.

Update vom 18.02.2011:

Gui­do Strunck schreibt in sei­nem Blog zur IT-Sicher­heit nicht ganz unbe­grün­det von einem Arbeit­neh­mer­da­ten­nutz­ge­setz. Lesen Sie mehr.

Update vom 12.10.2011:

Wie das Han­dels­blatt in sei­ner aktu­el­len Mitt­wochs­aus­ga­be berich­tet, for­miert sich wei­te­rer Wider­stand gegen das geplan­te Arbeit­neh­mer­da­ten­schutz­ge­setz. Über 3.000 Per­so­nal- und Betriebs­rä­te haben sich deutsch­land­weit zu einer Initia­ti­ve zusam­men­ge­schlos­sen. “Statt nach den Daten­schutz­skan­da­len wie ange­kün­digt die Beschäf­tig­ten bes­ser zu schüt­zen, wer­den Bespit­ze­lun­gen mit dem vor­lie­gen­den Gesetz­ent­wurf auch noch lega­li­siert”, sag­te der DGB-Vor­sit­zen­de Micha­el Som­mer dem “Han­dels­blatt”. Lesen Sie mehr.

Der indi­zier­te Bür­ger — dank Steuer-ID

Der obers­te Daten­schüt­zer Deutsch­lands Peter Schaar bringt es auf den Punkt:

“Mei­ne Befürch­tun­gen hin­sicht­lich der zuneh­men­den Ver­wen­dung der Steu­er-ID in den ver­schie­dens­ten Lebens­be­rei­chen haben sich lei­der bestä­tigt. Ich stel­le mit Besorg­nis fest, dass die Ver­wen­dungs­mög­lich­kei­ten der Steu­er-ID schlei­chend aus­ge­wei­tet wer­den. Nicht nur Finanz­be­hör­den, son­dern auch Ban­ken, Ver­si­che­run­gen und Kran­ken­kas­sen ver­wen­den mitt­ler­wei­le die Steu­er-ID. Wer heu­te ein Kon­to eröff­nen will oder Eltern­geld bean­tragt, muss dafür sei­ne Steu­er-ID ange­ben. Damit droht die Steu­er-ID durch die Hin­ter­tür zu einem all­ge­mei­nen Per­so­nen­kenn­zei­chen zu wer­den, eine Ent­wick­lung, die von Ver­ant­wort­li­chen bei der Ein­füh­rung der Steu­er-ID vehe­ment bestrit­ten wurde.”

Schaar übt berech­tig­te Kri­tik an der Aus­wei­tung des ursprüng­lich ange­dach­ten Ein­satz­be­rei­ches der Steu­er-ID, weit über die Gren­zen der Steu­er­ver­wal­tung hinaus.

Durch die zuneh­men­de Abfra­ge und Spei­che­rung der ID, z.B. bei der Eröff­nung eines Bank­kon­tos oder der Bean­tra­gung von Sozi­al­leis­tun­gen ent­wick­le sich die Steu­er-ID immer mehr zu einem ein­deu­ti­gen Per­so­nen­kenn­zei­chen. Dies wur­de von den Ver­ant­wort­li­chen bei der Ein­füh­rung vor vier Jah­ren vehe­ment bestrit­ten, die Rea­li­tät sieht wohl anders aus.

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.
Die mobile Version verlassen