Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

Datenpanne (c) Sascha KuhrauSchon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­tige Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Verteiler-Liste genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der seine Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­name und Email-Adresse. Übli­cher­weise macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hatte weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, nette Geste. Jedoch lei­der stan­den vor dem eigent­li­chen Text (halbe DIN A4 Seite) über neun (9) Sei­ten Email-Adressen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wurde an die zustän­dige baye­ri­sche Lan­des­da­ten­schutz­be­hörde weitergeleitet.

Fotolia_37944046_XS_roundedDer ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayLDA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adresse sind per­so­nen­be­zo­gene Daten im Sinne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Betrof­fene (also der eigent­li­che Email-Inhaber) expli­zit in die Über­mitt­lung an Dritte schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­lage vor­liegt. Bei­des ist im Falle einer sol­chen Panne sicher nicht der Fall.

Die Ver­wen­dung des offe­nen Email-Verteilers (also das Ein­tra­gen der Emp­fän­ger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Menge der betrof­fe­nen Email-Adressen sah das BayLDA von einem rei­nen Ver­weis auf die recht­li­che Unzu­läs­sig­keit ab. Statt­des­sen wurde ein Buß­geld ver­hängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Wer zahlt?

In die­sem kon­kre­ten Fall wurde das Buß­geld gegen die Mit­ar­bei­te­rin ver­hängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt.

Das BayLDA teilt jedoch mit, daß es in einem ähn­li­chen Fall in Kürze zu einem Buß­geld gegen ein ande­res Unter­neh­men kom­men wird. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das Thema sen­si­bi­li­siert wur­den, hat nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Verteiler geradezustehen.

Auf­klä­rung ist Pflicht

Um sol­che Vor­fälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­siko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regel­mä­ßig für die­ses Thema sen­si­bi­li­sie­ren. Gerne kön­nen Sie hier­für die­sen Blog­bei­trag einsetzen.

Was ist zu beachten?

Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adre­ßie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den glei­chen recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen aus­lö­sen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Hier fin­den Sie den gan­zen Bei­trag des BayLDA vom 28.06.2013.

Privates Outsourcing durch Mitarbeiter

Bereits in einer Kun­den­in­for­ma­tion aus 2012 haben wir auf das Thema inoff­zi­el­les Out­sour­cing durch Mit­ar­bei­ter auf­merk­sam gemacht. Nicht vor­han­dene Funk­tio­nen in der IT-Struktur wer­den durch gewiefte Mit­ar­bei­ter und externe Tools — oft­mals dann ohne Kennt­nis der IT-Verantwortlichen — ein­ge­führt und genutzt. Sicher­heits­lü­cke, dro­hende Buß­gel­der und mög­li­che Daten­pan­nen gleich inklusive.

2009 hat das ame­ri­ka­ni­sche Satire Maga­zin The Onion einen Video­clip pro­du­ziert, auf­ge­macht wie einen offi­zi­el­len Nach­rich­ten­bei­trag im US Fern­se­hen. Darin wird berich­tet, das nun nicht mehr nur Unter­neh­men Out­sour­cing betrei­ben, son­dern auch Mit­ar­bei­ter selbst. Um Arbeits­zeit zu spa­ren und mehr Zeit­res­sour­cen z.B. zum Kaf­fee trin­ken, Ebay-Auktionen ver­fol­gen oder ein­fach nur rela­xen, heu­ern ame­ri­ka­ni­sche Mit­ar­bei­ter (im Video noch Fakes) preis­werte externe Hilfs­kräfte an. Diese erle­di­gen dann die Auf­ga­ben des Ange­stell­ten, der seine freie Zeit nun deut­lich sinn­vol­ler nut­zen kann. Was 2009 als Satire begann, wurde mit einer Mel­dung am gest­ri­gen Tage Realität:

Eine Firma wandte sich an das Sicher­heits­un­ter­neh­men Ver­i­zon mit der Bitte, auf­fäl­lige Log­files zu über­prü­fen. Diese wür­den einen kon­ti­nu­ier­li­chen VPN Tun­nel nach China bele­gen. Die Ver­bin­dung wurde mit dem eTo­ken (vor­bild­lich) eines Soft­ware­ent­wick­lers auf­ge­baut, der wäh­rend der Log­zei­ten jedoch nicht zu Hause, son­dern an sei­nem Schreib­tisch im Büro saß. Wei­ter ergab die Ana­lyse, das die Ver­bin­dung in den letz­ten 6 Mona­ten fast kon­ti­nu­ier­lich auf­ge­baut war. Die Unter­su­chung des Arbeits­plat­zes brachte es dann ans Tages­licht: der Ent­wick­ler hatte sich für ein Fünf­tel sei­nes eige­nen Jah­res­ge­halts einen Dienst­leis­ter aus dem fer­nen China geleis­tet, der seine Pro­gram­mier­auf­ga­ben pflicht­be­wußt über­nahm. Das not­wen­dige eTo­ken schickte der fin­dige Mit­ar­bei­ter auf dem Post­weg ins Land der auf­ge­hen­den Sonne. Mitt­ler­weile arbei­tet der Pro­gram­mie­rer nicht mehr für das Unter­neh­men. Kurios jedoch: der ver­meint­lich von ihm gelie­ferte Programm-Code war stets so gut, so daß er mehr­fach beste Bewer­tun­gen dafür erhielt.

Wie fin­dig sind Ihre Mitarbeiter?

Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen

“Wir haben keine per­so­nen­be­zo­ge­nen Daten im Unter­neh­men, daher betrifft uns das Bun­des­da­ten­schutz­ge­setz gar nicht” — diese Aus­sage trifft man immer wie­der z.B. im Rah­men von Infor­ma­ti­ons­ver­an­stal­tun­gen oder Kun­den­ge­sprä­chen. Im ers­ten Moment ist man gerade bei rei­nen B2B-Unternehmen geneigt, zuzu­stim­men. Doch schnell regen sich Zwei­fel, denn nur wenige Unter­neh­men kom­men ohne Mit­ar­bei­ter aus.

§ 3  BDSG defi­niert den Begriff der per­so­nen­be­zo­ge­nen Daten:

“(1) Per­so­nen­be­zo­gene Daten sind Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nisse einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son (Betroffener).”

Damit wäre bereits fest­ge­stellt, das per­so­nen­be­zo­gene Daten im Unter­neh­men alleine schon durch die Beschäf­ti­gung von Mit­ar­bei­tern vor­lie­gen. Zieht man jetzt noch die Daten zu Kun­den, Lie­fe­ran­ten, Dienst­leis­tern und Inter­es­sen­ten hinzu, wird schnell klar: Es gibt eigent­lich immer per­so­nen­be­zo­gene Daten im Unternehmen.

Blei­ben wir jedoch bei den Mit­ar­bei­ter­da­ten unse­res Bei­spiels und in § 3 BDSG:

“(9) Beson­dere Arten per­so­nen­be­zo­ge­ner Daten sind Anga­ben über die ras­si­sche und eth­ni­sche Her­kunft, poli­ti­sche Mei­nun­gen, reli­giöse oder phi­lo­so­phi­sche Über­zeu­gun­gen, Gewerk­schafts­zu­ge­hö­rig­keit, Gesund­heit oder Sexualleben.”

Mit­ar­bei­ter­da­ten sind dem­nach nicht nur reine per­so­nen­be­zo­gene Daten, son­dern nach die­ser Defi­ni­tion sogar eine beson­dere Art per­so­nen­be­zo­ge­ner Daten (ent­hal­ten sie doch einige der og. Merkmale).

§ 3 BDSG defi­niert im wei­te­ren Ver­lauf den Begriff “Beschäf­tigte” detailliert:

“(11) Beschäf­tigte sind:

  1. Arbeit­neh­me­rin­nen und Arbeitnehmer,
  2. zu ihrer Berufs­bil­dung Beschäftigte,
  3. Teil­neh­me­rin­nen und Teil­neh­mer an Leis­tun­gen zur Teil­habe am Arbeits­le­ben sowie an Abklä­run­gen der beruf­li­chen Eig­nung oder Arbeits­er­pro­bung (Reha­bi­litan­din­nen und Rehabilitanden),
  4. in aner­kann­ten Werk­stät­ten für behin­derte Men­schen Beschäftigte,
  5. nach dem Jugend­frei­wil­li­gen­dienste­ge­setz Beschäftigte,
  6. Per­so­nen, die wegen ihrer wirt­schaft­li­chen Unselb­stän­dig­keit als arbeit­neh­mer­ähn­li­che Per­so­nen anzu­se­hen sind; zu die­sen gehö­ren auch die in Heim­ar­beit Beschäf­tig­ten und die ihnen Gleichgestellten,
  7. Bewer­be­rin­nen und Bewer­ber für ein Beschäf­ti­gungs­ver­hält­nis sowie Per­so­nen, deren Beschäf­ti­gungs­ver­hält­nis been­det ist,
  8. Beam­tin­nen, Beamte, Rich­te­rin­nen und Rich­ter des Bun­des, Sol­da­tin­nen und Sol­da­ten sowie Zivildienstleistende.”

Das Bun­des­da­ten­schutz­ge­setz spen­diert in sei­ner aktu­el­len Fas­sung den Beschäf­tig­ten sogar einen eige­nen Paragraphen:

“(1) Per­so­nen­be­zo­gene Daten eines Beschäf­tig­ten dür­fen für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn dies für die Ent­schei­dung über die Begrün­dung eines Beschäf­ti­gungs­ver­hält­nis­ses oder nach Begrün­dung des Beschäf­ti­gungs­ver­hält­nis­ses für des­sen Durch­füh­rung oder Been­di­gung erfor­der­lich ist. Zur Auf­de­ckung von Straf­ta­ten dür­fen per­so­nen­be­zo­gene Daten eines Beschäf­tig­ten nur dann erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn zu doku­men­tie­rende tat­säch­li­che Anhalts­punkte den Ver­dacht begrün­den, dass der Betrof­fene im Beschäf­ti­gungs­ver­hält­nis eine Straf­tat began­gen hat, die Erhe­bung, Ver­ar­bei­tung oder Nut­zung zur Auf­de­ckung erfor­der­lich ist und das schutz­wür­dige Inter­esse des Beschäf­tig­ten an dem Aus­schluss der Erhe­bung, Ver­ar­bei­tung oder Nut­zung nicht über­wiegt, ins­be­son­dere Art und Aus­maß im Hin­blick auf den Anlass nicht unver­hält­nis­mä­ßig sind.
(2) Absatz 1 ist auch anzu­wen­den, wenn per­so­nen­be­zo­gene Daten erho­ben, ver­ar­bei­tet oder genutzt wer­den, ohne dass sie auto­ma­ti­siert ver­ar­bei­tet oder in oder aus einer nicht auto­ma­ti­sier­ten Datei ver­ar­bei­tet, genutzt oder für die Ver­ar­bei­tung oder Nut­zung in einer sol­chen Datei erho­ben werden.
(3) Die Betei­li­gungs­rechte der Inter­es­sen­ver­tre­tun­gen der Beschäf­tig­ten blei­ben unberührt.”
Womit fest­steht:
  1. Beschäf­tigt ein Unter­neh­men Mit­ar­bei­ter, lie­gen per­so­nen­be­zo­gene Daten vor.
  2. Auf­grund der vor­lie­gen­den Daten eines Mit­ar­bei­ters han­delt es sich dabei sogar um beson­dere Arten per­so­nen­be­zo­ge­ner Daten, die einen erhöh­ten Schutz­sta­tus besitzen.
  3. Das Bun­des­da­ten­schutz­ge­setz legi­ti­miert das Erhe­ben, Ver­ar­bei­ten und Nut­zen der Mit­ar­bei­ter­da­ten zum Zwe­cke des Beschäftigungsverhältnisses.
  4. Das Bun­des­da­ten­schutz­ge­setz fin­det auf Unter­neh­men mit Mit­ar­bei­tern Anwendung.
  5. Es bleibt zu prü­fen, ob die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten zusätz­lich vorliegt.

 

Unsi­cher in Bezug auf die wei­tere Vor­ge­hens­weise? Dann spre­chen Sie uns ein­fach an. Wir hel­fen schnell, unbü­ro­kra­tisch und unkompliziert.

Lesen Sie hier die ande­ren Teile der Serie “Irr­tü­mer im Datenschutz”:

Auch eine Art von “Zielgruppe” — Kunden im Visier heimlicher Videoüberwachung bei ALDI Süd

VideoüberwachungDas Nach­rich­ten­ma­ga­zin DER SPIEGEL brachte den Stein ins Rol­len, wei­tere Bericht­er­stat­tun­gen in TV, Radio, Print und Web folg­ten. Nach Infor­ma­tio­nen, die dem Maga­zin vor­lie­gen, gerie­ten bevor­zugt Frauen in kur­zen Röcken oder mit tief Ein­blick gewäh­ren­den Tops ins Visier heim­li­cher Video­über­wa­chungs­maß­nah­men durch einige Fili­al­lei­ter in Frank­furt / Main, Die­burg und wei­te­ren hes­si­schen Stand­or­ten. Doch damit nicht genug. In “loh­nens­wer­ten” Fäl­len wur­den die ahnungs­lo­sen Kun­din­nen und Kun­den her­an­ge­zoomt, Video­se­quen­zen auf CD gebrannt und unter­ein­an­der getauscht.

ALDI Süd schreibt lt. Spie­gel in einer Stel­lung­nahme, dass

“das Fehl­ver­hal­ten eines ein­zel­nen Mit­ar­bei­ters nicht aus­ge­schlos­sen wer­den könne. Sollte ein miss­bräuch­li­cher Umgang den Vor­ge­setz­ten bekannt wer­den, wird ein sol­ches Vor­ge­hen umge­hend unter­sucht, unter­bun­den und zieht ent­spre­chende dis­zi­pli­na­ri­sche Kon­se­quen­zen nach sich.”

Trotz des Video­über­wa­chungs­skan­dals eines Wett­be­wer­bers im Jahr 2008 sol­len wei­ter­hin erneut Kas­sen­be­rei­che inkl. der Ein­ga­be­fel­der der EC-Terminals auf Auf­nah­men zu sehen sein. Mobile Minikamera-Anlagen auch in  Berei­chen ohne Kun­den­zu­tritt sowie feh­lende Hin­weis­schil­der run­den den sorg­lo­sen Umgang des Dis­coun­ters mit die­ser zu Recht per Gesetz restrik­tiv zu hand­ha­ben­den Maß­nahme ab.

Was sagt denn das Bun­des­da­ten­schutz­ge­setz (BDSG) dazu?

Das Bun­des­da­ten­schutz­ge­setz stellt hohe Anfor­de­run­gen an die Durch­füh­rung von Video­über­wa­chungs­maß­nah­men. Diese sind zwar nicht ver­bo­ten, jedoch ist es mit Beru­fung auf das eigene Haus­recht nicht getan. Für wei­ter­füh­rende Infor­ma­tio­nen emp­feh­len wir diese Beiträge

Pla­nen Sie die Ein­füh­rung von Video­über­wa­chung in Ihrem Unter­neh­men? Fra­gen Sie recht­zei­tig Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Dann spre­chen Sie uns an.

Schulungen / Seminare Datenschutz & Datensicherheit 2012

Datenpanne (c) Sascha KuhrauDie bes­ten und aus­ge­feil­tes­ten Daten­schutz­kon­zepte und Maß­nah­men im Bereich der IT-Sicherheit nüt­zen wenig, wenn Ihre Mit­ar­bei­ter für die The­men Daten­schutz und Daten­si­cher­heit nicht aus­rei­chend sen­si­bi­li­sert oder geschult sind. Nach wie vor ist der Mensch der größte Unsi­cher­heits­fak­tor in die­sen Berei­chen. Abhilfe schaf­fen hier unsere Schu­lun­gen und Semi­nare, auch im Hin­blick auf not­wen­dige Ver­pflich­tun­gen Ihrer Mit­ar­bei­ter auf das Datengeheimnis!

Unser Ziel ist es, Ihre Mit­ar­bei­ter daten­schutz­fit zu machen (und zu erhal­ten), ohne dabei durch all­zu­viel tro­ckene Rechts­ma­te­rie der Ver­an­stal­tung von vorn­her­ein den Gar­aus zu machen. Auf humor­volle Art und Weise gespickt mit Anek­do­ten aus dem All­tag eines Daten­schutz­be­auf­trag­ten für zahl­rei­che Unter­neh­men in Deutsch­land füh­ren wir Ihre Mit­ar­bei­ter an das Thema heran, beleuch­ten recht­li­che Aspekte, aktu­elle Ent­wick­lun­gen und neh­men bei fir­men­in­di­vi­du­el­len Ver­an­stal­tun­gen gerne Bezug auf interne Gepflo­gen­hei­ten und Ver­fah­rens­wei­sen. Die stets posi­tive Reso­nanz und zahl­rei­chen Fra­gen der Teil­neh­mer im Lauf der Ver­an­stal­tun­gen und danach zei­gen das geweckte Inter­esse am Datenschutz.

Suchen Sie aus unse­rem viel­fäl­ti­gen Ange­bot die pas­sende Ver­an­stal­tung her­aus und buchen Sie gleich online. Wün­schen Sie indi­vi­du­elle Schu­lun­gen und Semi­nare für Ihre Mit­ar­bei­ter? Kein Pro­blem, spre­chen Sie uns an. Unsere Leis­tun­gen erbrin­gen wir selbst­ver­ständ­lich bundesweit.

Direkt zur Online Buchung und Über­sicht der freien Plätze!

DatumVer­an­stal­tungOrtDauerPreis je Teilnehmer
23.02.2012 (zuvor 22.02.)Schu­lung Daten­schutz & DatensicherheitNürn­berg3 h50 Euro inkl. 19% MwSt. (7,98) / Net­to­preis 42,02 EUR
28.03.2012Schu­lung Daten­schutz & DatensicherheitNürn­berg3 h50 Euro inkl. 19% MwSt. (7,98) / Net­to­preis 42,02 EUR
25.04.2012Schu­lung Daten­schutz & DatensicherheitNürn­berg3 h50 Euro inkl. 19% MwSt. (7,98) / Net­to­preis 42,02 EUR
23.05.2012Schu­lung Daten­schutz & DatensicherheitNürn­berg3 h50 Euro inkl. 19% MwSt. (7,98) / Net­to­preis 42,02 EUR
27.06.2012Schu­lung Daten­schutz & DatensicherheitNürn­berg3 h50 Euro inkl. 19% MwSt. (7,98) / Net­to­preis 42,02 EUR
18.07.2012Schu­lung Daten­schutz & DatensicherheitNürn­berg3 h50 Euro inkl. 19% MwSt. (7,98) / Net­to­preis 42,02 EUR
22.08.2012Schu­lung Daten­schutz & DatensicherheitNürn­berg3 h50 Euro inkl. 19% MwSt. (7,98) / Net­to­preis 42,02 EUR
26.09.2012Schu­lung Daten­schutz & DatensicherheitNürn­berg3 h50 Euro inkl. 19% MwSt. (7,98) / Net­to­preis 42,02 EUR
24.10.2012Schu­lung Daten­schutz & DatensicherheitNürn­berg3 h50 Euro inkl. 19% MwSt. (7,98) / Net­to­preis 42,02 EUR
28.11.2012Schu­lung Daten­schutz & DatensicherheitNürn­berg3 h50 Euro inkl. 19% MwSt. (7,98) / Net­to­preis 42,02 EUR

 

Direkt zur Online Buchung und Über­sicht der freien Plätze!

Flyer Schulungen und Seminare Datenschutz und Datensicherheit 2012 a.s.k. Datenschutz
Flyer Schu­lun­gen und Semi­nare Daten­schutz und Daten­si­cher­heit 2012 a.s.k. Daten­schutz
ask Daten­schutz Semi­nar Schu­lung Daten­schutz Daten­si­cher­heit Social Media V2012_1_2.pdf
Ver­sion: 2012 V1.2
293.8 KiB
552 Down­loads
Details…