Tag Archives: Arbeitnehmerdatenschutz

Knackpunkt Geburtstagsliste

Von | 11. Dezember 2014

Wer kennt das nicht? Im Unter­neh­men hängt direkt über der Kaf­fee­ma­schine eine Geburts­ta­g­liste mit den Daten aller Mit­ar­bei­ter. Oder in Out­look ist der Kalen­der “Geburts­tage der Mit­ar­bei­ter” öffent­lich für alle ver­füg­bar. Beide Ein­rich­tun­gen selbst­ver­ständ­lich top aktu­ell und zen­tral gepflegt durch die Per­so­nal­ab­tei­lung. Ein­ge­stellt, ein­ge­tra­gen, aus­ge­han­gen :-) Nett gemeint, doch nicht ganz ohne.

Der thü­rin­gi­sche Lan­des­da­ten­schutz­be­auf­tragte hält diese Vor­ge­hens­weise ohne gül­tige Ein­wil­li­gung für nicht rechts­kon­form. Dies äußert er in sei­nem Jah­res­be­richt (Zeit­raum 12/11–12/13) für den nicht-öffentlichen Bereich (also Unter­neh­men und Ver­eine) auf Seite 81.

Geburts­tags­da­ten von Mit­ar­bei­tern sind Arbeit­neh­mer­da­ten. Daher ist sei­ner Mei­nung nach § 32 BDSG Daten­er­he­bung, –ver­ar­bei­tung und –nut­zung für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses anzu­wen­den. Die darin genann­ten Nut­zungs­zwe­cke Begrün­dung, Durch­füh­rung und Been­di­gung des Arbeits­ver­hält­nis­ses geben eine Legi­ti­ma­tion der Daten­nut­zung für eine öffent­li­che Geburts­tags­liste nicht her. Von daher ist nach sei­nem Dafür­hal­ten die aus­drück­li­che Ein­wil­li­gung jedes ein­zel­nen Mit­ar­bei­ters erfor­der­lich. Dabei ist es uner­heb­lich, ob die Angabe mit oder ohne Geburts­jahr erfolgt.

Für die kor­rekte For­mu­lie­rung einer Ein­wil­li­gung fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

Von | 5. August 2014

Datenpanne (c) Sascha KuhrauSchon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­tige Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Verteiler-Liste genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der seine Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­name und Email-Adresse. Übli­cher­weise macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hatte weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, nette Geste. Jedoch lei­der stan­den vor dem eigent­li­chen Text (halbe DIN A4 Seite) über neun (9) Sei­ten Email-Adressen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wurde an die zustän­dige baye­ri­sche Lan­des­da­ten­schutz­be­hörde weitergeleitet.

Fotolia_37944046_XS_roundedDer ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayLDA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adresse sind per­so­nen­be­zo­gene Daten im Sinne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) Weiterlesen

Mal sehen, was der Kollege so verdient — Datenpanne bei der Telekom

Von | 29. August 2013

Ver­geb­li­che Mühe

Seit Jah­ren bemüht sich die Deut­sche Tele­kom um Ver­bes­se­run­gen im Umgang mit per­so­nen­be­zo­ge­nen Daten, nicht nur auf­grund zahl­rei­cher Skan­dale. Wie zahl­rei­che Medien wie n-tv nun berich­ten, hat es beim Beschäf­ti­gen­da­ten­schutz nicht ganz gereicht.

120.000 Mit­ar­bei­ter betroffen

Eine interne Daten­bank mit Anga­ben zu fast allen Mit­ar­bei­tern des Unter­neh­mens samt Name, Anschrift und Gehalt stand einem grö­ße­ren Mit­ar­bei­ter­kreis zur Ein­sicht zur Ver­fü­gung, als eigent­lich zuläs­sig gewe­sen wäre. Die ursprüng­lich vor­ge­se­hene Anony­mi­sie­rung war nicht erfolgt.

Seit 2002 soll die Daten­bank in die­ser Form ver­füg­bar gewe­sen sein. Mitt­ler­weile wurde sie vom Netz genom­men. Ein exter­ner Wirt­schafts­prü­fer soll die Ursa­chen und Fol­gen nun ermit­teln. Der Betriebs­rat läßt die Unter­su­chung durch einen eige­nen Anwalt begleiten.

Nach Unter­neh­mens­an­ga­ben hat man von einem Miß­brauch der Daten bis­her keine Kenntnis.

 

 

Privates Outsourcing durch Mitarbeiter

Von | 18. Januar 2013

Bereits in einer Kun­den­in­for­ma­tion aus 2012 haben wir auf das Thema inoff­zi­el­les Out­sour­cing durch Mit­ar­bei­ter auf­merk­sam gemacht. Nicht vor­han­dene Funk­tio­nen in der IT-Struktur wer­den durch gewiefte Mit­ar­bei­ter und externe Tools — oft­mals dann ohne Kennt­nis der IT-Verantwortlichen — ein­ge­führt und genutzt. Sicher­heits­lü­cke, dro­hende Buß­gel­der und mög­li­che Daten­pan­nen gleich inklusive.

2009 hat das ame­ri­ka­ni­sche Satire Maga­zin The Onion einen Video­clip pro­du­ziert, auf­ge­macht wie einen offi­zi­el­len Nach­rich­ten­bei­trag im US Fern­se­hen. Darin wird berich­tet, das nun nicht mehr nur Unter­neh­men Out­sour­cing betrei­ben, son­dern auch Mit­ar­bei­ter selbst. Um Arbeits­zeit zu spa­ren und mehr Zeit­res­sour­cen z.B. zum Kaf­fee trin­ken, Ebay-Auktionen ver­fol­gen oder ein­fach nur rela­xen, heu­ern ame­ri­ka­ni­sche Mit­ar­bei­ter (im Video noch Fakes) preis­werte externe Hilfs­kräfte an. Diese erle­di­gen dann die Auf­ga­ben des Ange­stell­ten, der seine freie Zeit nun deut­lich sinn­vol­ler nut­zen kann. Was 2009 als Satire begann, wurde mit einer Mel­dung am gest­ri­gen Tage Realität:

Eine Firma wandte sich an das Sicher­heits­un­ter­neh­men Ver­i­zon mit der Bitte, auf­fäl­lige Log­files zu über­prü­fen. Diese wür­den einen kon­ti­nu­ier­li­chen VPN Tun­nel nach China bele­gen. Die Ver­bin­dung wurde mit dem eTo­ken (vor­bild­lich) eines Soft­ware­ent­wick­lers auf­ge­baut, der wäh­rend der Log­zei­ten jedoch nicht zu Hause, son­dern an sei­nem Schreib­tisch im Büro saß. Wei­ter ergab die Ana­lyse, das die Ver­bin­dung in den letz­ten 6 … Weiterlesen

Angeblich heimliche Mitarbeiterüberwachung bei ALDI Süd

Von | 7. Januar 2013

VideokameraLaut Spie­gel, Welt und N24 soll es zu einer heim­li­chen Mit­ar­bei­ter­über­wa­chung bei ALDI Süd gekom­men sein. Gleich­lau­tend wird von einem Detek­tiv berich­tet, der unter Andro­hung des Ver­lusts wei­te­rer Auf­träge gezwun­gen wurde, Minia­tur­ka­me­ras z.B. über den Mit­ar­bei­ter­schrän­ken anzu­brin­gen. Wei­ter­hin sollte er der ALDI Füh­rungs­kraft alle “Auf­fäl­lig­kei­ten” mel­den wie z.B. lang­sa­mes Arbeits­tempo, Bezie­hun­gen unter den Mit­ar­bei­tern oder auch pri­vate Details wie finan­zi­elle Verhältnisse.

Das Unter­neh­men weist der­weil alle Vor­würfe zurück.

Wie hier auf dem Blog mehr­fach berich­tet, ist Video­über­wa­chung unter Daten­schutz­ge­sichts­punk­ten kein “Teu­fels­werk”. Es gilt, bestimmte Richt­li­nien und Ver­fah­rens­wei­sen ein­zu­hal­ten. Mehr erfah­ren Sie in unse­rem Bei­trag Video­über­wa­chung — umsich­tig ein­set­zen, Kon­flikte vermeiden

Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen

Von | 3. August 2012

“Wir haben keine per­so­nen­be­zo­ge­nen Daten im Unter­neh­men, daher betrifft uns das Bun­des­da­ten­schutz­ge­setz gar nicht” — diese Aus­sage trifft man immer wie­der z.B. im Rah­men von Infor­ma­ti­ons­ver­an­stal­tun­gen oder Kun­den­ge­sprä­chen. Im ers­ten Moment ist man gerade bei rei­nen B2B-Unternehmen geneigt, zuzu­stim­men. Doch schnell regen sich Zwei­fel, denn nur wenige Unter­neh­men kom­men ohne Mit­ar­bei­ter aus.

§ 3  BDSG defi­niert den Begriff der per­so­nen­be­zo­ge­nen Daten:

“(1) Per­so­nen­be­zo­gene Daten sind Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nisse einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son (Betroffener).”

Damit wäre bereits fest­ge­stellt, das per­so­nen­be­zo­gene Daten im Unter­neh­men alleine schon durch die Beschäf­ti­gung von Mit­ar­bei­tern vor­lie­gen. Zieht man jetzt noch die Daten zu Kun­den, Lie­fe­ran­ten, Dienst­leis­tern und Inter­es­sen­ten hinzu, wird schnell klar: Es gibt eigent­lich immer per­so­nen­be­zo­gene Daten im Unternehmen.

Blei­ben wir jedoch bei den Mit­ar­bei­ter­da­ten unse­res Bei­spiels und in § 3 BDSG:

“(9) Beson­dere Arten per­so­nen­be­zo­ge­ner Daten sind Anga­ben über die ras­si­sche und eth­ni­sche Her­kunft, poli­ti­sche Mei­nun­gen, reli­giöse oder phi­lo­so­phi­sche Über­zeu­gun­gen, Gewerk­schafts­zu­ge­hö­rig­keit, Gesund­heit oder Sexualleben.”

Mit­ar­bei­ter­da­ten sind dem­nach nicht nur reine per­so­nen­be­zo­gene Daten, son­dern nach die­ser Defi­ni­tion sogar eine beson­dere Art per­so­nen­be­zo­ge­ner Daten (ent­hal­ten sie doch einige der og. Merkmale).

§ 3 BDSG defi­niert im wei­te­ren Ver­lauf den Begriff “Beschäf­tigte” detailliert:

“(11) Beschäf­tigte sind:

  1. Arbeit­neh­me­rin­nen und Arbeitnehmer,
  2. zu ihrer
Weiterlesen

Auch eine Art von “Zielgruppe” — Kunden im Visier heimlicher Videoüberwachung bei ALDI Süd

Von | 2. Mai 2012

VideoüberwachungDas Nach­rich­ten­ma­ga­zin DER SPIEGEL brachte den Stein ins Rol­len, wei­tere Bericht­er­stat­tun­gen in TV, Radio, Print und Web folg­ten. Nach Infor­ma­tio­nen, die dem Maga­zin vor­lie­gen, gerie­ten bevor­zugt Frauen in kur­zen Röcken oder mit tief Ein­blick gewäh­ren­den Tops ins Visier heim­li­cher Video­über­wa­chungs­maß­nah­men durch einige Fili­al­lei­ter in Frank­furt / Main, Die­burg und wei­te­ren hes­si­schen Stand­or­ten. Doch damit nicht genug. In “loh­nens­wer­ten” Fäl­len wur­den die ahnungs­lo­sen Kun­din­nen und Kun­den her­an­ge­zoomt, Video­se­quen­zen auf CD gebrannt und unter­ein­an­der getauscht.

ALDI Süd schreibt lt. Spie­gel in einer Stel­lung­nahme, dass

“das Fehl­ver­hal­ten eines ein­zel­nen Mit­ar­bei­ters nicht aus­ge­schlos­sen wer­den könne. Sollte ein miss­bräuch­li­cher Umgang den Vor­ge­setz­ten bekannt wer­den, wird ein sol­ches Vor­ge­hen umge­hend unter­sucht, unter­bun­den und zieht ent­spre­chende dis­zi­pli­na­ri­sche Kon­se­quen­zen nach sich.”

Trotz des Video­über­wa­chungs­skan­dals eines Wett­be­wer­bers im Jahr 2008 sol­len wei­ter­hin erneut Kas­sen­be­rei­che inkl. der Ein­ga­be­fel­der der EC-Terminals auf Auf­nah­men zu sehen sein. Mobile Minikamera-Anlagen auch in  Berei­chen ohne Kun­den­zu­tritt sowie feh­lende Hin­weis­schil­der run­den den sorg­lo­sen Umgang des Dis­coun­ters mit die­ser zu Recht per Gesetz restrik­tiv zu hand­ha­ben­den Maß­nahme ab.

Was sagt denn das Bun­des­da­ten­schutz­ge­setz (BDSG) dazu?

Das Bun­des­da­ten­schutz­ge­setz stellt hohe Anfor­de­run­gen an die Durch­füh­rung von Video­über­wa­chungs­maß­nah­men. Diese sind zwar nicht ver­bo­ten, jedoch ist es mit Beru­fung auf das eigene Haus­recht nicht getan. Für wei­ter­füh­rende … Weiterlesen

BYOD (Bring Your Own Device) — zusätzliche Datenschutz-Risiken für Unternehmen

Von | 5. April 2012

BYOD ist in aller Munde, zu Recht. Hin­ter dem Kür­zel ver­ber­gen sich zahl­rei­che Risi­ken und Unan­nehm­lich­kei­ten für Admi­nis­tra­to­ren und Unter­neh­mer. Doch “Bring Your Own Device” ist All­tag! Immer mehr Arbeit­neh­mer nut­zen ihre eigent­lich pri­va­ten Mobil­te­le­fone, Smart­pho­nes und Note­books beruf­lich für ihren Arbeitgeber.

IT-Administratoren kämp­fen dadurch mit Wild­wuchs in der IT-Landschaft und fürch­ten die hier­durch ent­ste­hen­den Sicher­heits­lü­cken — zu Recht! Geschäfts­füh­rer und Unter­neh­mer ver­schlies­sen vor der all­täg­li­chen Situa­tion oft­mals die Augen und ris­kie­ren dabei so einiges.

Bei still­schwei­gen­der Dul­dung ver­liert das Unter­neh­men not­wen­dige Ein­fluss– und Kon­troll­mög­lich­kei­ten. Mög­li­che Fol­gen: Daten­schutz­ver­stösse, Sicher­heits­lecks und die dar­aus resul­tie­ren­den Image-Schäden durch nega­tive Presseberichte.

Was viele nicht wis­sen, die recht­li­chen Aspekte die­ser The­ma­tik sind umfang­reich: Urhe­ber­rechts­ver­let­zun­gen, Lizenz­pro­bleme, Haf­tungs­fra­gen, Ver­stöße gegen han­dels– und steu­er­recht­li­che Vor­schrif­ten, IT-Sicherheit und Daten­schutz. Wol­len Sie als Unter­neh­mer dafür gerade ste­hen, wenn Ihr Mit­ar­bei­ter per­so­nen­be­zo­gene Daten Ihres Unter­neh­mens auf sei­nem pri­va­ten Mobil­ge­rät spei­chert und diese dann mit einem der zahl­rei­chen Cloud-Dienste syn­chro­ni­siert? Mit gro­ßer Wahr­schein­lich­keit liegt hier­für keine vor­ge­schrie­bene Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung vor -> Buß­gel­d­ri­siko.

Unser Tipp:

 

Bild­nach­weis: aboutpixel.de /Weiterlesen

Schulungen / Seminare Datenschutz & Datensicherheit 2012

Von | 31. Januar 2012

Datenpanne (c) Sascha KuhrauDie bes­ten und aus­ge­feil­tes­ten Daten­schutz­kon­zepte und Maß­nah­men im Bereich der IT-Sicherheit nüt­zen wenig, wenn Ihre Mit­ar­bei­ter für die The­men Daten­schutz und Daten­si­cher­heit nicht aus­rei­chend sen­si­bi­li­sert oder geschult sind. Nach wie vor ist der Mensch der größte Unsi­cher­heits­fak­tor in die­sen Berei­chen. Abhilfe schaf­fen hier unsere Schu­lun­gen und Semi­nare, auch im Hin­blick auf not­wen­dige Ver­pflich­tun­gen Ihrer Mit­ar­bei­ter auf das Datengeheimnis!

Unser Ziel ist es, Ihre Mit­ar­bei­ter daten­schutz­fit zu machen (und zu erhal­ten), ohne dabei durch all­zu­viel tro­ckene Rechts­ma­te­rie der Ver­an­stal­tung von vorn­her­ein den Gar­aus zu machen. Auf humor­volle Art und Weise gespickt mit Anek­do­ten aus dem All­tag eines Daten­schutz­be­auf­trag­ten für zahl­rei­che Unter­neh­men in Deutsch­land füh­ren wir Ihre Mit­ar­bei­ter an das Thema heran, beleuch­ten recht­li­che Aspekte, aktu­elle Ent­wick­lun­gen und neh­men bei fir­men­in­di­vi­du­el­len Ver­an­stal­tun­gen gerne Bezug auf interne Gepflo­gen­hei­ten und Ver­fah­rens­wei­sen. Die stets posi­tive Reso­nanz und zahl­rei­chen Fra­gen der Teil­neh­mer im Lauf der Ver­an­stal­tun­gen und danach zei­gen das geweckte Inter­esse am Datenschutz.

Suchen Sie aus unse­rem viel­fäl­ti­gen Ange­bot die pas­sende Ver­an­stal­tung her­aus und buchen Sie gleich online. Wün­schen Sie indi­vi­du­elle Schu­lun­gen und Semi­nare für Ihre Mit­ar­bei­ter? Kein Pro­blem, spre­chen Sie uns an. Unsere Leis­tun­gen erbrin­gen wir selbst­ver­ständ­lich bundesweit.

Direkt zur Online Buchung und Über­sicht der freien Plätze!

DatumVer­an­stal­tungOrtDauerPreis
Weiterlesen

Datenschutz am Arbeitsplatz: Clean Desk Prinzip / Clean Desk Policy

Von | 27. Oktober 2011


“Ein unauf­ge­räum­ter Schreib­tisch ist Daten­schutz pur — nichts mehr zu fin­den”
, so ein Teil­neh­mer in einer der jüngs­ten Datenschutz-Schulungen. Nach einem ers­ten Schmun­zeln in der Runde wurde die Aus­sage im Kreis der Teil­neh­mer dis­ku­tiert. Schnell kris­tal­li­sierte sich her­aus, dass das sog. Clean Desk Prin­zip — also das genaue Gegen­teil die­ser Aus­sage — einen hilf­rei­chen Bei­trag zur Daten­si­cher­heit und Ver­trau­lich­keit leis­tet. Per­so­nen­be­zo­gene Daten und Fir­men­ge­heim­nisse sind geschützt und gelan­gen nicht in die Hände Unbe­fug­ter. Die zwei Grund­re­geln des Clean Desk Prinzips:

  1. Auf­räu­men: So lapi­dar es klingt, aber die ehr­li­che Ant­wort auf die ein­fa­che Frage “Muss das hier rum­lie­gen?” in Ver­bin­dung mit dem anschlie­ßen­den Weg­räu­men ist bereits der erste große Schritt
  2. Abschlie­ßen: Bei län­ge­rer Abwe­sen­heit nicht nur Auf­räu­men, son­dern die ver­wahr­ten Gegen­stände wie Unter­la­gen, USB-Sticks, Daten­trä­ger etc. auch im Schrank oder Roll­con­tai­ner ein­schlie­ßen. Achja, Schlüs­sel nicht ste­cken las­sen, sonst kann man sich die Mühe gänz­lich sparen
Bei die­sen Hand­grif­fen geht es nicht um das Befrie­di­gen der typisch deut­schen Ord­nungs­na­tur um ihrer Selbst wil­len. Mit ganz ein­fa­chen Mit­teln ist der Ver­lust von per­so­nen­be­zo­ge­nen Daten und Fir­men­in­ter­nas am eige­nen Arbeits­platz aus­ge­schlos­sen. Zumin­dest, wenn man diese nicht selbst oder mut­wil­lig entwendet.
In ame­ri­ka­ni­schen Unter­neh­men fin­det man die sog. clean desk policy in … Weiterlesen