Arbeitnehmerdatenschutz

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

Datenpanne (c) Sascha KuhrauSchon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­tige Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Verteiler-Liste genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der seine Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­name und Email-Adresse. Übli­cher­weise macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hatte weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, nette Geste. Jedoch lei­der stan­den vor dem eigent­li­chen Text (halbe DIN A4 Seite) über neun (9) Sei­ten Email-Adressen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wurde an die zustän­dige baye­ri­sche Lan­des­da­ten­schutz­be­hörde weitergeleitet.

Fotolia_37944046_XS_roundedDer ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayLDA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adresse sind per­so­nen­be­zo­gene Daten im Sinne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Betrof­fene (also der eigent­li­che Email-Inhaber) expli­zit in die Über­mitt­lung an Dritte schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­lage vor­liegt. Bei­des ist im Falle einer sol­chen Panne sicher nicht der Fall.

Die Ver­wen­dung des offe­nen Email-Verteilers (also das Ein­tra­gen der Emp­fän­ger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Menge der betrof­fe­nen Email-Adressen sah das BayLDA von einem rei­nen Ver­weis auf die recht­li­che Unzu­läs­sig­keit ab. Statt­des­sen wurde ein Buß­geld ver­hängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Wer zahlt?

In die­sem kon­kre­ten Fall wurde das Buß­geld gegen die Mit­ar­bei­te­rin ver­hängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt.

Das BayLDA teilt jedoch mit, daß es in einem ähn­li­chen Fall in Kürze zu einem Buß­geld gegen ein ande­res Unter­neh­men kom­men wird. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das Thema sen­si­bi­li­siert wur­den, hat nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Verteiler geradezustehen.

Auf­klä­rung ist Pflicht

Um sol­che Vor­fälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­siko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regel­mä­ßig für die­ses Thema sen­si­bi­li­sie­ren. Gerne kön­nen Sie hier­für die­sen Blog­bei­trag einsetzen.

Was ist zu beachten?

Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adre­ßie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den glei­chen recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen aus­lö­sen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Hier fin­den Sie den gan­zen Bei­trag des BayLDA vom 28.06.2013.

Weiterlesen »

Mal sehen, was der Kollege so verdient — Datenpanne bei der Telekom

Ver­geb­li­che Mühe

Seit Jah­ren bemüht sich die Deut­sche Tele­kom um Ver­bes­se­run­gen im Umgang mit per­so­nen­be­zo­ge­nen Daten, nicht nur auf­grund zahl­rei­cher Skan­dale. Wie zahl­rei­che Medien wie n-tv nun berich­ten, hat es beim Beschäf­ti­gen­da­ten­schutz nicht ganz gereicht.

120.000 Mit­ar­bei­ter betroffen

Eine interne Daten­bank mit Anga­ben zu fast allen Mit­ar­bei­tern des Unter­neh­mens samt Name, Anschrift und Gehalt stand einem grö­ße­ren Mit­ar­bei­ter­kreis zur Ein­sicht zur Ver­fü­gung, als eigent­lich zuläs­sig gewe­sen wäre. Die ursprüng­lich vor­ge­se­hene Anony­mi­sie­rung war nicht erfolgt.

Seit 2002 soll die Daten­bank in die­ser Form ver­füg­bar gewe­sen sein. Mitt­ler­weile wurde sie vom Netz genom­men. Ein exter­ner Wirt­schafts­prü­fer soll die Ursa­chen und Fol­gen nun ermit­teln. Der Betriebs­rat läßt die Unter­su­chung durch einen eige­nen Anwalt begleiten.

Nach Unter­neh­mens­an­ga­ben hat man von einem Miß­brauch der Daten bis­her keine Kenntnis.

 

 

Weiterlesen »

Privates Outsourcing durch Mitarbeiter

Bereits in einer Kun­den­in­for­ma­tion aus 2012 haben wir auf das Thema inoff­zi­el­les Out­sour­cing durch Mit­ar­bei­ter auf­merk­sam gemacht. Nicht vor­han­dene Funk­tio­nen in der IT-Struktur wer­den durch gewiefte Mit­ar­bei­ter und externe Tools — oft­mals dann ohne Kennt­nis der IT-Verantwortlichen — ein­ge­führt und genutzt. Sicher­heits­lü­cke, dro­hende Buß­gel­der und mög­li­che Daten­pan­nen gleich inklusive.

2009 hat das ame­ri­ka­ni­sche Satire Maga­zin The Onion einen Video­clip pro­du­ziert, auf­ge­macht wie einen offi­zi­el­len Nach­rich­ten­bei­trag im US Fern­se­hen. Darin wird berich­tet, das nun nicht mehr nur Unter­neh­men Out­sour­cing betrei­ben, son­dern auch Mit­ar­bei­ter selbst. Um Arbeits­zeit zu spa­ren und mehr Zeit­res­sour­cen z.B. zum Kaf­fee trin­ken, Ebay-Auktionen ver­fol­gen oder ein­fach nur rela­xen, heu­ern ame­ri­ka­ni­sche Mit­ar­bei­ter (im Video noch Fakes) preis­werte externe Hilfs­kräfte an. Diese erle­di­gen dann die Auf­ga­ben des Ange­stell­ten, der seine freie Zeit nun deut­lich sinn­vol­ler nut­zen kann. Was 2009 als Satire begann, wurde mit einer Mel­dung am gest­ri­gen Tage Realität:

Eine Firma wandte sich an das Sicher­heits­un­ter­neh­men Ver­i­zon mit der Bitte, auf­fäl­lige Log­files zu über­prü­fen. Diese wür­den einen kon­ti­nu­ier­li­chen VPN Tun­nel nach China bele­gen. Die Ver­bin­dung wurde mit dem eTo­ken (vor­bild­lich) eines Soft­ware­ent­wick­lers auf­ge­baut, der wäh­rend der Log­zei­ten jedoch nicht zu Hause, son­dern an sei­nem Schreib­tisch im Büro saß. Wei­ter ergab die Ana­lyse, das die Ver­bin­dung in den letz­ten 6 Mona­ten fast kon­ti­nu­ier­lich auf­ge­baut war. Die Unter­su­chung des Arbeits­plat­zes brachte es dann ans Tages­licht: der Ent­wick­ler hatte sich für ein Fünf­tel sei­nes eige­nen Jah­res­ge­halts einen Dienst­leis­ter aus dem fer­nen China geleis­tet, der seine Pro­gram­mier­auf­ga­ben pflicht­be­wußt über­nahm. Das not­wen­dige eTo­ken schickte der fin­dige Mit­ar­bei­ter auf dem Post­weg ins Land der auf­ge­hen­den Sonne. Mitt­ler­weile arbei­tet der Pro­gram­mie­rer nicht mehr für das Unter­neh­men. Kurios jedoch: der ver­meint­lich von ihm gelie­ferte Programm-Code war stets so gut, so daß er mehr­fach beste Bewer­tun­gen dafür erhielt.

Wie fin­dig sind Ihre Mitarbeiter?

Weiterlesen »

Angeblich heimliche Mitarbeiterüberwachung bei ALDI Süd

VideokameraLaut Spie­gel, Welt und N24 soll es zu einer heim­li­chen Mit­ar­bei­ter­über­wa­chung bei ALDI Süd gekom­men sein. Gleich­lau­tend wird von einem Detek­tiv berich­tet, der unter Andro­hung des Ver­lusts wei­te­rer Auf­träge gezwun­gen wurde, Minia­tur­ka­me­ras z.B. über den Mit­ar­bei­ter­schrän­ken anzu­brin­gen. Wei­ter­hin sollte er der ALDI Füh­rungs­kraft alle “Auf­fäl­lig­kei­ten” mel­den wie z.B. lang­sa­mes Arbeits­tempo, Bezie­hun­gen unter den Mit­ar­bei­tern oder auch pri­vate Details wie finan­zi­elle Verhältnisse.

Das Unter­neh­men weist der­weil alle Vor­würfe zurück.

Wie hier auf dem Blog mehr­fach berich­tet, ist Video­über­wa­chung unter Daten­schutz­ge­sichts­punk­ten kein “Teu­fels­werk”. Es gilt, bestimmte Richt­li­nien und Ver­fah­rens­wei­sen ein­zu­hal­ten. Mehr erfah­ren Sie in unse­rem Bei­trag Video­über­wa­chung — umsich­tig ein­set­zen, Kon­flikte vermeiden

Weiterlesen »

Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen

aboutpixel.de / Sicher ist Sicher © Ronald Leine

“Wir haben keine per­so­nen­be­zo­ge­nen Daten im Unter­neh­men, daher betrifft uns das Bun­des­da­ten­schutz­ge­setz gar nicht” — diese Aus­sage trifft man immer wie­der z.B. im Rah­men von Infor­ma­ti­ons­ver­an­stal­tun­gen oder Kun­den­ge­sprä­chen. Im ers­ten Moment ist man gerade bei rei­nen B2B-Unternehmen geneigt, zuzu­stim­men. Doch schnell regen sich Zwei­fel, denn nur wenige Unter­neh­men kom­men ohne Mit­ar­bei­ter aus.

§ 3  BDSG defi­niert den Begriff der per­so­nen­be­zo­ge­nen Daten:

“(1) Per­so­nen­be­zo­gene Daten sind Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nisse einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son (Betroffener).”

Damit wäre bereits fest­ge­stellt, das per­so­nen­be­zo­gene Daten im Unter­neh­men alleine schon durch die Beschäf­ti­gung von Mit­ar­bei­tern vor­lie­gen. Zieht man jetzt noch die Daten zu Kun­den, Lie­fe­ran­ten, Dienst­leis­tern und Inter­es­sen­ten hinzu, wird schnell klar: Es gibt eigent­lich immer per­so­nen­be­zo­gene Daten im Unternehmen.

Blei­ben wir jedoch bei den Mit­ar­bei­ter­da­ten unse­res Bei­spiels und in § 3 BDSG:

“(9) Beson­dere Arten per­so­nen­be­zo­ge­ner Daten sind Anga­ben über die ras­si­sche und eth­ni­sche Her­kunft, poli­ti­sche Mei­nun­gen, reli­giöse oder phi­lo­so­phi­sche Über­zeu­gun­gen, Gewerk­schafts­zu­ge­hö­rig­keit, Gesund­heit oder Sexualleben.”

Mit­ar­bei­ter­da­ten sind dem­nach nicht nur reine per­so­nen­be­zo­gene Daten, son­dern nach die­ser Defi­ni­tion sogar eine beson­dere Art per­so­nen­be­zo­ge­ner Daten (ent­hal­ten sie doch einige der og. Merkmale).

§ 3 BDSG defi­niert im wei­te­ren Ver­lauf den Begriff “Beschäf­tigte” detailliert:

“(11) Beschäf­tigte sind:

  1. Arbeit­neh­me­rin­nen und Arbeitnehmer,
  2. zu ihrer Berufs­bil­dung Beschäftigte,
  3. Teil­neh­me­rin­nen und Teil­neh­mer an Leis­tun­gen zur Teil­habe am Arbeits­le­ben sowie an Abklä­run­gen der beruf­li­chen Eig­nung oder Arbeits­er­pro­bung (Reha­bi­litan­din­nen und Rehabilitanden),
  4. in aner­kann­ten Werk­stät­ten für behin­derte Men­schen Beschäftigte,
  5. nach dem Jugend­frei­wil­li­gen­dienste­ge­setz Beschäftigte,
  6. Per­so­nen, die wegen ihrer wirt­schaft­li­chen Unselb­stän­dig­keit als arbeit­neh­mer­ähn­li­che Per­so­nen anzu­se­hen sind; zu die­sen gehö­ren auch die in Heim­ar­beit Beschäf­tig­ten und die ihnen Gleichgestellten,
  7. Bewer­be­rin­nen und Bewer­ber für ein Beschäf­ti­gungs­ver­hält­nis sowie Per­so­nen, deren Beschäf­ti­gungs­ver­hält­nis been­det ist,
  8. Beam­tin­nen, Beamte, Rich­te­rin­nen und Rich­ter des Bun­des, Sol­da­tin­nen und Sol­da­ten sowie Zivildienstleistende.”

Das Bun­des­da­ten­schutz­ge­setz spen­diert in sei­ner aktu­el­len Fas­sung den Beschäf­tig­ten sogar einen eige­nen Paragraphen:

“(1) Per­so­nen­be­zo­gene Daten eines Beschäf­tig­ten dür­fen für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn dies für die Ent­schei­dung über die Begrün­dung eines Beschäf­ti­gungs­ver­hält­nis­ses oder nach Begrün­dung des Beschäf­ti­gungs­ver­hält­nis­ses für des­sen Durch­füh­rung oder Been­di­gung erfor­der­lich ist. Zur Auf­de­ckung von Straf­ta­ten dür­fen per­so­nen­be­zo­gene Daten eines Beschäf­tig­ten nur dann erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn zu doku­men­tie­rende tat­säch­li­che Anhalts­punkte den Ver­dacht begrün­den, dass der Betrof­fene im Beschäf­ti­gungs­ver­hält­nis eine Straf­tat began­gen hat, die Erhe­bung, Ver­ar­bei­tung oder Nut­zung zur Auf­de­ckung erfor­der­lich ist und das schutz­wür­dige Inter­esse des Beschäf­tig­ten an dem Aus­schluss der Erhe­bung, Ver­ar­bei­tung oder Nut­zung nicht über­wiegt, ins­be­son­dere Art und Aus­maß im Hin­blick auf den Anlass nicht unver­hält­nis­mä­ßig sind.
(2) Absatz 1 ist auch anzu­wen­den, wenn per­so­nen­be­zo­gene Daten erho­ben, ver­ar­bei­tet oder genutzt wer­den, ohne dass sie auto­ma­ti­siert ver­ar­bei­tet oder in oder aus einer nicht auto­ma­ti­sier­ten Datei ver­ar­bei­tet, genutzt oder für die Ver­ar­bei­tung oder Nut­zung in einer sol­chen Datei erho­ben werden.
(3) Die Betei­li­gungs­rechte der Inter­es­sen­ver­tre­tun­gen der Beschäf­tig­ten blei­ben unberührt.”
Womit fest­steht:
  1. Beschäf­tigt ein Unter­neh­men Mit­ar­bei­ter, lie­gen per­so­nen­be­zo­gene Daten vor.
  2. Auf­grund der vor­lie­gen­den Daten eines Mit­ar­bei­ters han­delt es sich dabei sogar um beson­dere Arten per­so­nen­be­zo­ge­ner Daten, die einen erhöh­ten Schutz­sta­tus besitzen.
  3. Das Bun­des­da­ten­schutz­ge­setz legi­ti­miert das Erhe­ben, Ver­ar­bei­ten und Nut­zen der Mit­ar­bei­ter­da­ten zum Zwe­cke des Beschäftigungsverhältnisses.
  4. Das Bun­des­da­ten­schutz­ge­setz fin­det auf Unter­neh­men mit Mit­ar­bei­tern Anwendung.
  5. Es bleibt zu prü­fen, ob die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten zusätz­lich vorliegt.

 

Unsi­cher in Bezug auf die wei­tere Vor­ge­hens­weise? Dann spre­chen Sie uns ein­fach an. Wir hel­fen schnell, unbü­ro­kra­tisch und unkompliziert.

Lesen Sie hier die ande­ren Teile der Serie “Irr­tü­mer im Datenschutz”:

Weiterlesen »

Datenschutz ist bezahlbar

Trans­pa­rente, nach­voll­zieh­bare Kos­ten statt der sprich­wört­li­chen “Katze im Sack” — selbst­ver­ständ­lich mit a.s.k. Datenschutz.

Aus der Praxis für die Praxis



Pra­xis­taug­li­che und recht­lich belast­bare Lösun­gen statt sei­ten­lan­ger Rechts­ab­hand­lun­gen — Ihr Tages­ge­schäft steht im Vordergrund.