Lesen von nicht gesperrten Dokumenten ein Verstoß gegen Datenschutz?

[maramara]

Hallo,

bei uns kann man auf dem Netzwerk auf verschiedene Laufwerke zugreifen.

Ordner, die für einen nicht bestimmt sind, kann man nicht öffnen und man erhält die Meldung, dass man keine Berechtigungen hat.

Wie ist das aber nur mit allen anderen Ordnern, Unterordnern und Dateien, die man öffnen und somit lesen kann, die aber mit dem eigenen Arbeitsbereich nichts zu tun haben? Wenn man z. B. eine Datei öffnen kann, die den Personalbereich bzgl. Bewerber auf eine ausgeschrieben Stelle betrifft, man aber selbst nicht zum Personalbereich gehört oder man kann eine Datei öffnen, die einen Arbeitsunfall und den Versicherungsbereich betrifft, den man aber auch nicht angehört.

Schuld des Arbeitgebers oder des/der zuständigen Sachbearbeiters?

Oder generell was von allen oder von bereichsfremden Personen geöffnet werden kann, unterliegt nicht dem Datenschutz oder zumindest kann einer bereichsfremden Person kein arbeitsrechtlicher Strick raus gedreht werden, wenn die solche Dateien öffnet?

Wie sieht es da aus?

Dankeschön.

LG

[mariameme]

Hallo,

Wenn man z. B. eine Datei öffnen kann, die den Personalbereich bzgl. Bewerber auf eine ausgeschrieben Stelle betrifft, man aber selbst nicht zum Personalbereich gehört oder man kann eine Datei öffnen, die einen Arbeitsunfall und den Versicherungsbereich betrifft, den man aber auch nicht angehört.

Wenn es hier um vertrauliche Dinge geht dann meldet man das dem Arbeitgeber damit der Fehler ausgebügelt werden kann, und hält seine Nase draussen.

Einfach mal alles durchschnüffeln und nichts sagen - ja da könnte der Arbeitgeber schon drauf kommen dass man hier nicht im "Unternehmensinteresse" handelt und einen "Strick drehen", je nachdem, um welche Daten es sich handelt...

Was dem Datenschutz unterliegt ist nicht dadurch geregelt, in welchem Ordner es liegt sondern da gibt es gesetzliche Vorschriften...

[Katharina Schwarzen]

Hallo,

ich häng mich mal hier dran, auch wenn es jetzt länger her ist, dass hier gefragt und geantwortet wurde.

Es muss doch eine gesetzliche Regelung oder mind. eine interne Regelung für sowas geben, oder!?

Und wenn es keine gibt, kann man ja gegen nichts verstoßen haben, oder!? Außer gegen die feine Englische!?

Bei uns wird z. B. grad eine entsprechende interne Anweisung geschrieben, da es immer mal sein kann, weil die IT mal wieder geschlafen hat, dass Dokumente nicht geschützt sind.

Es gibt allerdings einerseits schon eine Regelung, was von der Poststelle geöffnet werden darf und was nicht, aber andererseits kann es nun keine Regelung für die externen Absender geben, was die auf ihre Briefe zu schreiben haben, damit die auch nur von entsprechenden Stellen geöffnet werden. Heißt, die Poststelle öffnet regelmäßig Post, die sie eigentlich nicht öffnen dürfen, weil im Anschriftenfeld nicht z. B. explizit "vetraulich" oder "Personalabteilung" steht. Und natürlich wird dann das ein oder andere von denen gesehen, wenn auch vielleicht nicht explizit komplett gelesen. Aber weiß man das?

Kann ja nun auf solche Laufwerke ... angewendet bedeuten, hat der Absender, der Besitzer, die IT ... diese nicht so gekennzeichnet, dass man sehen kann, dass diese andere nichts angehen, was ja i. d. R. durch die IT in Form der Berechtigungsvergsbe erledigt, dass eben solche Laufwerke, Ordner ... eben doch alle öffnen dürfen.

MfG

[Evariste]

Oder generell was von allen oder von bereichsfremden Personen geöffnet werden kann, unterliegt nicht dem Datenschutz

Wie von mariameme schon geschrieben, ob etwas dem Datenschutz (genauer: der DSGVO) unterliegt, hängt nicht davon ab, wo und wie die Daten gespeichert sind. Wenn Sie eine Psychotherapie machen und Ihr Therapeut wirft seine Aufzeichnungen in den Müll, wo sie dann jemand herauskramt, dann unterliegen diese Aufzeichnungen weiterhin dem Datenschutz. Das gilt für alle personenbezogenen Daten. Daneben gibt es übrigens auch andere Daten, die zwar nicht der DSGVO unterliegen, sondern ebenfalls schützenswert sind, diese fallen unter "Betriebsgeheimnis" - z. B. Angebotskalkulationen, Konstruktionsdaten, etc.

oder zumindest kann einer bereichsfremden Person kein arbeitsrechtlicher Strick raus gedreht werden, wenn die solche Dateien öffnet?

[
Das ist die richtige Frage. Die Antwort ist leider "es kommt darauf an". Wenn man zufällig (!) auf Daten stößt, die nicht für einen bestimmt sind, ist das eher unproblematisch. Man kann es melden, muss aber nicht (außer es gibt konkrete Dienstanweisungen zu dem Thema). Problematisch ist die "Weiterverarbeitung", also das Speichern, Ausdrucken oder auch die spätere Verwendung der Informationen. Problematisch ist es natürlich auch, wenn man aktiv danach sucht.

[Heiko66]

Vom Prinzip her ist der Geschäftsführer/Vorstand für das Thema Informationssicherheit verantwortlich.

Dafür benennt der Geschäftsführer üblicher Weise einen Datenschutz- und einen IT-Sicherheitsbeauftragten, die sich um entsprechende Themen kümmern und ein Informationssicherheitsmanagementsystem integrieren.

Teil eines entsprechenden Managementsytems ist die fortlaufende Weiterentwicklung als auch Audits. Spätestens im Rahmen dieser Audits sollte entsprechende Themen auffallen.

Ein großer Konzern beschäftigt mit diesem Thema ganze Abteilungen. Ein kleines Unternehmen müsste dieses formal auch tun aber wird wohl kapazitiv nicht in der Lage sein dafür mehrere Mitarbeiter abzustellen.

Die beschrieben Dingen beschreiben eigentlich Informationssicherheitsvorfälle die bei dem Verantwortlichen angezeigt werden sollten, damit dieser Abhilfe schaffen kann.

Auf der Seite des BSI finden sich Anleitungen/Hilfestellungen wie man ein entsprechendes ISMS aufsetzt.

[Evariste]

Es muss doch eine gesetzliche Regelung oder mind. eine interne Regelung für sowas geben, oder!?

Und wenn es keine gibt, kann man ja gegen nichts verstoßen haben, oder!? Außer gegen die feine Englische!?

Gesetzliche Regelungen für den Datenschutz gibt es, die richten sich aber an den Arbeitgeber. Der Arbeitgeber stellt dann seinerseits interne Regeln auf, die die Einhaltung der gesetzlichen Regelungen sicherstellen.

Daneben gibt es aber auch noch die Treuepflicht des Arbeitnehmers auf der Grundlage von § 241 Abs. 2 BGB und § 242 BGB:

Die Treuepflicht verpflichtet Sie ... dazu,
- Ihre Arbeitsleistung für die Interessen Ihres Arbeitgebers und des Betriebs einzusetzen und
- alles zu unterlassen, was diese Interessen beeinträchtigen könnte.

Auch ohne entsprechende Anweisungen verstößt z. B. ein AN, der in Ordnern, "herumschnüffelt", die ihn nichts angehen, gegen seine Arbeitsvertrag, schlicht und zwar einfach, weil er nicht für das "Herumschnüffeln" bezahlt wird. Und es braucht auch keine interne Vorschrift, die das Weitergeben von Informationen an unbefugte Außenstehende verbietet, weil für jeden AN offensichtlich ist, dass dies nicht im Interesse des AG ist. Letzten Endes wird man vom Arbeitnehmer erwarten, dass er sein Gehirn einsetzt und sich richtig verhält.

[winterspaziergang]

Es muss doch eine gesetzliche Regelung oder mind. eine interne Regelung für sowas geben, oder!?

wofür? Dass man Daten im Unternehmen, die einen nichts angehen und die aufgrund eines Fehlers nicht verschlüsselt sind, als betriebsinterner Mitarbeiter und damit als einer, der allen Pflichten eines Betriebsangehörigen unterliegt, nicht bewusst lesen darf?

Und wenn es keine gibt, kann man ja gegen nichts verstoßen haben, oder!? Außer gegen die feine Englische!?

Die feine englische ist das Vertrauensverhältnis zwischen AG und AN. Das ist durchaus geregelt und nicht nur in moralischer Hinsicht.

Bei uns wird z. B. grad eine entsprechende interne Anweisung geschrieben, da es immer mal sein kann, weil die IT mal wieder geschlafen hat, dass Dokumente nicht geschützt sind.

genau, weil die IT schläft und der Rest der Belegschaft nicht ausschließlich aus Erwachsenen besteht, muss man das wohl extra regeln

...Heißt, die Poststelle öffnet regelmäßig Post, die sie eigentlich nicht öffnen dürfen, weil im Anschriftenfeld nicht z. B. explizit "vetraulich" oder "Personalabteilung" steht. Und natürlich wird dann das ein oder andere von denen gesehen, wenn auch vielleicht nicht explizit komplett gelesen. Aber weiß man das?

es liegt auch schon mal Post im Briefkasten, die dem Nachbarn gehört. Man reißt den Umschlag auf, liest drei Zeilen, wundert sich, schaut dann auf den Empfänger, sieht erst den Namen des Nachbarn und macht als halbwegs Erwachsener was? Umschlag zu und gleich mit Vermerk zum Nachbarn.

Kann ja nun auf solche Laufwerke ... angewendet bedeuten, hat der Absender, der Besitzer, die IT ... diese nicht so gekennzeichnet, dass man sehen kann, dass diese andere nichts angehen, was ja i. d. R. durch die IT in Form der Berechtigungsvergsbe erledigt, dass eben solche Laufwerke, Ordner ... eben doch alle öffnen dürfen

.
öffnen ist nicht gleich lesen und lesen ist nicht gleich komplett lesen, nachdem man nach wenigen Zeilen entdeckt hat, dass es einen nichts angeht.

Einen Mitarbeiter, der nur seine Pflichten erfüllt und dem man nur vertrauen kann, wenn eine Regelung oder Gesetz dies vorschreiben, wünscht sich indes jeder Arbeitgeber

[Heiko66]

Letzten Endes wird man vom Arbeitnehmer erwarten, dass er sein Gehirn einsetzt und sich richtig verhält.

Das kann man zwar erwarten aber ein Fehlverhalten ist hier bestenfalls erstmal mit einer Abmahnung bestrafbar.

Der Arbeitgeber muss sicherstellen, dass über entsprechene technische und organisatorische Maßnahmen informationen geschützt werden. Er darf sich nicht darauf verlassen, dass seine Mitarbeiter schon aus arbeitsvertraglicher Verpflichtung entsprechend handeln.

wofür?

Wie so oft bei Dir. Keine Ahnung von dem Thema aber ganz sicher eine Meinung die von der Rechtslage eher meilenweit entfernt ist.

[Evariste]

Letzten Endes wird man vom Arbeitnehmer erwarten, dass er sein Gehirn einsetzt und sich richtig verhält.

Das kann man zwar erwarten aber ein Fehlverhalten ist hier bestenfalls erstmal mit einer Abmahnung bestrafbar.

Mit der Aussage wäre ich etwas vorsichtig, angesichts dieser Frage:

Und wenn es keine gibt, kann man ja gegen nichts verstoßen haben, oder!? Außer gegen die feine Englische!?

Die Obergrenze ist hier die fristlose Kündigung, wenn man sich richtig dumm anstellt. Und natürlich gibt es auch noch diverse Strafandrohungen für besondere Fälle, z. B. § 203 StGB (Verletzung von Privatgeheimnissen - bis zu 2 Jahren Freiheitstrafe) und § 23 GeschGehG (Verletzung von Geschäftsgeheimnissen - bis zu 5 Jahren),

Der Arbeitgeber muss sicherstellen, dass über entsprechene technische und organisatorische Maßnahmen informationen geschützt werden. Er darf sich nicht darauf verlassen, dass seine Mitarbeiter schon aus arbeitsvertraglicher Verpflichtung entsprechend handeln.

Das ist richtig, aber dieser Verpflichtung besteht nicht gegenüber dem AN (außer dessen Interessen sind direkt berührt, z. B. weil es um die Daten des AN geht). Der AN kann aus fehlenden Schutzmaßnahmen und fehlenden internen Regelungen keine "Narrenfreiheit" für sich ableiten.

[Heiko66]

Die Obergrenze ist hier die fristlose Kündigung, wenn man sich richtig dumm anstellt.

Für das Durchstöbern eines Netzlaufwerkes ganz sicher nicht. Da dürfte in den meisten Fällen noch nicht einmal eine Abmahnung vor Gericht bestand haben. Wenn man mit den gefundenen Daten etwas anstellt, dann mag die Sache anders aussehen.

Das ist richtig, aber dieser Verpflichtung besteht nicht gegenüber dem AN

Das hängt von den Daten ab. Wenn ich zum Beispiel in deiner Personalakte stöbere die ich auf dem Netzlaufwerk finde oder irgendwelche Gehalts-/Bonuszahlungen von Dir analysiere findest du das bestimmt auch begrenzt lustig. Du glaubst gar nicht was man da so alles in keineren Unternehmen die keine entsprechenden Schutzmaßnahmen ergreifen so alles findet. Schichtpläne, Krankenakten usw. Die Nummer mit den Schichtplänen oder wer wo wann welchen Arbeitschritt durchgeführt hat findest du auch gern in größeren Unternehmen in den wildesten Exceltabellen.

Der AN kann aus fehlenden Schutzmaßnahmen und fehlenden internen Regelungen keine "Narrenfreiheit" für sich ableiten.

Wenn er mit den Daten nichts weiter tut, dann hat er vom Prinzip her nahezu Narrenfreiheit.

[Evariste]

Die Obergrenze ist hier die fristlose Kündigung, wenn man sich richtig dumm anstellt.

Für das Durchstöbern eines Netzlaufwerkes ganz sicher nicht. Da dürfte in den meisten Fällen noch nicht einmal eine Abmahnung vor Gericht bestand haben. Wenn man mit den gefundenen Daten etwas anstellt, dann mag die Sache anders aussehen.
...
Wenn er mit den Daten nichts weiter tut, dann hat er vom Prinzip her nahezu Narrenfreiheit.

Mit der Einschränkung, dass auch die Befriedigung der eigenen Neugier unter "etwas mit den Daten tun" fällt.

Ein schönes Beispiel:

Die Daten aller Empfänger von Arbeitslosengeld I und II werden auf zentralen Rechnern der Bundesagentur für Arbeit (BA) gespeichert. Die Mitarbeiter in den Agenturen, ARGEn und JobCentern haben Zugriff auf sensibelste Daten, z. B. Bankverbindungen oder Gesundheitsangaben. Die BA will hieran nichts ändern – was fatale Folgen hat.
...
Während D. B. noch sucht, wissen die Mitarbeiter der ARGEn schon mehr. Vermutlich hätten T. G. und M. H., Kandidaten dieser Fensehsendung, nicht so freizügig von ihrer Arbeitslosigkeit erzählt, wenn sie geahnt hätten, wie viele Mitarbeiterinnen und Mitarbeiter in den ARGEn ihre Daten anschauen würden. Unter der Hand wurde uns geschildert, dass weit über 10.000 Zugriffe auf ihre Datensätze zu verzeichnen waren.

(Quelle: Tätigkeitsbericht 2009 des schleswig-holsteinischen Landesbeauftragten für den Datenschutz)
Die betreffenden Mitarbeiter ließen sich wohl nicht ermitteln, aber wenn doch, wäre sicher eine Abmahnung begründet.

Wenn ich zum Beispiel in deiner Personalakte stöbere die ich auf dem Netzlaufwerk finde oder irgendwelche Gehalts-/Bonuszahlungen von Dir analysiere findest du das bestimmt auch begrenzt lustig.

Ahem, was hatte ich geschrieben:

.. diese Verpflichtung besteht nicht gegenüber dem AN (außer dessen Interessen sind direkt berührt, z. B. weil es um die Daten des AN geht).

Mir fallen da noch mehr Beispiele ein, z. B. unterliegen Ärzte der Schweigepflicht, können also ihre Krankenberichte nicht in beliebig unsichere IT-Systeme eingeben, ohne sich u. U. persönlich strafbar zu machen.

[Heiko66]

Ahem, was hatte ich geschrieben:

Ok sagen wir einfach wir sind uns hinsichtlich der Rechtslage im Wesentlichen einig.

Mir fallen da noch mehr Beispiele ein, z. B. unterliegen Ärzte der Schweigepflicht, können also ihre Krankenberichte nicht in beliebig unsichere IT-Systeme eingeben, ohne sich u. U. persönlich strafbar zu machen.

Gerade da läuft es nicht selten katastrophal. Man braucht da gar nicht hacken sondern es reicht ein Arzttermin. Nicht selten wird man aufgefordert im Wartezimmer auf den Arzt zu warten. Weil das ja viel zu aufwendig ist ein Passwort einzugeben (oder das Passwort ist an den Monitor geklebt) brauchst es Null Begabung um da Gesundheitsdaten in Massen abzugreifen.

Als ich mit meinem kleinen Sohn wegen eine Platzwunde vom Toben vor einen Jahr am Wochenende in die Notaufnahme musste, habe ich dort 20 Minuten im Behandlungszimmer vor einem freigeschalteten Rechner auf den Arzt gewartet. Den Arzt darauf angesprochen er habe hier ein massives organisatorisches Datensicherheitsproblem, das er bitte abstellen möge (es werden dort ja auch die Daten meines Kindes gespeichert) wurde mir angedroht das Kind nicht zu behandeln, wenn ich nicht sofort ruhig bin. Einsichtsfähigkeit der Ärzte geht gegen Null. Um mich nicht dem Risiko auszusetzen nächstes Mal nicht behandelt zu werden, habe ich von einer Anzeige beim BSI abgesehen.

Aber im behandelden Medizinbereich klaffen riesige Löcher im Bereich Datensicherheit. Das ist schlimmer als in jeder 0815-20-Mann-Klitsche.