Datenschutz versus "Sicherheit des Teams"

Behörden & Recht Allgemeine Rechtsfragen
#1

Hi Ihrs,

Folgendes Szenario:

In einem IT Systemhaus arbeitet ein Servicedesk. Die Mitarbeiter des SDs beschreiben ihren Job sarkastisch mit „ich kann schneller googlen als Du“ - genau da kommt aber der kritische Moment:
Beim „schneller googlen“ wird auch mal die ein oder andere Seite aufgerufen, die in irgendeiner Form „verseucht“ ist.
Auf Aufrufe solcher Seiten schlagen daher Virenscanner oder auch mal die Firewall an.
Dass so etwas in Logs automatisiert festgehalten wird, steht ausser Frage.
ABER
Die Security Abteilung des Systemhauses reicht diese Daten weiter an die Geschäftsführung.
Mit Namensnennung. (Sprich: auch PC soundso gab es denundden Aufruf - anhand der PC Namen lassen sich die zugehörigen Mitarbeiter herausfinden)

Frage:
Ist das nicht schon ein Verstoß gegen das Datenschutzgesetz?
Falls ja, wie müsste der Geschäftsführer vorgehen, um die Daten in dieser Form legal erheben zu dürfen?

Danke und Gruß,
Kai

#2

Hallo,

mir ist nicht klar, wie Du darauf kommst. Das Bundesdatenschutzgesetz und die DSGVO sagen ja nicht, dass man keine Daten erheben oder speichern darf.

Gruß
C.

1 Like
#3

Seit dem Bestehen der DSGVO gilt das Prinzip „alles ist erlaubt, wenn man es nur geschickt in Datenschutzerklärung & Co. unterbringt“

Gibt es eine Betriebsvereinbarung dazu bei deinem Arbeitgeber?

2 Like
#4

Ich habe tatsächlich grade jemanden gefragt dessen Job es ist Firmen bezüglich der DSGVO zu beraten, es kommt wohl darauf an was Vertraglich festgehalten ist und wie die internen Regelungen bei IT-Sicherheitsverstößen sind und welche schriftlichen Vereinbarungen getroffen wurden etc…

Die Frage ist also gar nicht einfach zu beantworten…

1 Like
#5

Hi Ihrs und schon mal danke für Eure Antworten.
Der Reihe nach und korrigiert mich bei Irrtümern bitte gerne:

Ich hatte das Datenschutzgesetz so verstanden, dass Daten zwar erhoben, nicht jedoch ohne weiteres in Zusammenhang mit Namen gebracht werden dürfen…??

Betriebsvereinbarungen bzw. interne Regelungen sind nicht bekannt - was aber nichts heissen muss. Der Servicedesk wird gezielt und vorsätzlich in (zu) vielen Aspekten unwissend gehalten.
Ist vielleicht etwas, das mal eruiert sein will …:slight_smile:

#6

Das „ohne weiteres“ ist aber hier jetzt doch auch für den datenschutzrechtlichen Laien nicht so weit weg, oder? Mal ganz abgesehen von konkreten betrieblichen Vereinbarungen, Individualvereinbarungen mit Mitarbeitern, … die man sich natürlich im konkreten Einzelfall immer ansehen muss.

Das Netzwerk des AG ist durch die Verbindung zum Internet erheblichen Gefahren ausgesetzt, und die liegen u.a. auch in ganz erheblichem Maße daran, ob Mitarbeiter verantwortungsvoll mit der Nutzung von Angeboten im Internet umgehen. Und wer nicht nur im Einzelfall mal durch einen dummen Zufall auf eine gefährliche Seite gerät, gefährdet ganz konkret die Sicherheit der IT-Infrastruktur. Solche Leute zu indentifizieren und erst dann auch darauf ansprechen zu können, wäre in deinen Augen kein nachvollziehbares und berechtigtes Interesse des AG? Jetzt muss man sich natürlich ansehen, ob der AG das auch alles formal sauber geregelt hat, aber grundsätzlich ist dieser Fall durchaus sauber regelbar und wird in unzähligen Betrieben auch sauber geregelt und gelebt.

4 Like
#7

Ja. Ein AG hat natürlich ein absolut berechtigtes Interesse daran, dass die hauseigene IT Landschaft unbehelligt bleibt. Auch ohne rumgesurfe kann da genug passieren.
Dennoch war meine Frage einfach: darf der Daten „einfach so“ in Verbindung mit Namen bringen, oder braucht er dazu schon z.B. einen richterlichen Beschluss?
Und was ich verstanden habe, ist, dass „betriebliche Vereinbarungen“ offenbar ausreichend sind. Was ja ok ist. Muss man sich die halt mal ansehen…

Danke @ all für Eure zügigen Antworten :slight_smile: