Kategorien
Neueste Beiträge
Unbefugte Abfragen und deren Folgen im Beschäftigungsverhältnis
Beschäftigte benötigen in vielen Fällen Zugriff auf Daten, um ihre tägliche Arbeit zu verrichten. Dabei kann es vorkommen, dass eine Person umfangreiche Berechtigungen besitzt. Nun ist Neugier nur zu menschlich. Genau diese Neugier kann zu übergreifenden Zugriffen auf personenbezogene Daten führen. Wie steht es also um den Datenschutz und unbefugte Abfragen im Beschäftigungsverhältnis? Im Folgenden gehen wir näher auf diese Thematik ein.
Ist eine Datenabfrage eine Verarbeitung?
Generell kann man diese Frage mit einem Ja beantworten, aber schauen wir uns die DSGVO dafür an. Art. 4 Nr. 2 DSGVO nennt eine Reihe von Tätigkeiten, die als Verarbeitung personenbezogener Daten nach der DSGVO gilt, darunter auch das Abrufen personenbezogener Daten.
Berechtigter Zugriff auf personenbezogene Daten
Nun ist es natürlich vonnöten, Daten innerhalb eines Beschäftigungsverhältnisses abrufen zu müssen. Die Personalabteilung verarbeitet regelmäßig sogar personenbezogene Daten besonderer Kategorien, um bei der Gehaltsberechnung die Kirchensteuer abzuführen oder einen eventuellen Behindertenstatus zu beachten. Um mögliche IT-Probleme eines Nutzers lösen zu können, benötigt der IT-Administrator eventuell Zugriff auf dessen Computer. Auf diesem sind zumeist personenbezogene Daten gespeichert.
Wann ist ein Abruf personenbezogener Daten unbefugt?
Unbefugt ist ein Abruf personenbezogener Daten dann, wenn diese Verarbeitung für die Verrichtung der täglichen Arbeit oder für einen sonstigen rechtmäßigen Zweck nicht notwendig ist. Dabei ist es völlig gleich, dass es grundsätzlich möglich ist, weil ein Beschäftigter eben gerade die Berechtigung dazu besitzt.
Datenschutzrechtliche Folgen eines unbefugten Zugriffes
In Art. 4 Nr. 12 DSGVO wird beschrieben, dass es sich bei einer „[…] Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ um eine Verletzung des Schutzes personenbezogener Daten handelt. Bei einem unberechtigten Zugriff eines Hackers auf personenbezogene Daten handelt es sich um eine Datenpanne. Genauso stellt ein unbefugter Zugriff von innen eine Datenpanne dar. Ob es sich dabei um einen meldepflichtigen Zugriff handelt, muss ein Verantwortlicher im jeweiligen Fall selbst analysieren und beurteilen. Bei Bedarf können wir hierbei helfen und beraten.
Folgen für den Beschäftigten
Sofern ein Verantwortlicher technische und organisatorische Maßnahmen zur Vermeidung unbefugter Zugriffe vorgenommen hat, protokolliert er gegebenenfalls u. a. auch besagte Zugriffe. Folglich deckt der Arbeitgeber solche Zugriffe auf. Die Folgen für den Beschäftigten können vergleichsweise mild ausfallen, aber auch zu einer fristlosen Kündigung führen.
Fälle unbefugter Zugriffe
In seinem 30. Tätigkeitsbericht berichtet der Bayerische Landesbeauftragte für den Datenschutz von Behörden, bei denen Beschäftigte anlasslos auf Meldedaten von Bürgern zugriffen (Seite 116, Punkt 7.6, Nr. 2). Ein Thüringer Krankenhaus meldete eine Datenpanne, da ein Beschäftigter sich aus privatem Interesse unberechtigterweise Zugang zu einer Patientenakte verschaffte. Diesen Vorfall hätte das Krankenhaus allerdings durch ein funktionierendes Berechtigungs- und Rollenkonzept vermeiden können, denn der Beschäftigte arbeitete in einer anderen Abteilung als der, wo die Patientin behandelt worden war. – Weitere Informationen hierzu sind im 3. Tätigkeitsbericht des Thüringers Landesbeauftragten für den Datenschutz und die Informationsfreiheit unter Punkt 4.11 auf Seite 148 zu finden. – Auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen erläutert in ihrem 26. Tätigkeitsbericht von einer Sparkassenmitarbeiterin, die aus privatem Interesse anlasslose Einsicht in Kundenkonten vornahm (Punkt 10.17, Seite 153).
Vermeiden unbefugter Abfragen durch Beschäftigte
Zur Vermeidung unbefugter Zugriffe auf personenbezogene Daten empfehlen wir die Implementierung von beispielsweise folgenden technischen und organisatorischen Maßnahmen:
1) Sensibilisierung der Beschäftigten zum Datenschutz: Wenn Beschäftigte zum Datenschutz und zur DSGVO sensibilisiert worden sind, wissen sie auch welche Folgen eine bestimmte Handlung haben kann. Auch der Gedanke, dass man bei einem unbefugten Abruf erwischt werden könnte, was entsprechende Nachwirkungen haben kann, erzeugt sicherlich den gewünschten Effekt, sodass die Gefahr unbefugten Abrufens verringert werden kann.
2) Protokollierung jeglicher Zugriffe auf personenbezogene Daten: Durch Stichproben kann ein Verantwortlicher überprüfen, ob es im Unternehmen (dies gilt natürlich für jede Art von Einrichtung) zu einem unbefugten Zugriff gekommen ist und dem entsprechend nachgehen.
3) Erstellung und Umsetzung eines Berechtigungs- und Rollenkonzeptes: Einen unbefugten Zugriff direkt vermeiden kann ein Verantwortlicher nicht, wenn ein Beschäftigter bestimmte Berechtigungen für die tägliche Arbeit benötigt. Allerdings kann eine Einrichtung mit einem Berechtigungskonzept vermeiden, dass Beschäftigte, die bestimmte Zugriffe für die Erfüllung ihrer Aufgaben gar nicht benötigen, diese auch nicht haben.
Positive Folgen bei Einhaltung der DSGVO
Ausschließen kann ein Verantwortlicher diese Art von Datenpanne leider nicht vollständig. Indem er aber die Vorgaben von Art. 32 Abs. 1 lit. b) DSGVO, also „[…] die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen […]“, i. V. m. Art 5 Abs. 1 lit. f) DSGVO (Grundsatz der Verarbeitung personenbezogener Daten bei Einhaltung der Vertraulichkeit – mehr dazu hier) einhält, kann er so mancher unbefugten Abfrage personenbezogener Daten entgegenwirken. Bei einer Nachfrage der Datenschutzaufsichtsbehörde kann ein Verantwortlicher durch die Dokumentation der Einhaltung der DSGVO dies entsprechend nachweisen (Siehe Art. 5 Abs. 2 DSGVO). So kann ein Verantwortlicher eventuelle Bußgelder, Schadenersatzansprüche und Abmahnungen vermeiden.
Fazit
Wir betonen mit Beständigkeit, wie wichtig es ist, die DSGVO einzuhalten und umzusetzen. Sofern Sie die Vorgaben der DSGVO in Ihrer Einrichtung nicht allein umsetzen möchten, können wir Ihnen beratend zur Seite stehen. Rufen Sie uns heute noch für ein unverbindliches Angebot an.