Private Daten des MA im Intranet für definierten Personenkreis sichtbar

Question

Hallo,
gestern wurde unser neuer Intranetauftritt für alle MA freigeschaltet, hierbei ist uns nun aufgefallen das Private Daten wie die komplette Adresse, Geburtsdatum, private Telefonnummer im Intranet eingepflegt ist. Die Daten können vom MA selbst bearbeitet werden jedoch nicht gelöscht werden. Laut Aussage der zuständigen Personen für den Intranetauftritt werden die Daten dort benötigt da verschiedene Mitarbeiter der Firma auf die Daten zugreifen müssen und so der Zugriff für alle gewährleistet ist.

Es kann nur ein definierter Personenkreis auf die Daten zugreifen, Marketing für Geburtstagskarten, Sekretäriat für " Aussage die brauchen halt auch mal die Daten " usw. 
Die Daten sind bei einem externen Hoster gespeichert. Sollte dieser einmal gehackt werden könnten all diese Daten in falsch Hände gelangen.

Wir sind uns unsicher ob die Daten überhaupt veröffentlicht werden dürfen im Intranet auch wenn hier nicht alle MA Zugriff darauf haben. Das der AG die Daten allgemein erheben darf ist ja OK aber im Intranet welches auch noch extern gehostet wird ?

Hat hier jemand in diese Richtung Erfahrungen und kann uns einen Tipp geben. Wir möchten das nicht unbedingt stillschweigend hinnehmen, wir wurden auch nicht im Vorfeld darüber informiert es wurde einfach umgesetzt.

Gruß Sven

celestro · Answer

Die Vorgehensweise ist mMn aus Datenschutzgründen unzulässig. Vor allem aber ist die Aussage "nur ein definierter Personenkreis kann auf die Daten zugreifen" totaler Humbug. Wenn jeder Ma die Daten sehen kann, kann sich auch jeder diese Daten abschreiben.

Mercyful · Answer

Absoluter Verstoß gegen die DSGVO, würde ich als BR mal dem Arbeitgeber mächtig auf die Finger klopfen, da Ihr als BR auch für die Einhaltung der geltenden Gesetze (DSGVO) zuständig seid.

Es erschließt sich mir auch kein legitimer Grund für die "Öffentlichmachung" persönlicher Daten und es ist auch kein Erforderlichkeitsgrundsatz / Zweckbindungsgrundsatz gegeben.

takkus · Answer

"...komplette Adresse, Geburtsdatum, private Telefonnummer im Intranet eingepflegt ist. Die Daten können vom MA selbst bearbeitet werden.."
Ich würde mir ja den Spaß machen und die Daten selbst bearbeiten. Mal sehen wie der Chef reagiert, wenn man plötzlich in Schlumpfhausen in der Leck- mich- am- A**** Straße wohnt, am 32.13.3066 geboren ist und die Telefonnummer komischerweise dieselbe wie die vom Laufhaus im Nachbarort ist....

betriebsratten · Answer

Der Betriebsrat arbeitet doch vertrauensvoll mit dem Datenschutzbeauftragten zusammen....oder?
Los--Hasso---fass!   :-)

SvenF · Answer

welchen Datenschutzbeauftragten meinst du, den der Firma oder des Landes :) 
Unsere Firma hat einen internen Rechtsverdreher der sich um alles mögliche kümmert und eine externe Firma die offiziell für den Datenschutz der Firma zuständig ist.

nach ergänzend zum obigen Ursprungstext.

Die Daten im Intranet können nicht von jedem Mitarbeiter eingesehen werden. Ich sehe meine aber nicht die eines anderen Mitarbeiters. Es gibt jedoch Mitarbeiter die angeblich aufgrund ihrer Tätigkeiten auf diese Daten zugreifen müssen und somit Daten aller Mitarbeiter einsehen können.

Das wollte ich noch einmal klarstellen falls es im Ursprungstext nicht so klar zu erkennen ist. Jedoch sehe ich echt keine Notwendigkeit die Daten im Intranet zur Verfügung zu stellen was der AG natürlich anders sieht.

Vielen Dank auch für die vielen antworten bis jetzt.