Mitarbeiterdaten in der Kundendatenbank

Question

Wir sind ein Großhandelsunternehmen und die Mitarbeiter haben die Möglichkeit, Handelsware zu einem günstigen Preis einzukaufen. Bisher lief das Ganze über eine Sammel-Kundennummer, und der Mitarbeiter musste die Ware sofort in bar oder per Kreditkarte bezahlen. Das wurde seit Jahren so gehandhabt und war von allen akzeptiert.
Letzte Woche wurde der GBR darüber informiert, dass Personaleinkäufe generell nur noch per Bankeinzug abgewickelt werden dürfen.

So weit, so gut....

Heute, ich war schon zu hause, ruft mich ein Kollege an und erzählt mir, dass die Daten sämtlicher Mitarbeiter, inklusive Privatanschrift und Bankverbindung, in unsere Kundendatenbank eingetragen wurden, jeder unter einer eigenen Kundennummer.
Auf die Kundendatenbank hat jeder Mitarbeiter mit EDV-Arbeitsplatz zugriff, was bedeutet, dass nun jeder die privaten Daten von allen anderen einsehen kann.

Ist das zulässig?
Und wäre dazu nicht zumindest das Einverständnis der Mitarbeiter erforderlich?
Und falls ja, was sollten am Dienstag unsere ersten Schritte sein?

spartacus · Answer

Moin,

ihr solltet die Gf auffordern die personenbezogenen Daten aus der Kundendatei sofort zu entfernen. Falls nicht regelt ihr das in einer Bv. Auf diese Daten sollte nur ein bestimmter Personenkreis(z.B. Fibu) Zugriff haben.
ICH würde zur Zeit keine Personalkäufe vornehmen !

schöne pfingsten

pirat · Answer

@ Sueden
wie spartacus schon schrieb,
ein Blick in das BDSG könnte helfen...oder die TBS (Technologieberatungsstelle) des DGB.
@all
ebenfalls schöne Pfingsten

Sueden · Answer

Vielen Dank erstmal!

Das beste kommt jetzt: 
Laut unserem Datenschutzbeauftragten ist diese Speicherung "bedenkenlos"!

Kann das wirklich sein?

Gibt es einen gesetzlichen Anspruch auf Löschung des eigenen Kundenkontos?

spartacus · Answer

@ Sueden,

was der datenschutzbeauftragte mit "bedenkenlos" meint steht wohl in den sternen.
Nochmal, bereitet eine Bv vor. macht euch sachkundig, besucht ein seminar (aktueller
anlaß ist vorhanden) und regelt den datenschutz in einer Bv.
bis dahin -kollegInnen aufklären - mbr einfordern-datennutzung untersagen- sachverständigen fordern. evtl. weitere maßnahmen durch rechtsberatung klären.