IT-Datenschutz - können hier Betriebsratsmitglieder Sonderstellung bekommen?

Question

Hallo an alle, nach langer Zeit habe ich mal wieder eine Frage an Euch.

Das Problem: Bei uns haben die Mitarbeiter alle sogenannte Home-Laufwerke auf diese können sie ihre Mails, Gehaltsabrechnungen und sonstige wichtige Daten legen.
Die Verrechtung des  zugewiesenen Home-Verzeichnis ist so ausgelegt dass die 
Domänen-Admins Vollzugriff haben, der Benutzer selber aber nur eingeschränkte Rechte.


Frage: Ist das aus Datenschutzsicht so in Ordnung und können hier Führungskräfte und Betriebsratsmitglieder Sonderstellungen bekommen.

packer · Answer

moin marco,

prinzipiell ist es möglich (und es wird oft praktiziert) für einen admin auf alles zuzugreifen. mit windows bordmitteln ist es möglich dem "besitzer" dieses laufwerkes einen alleinigen admin status zu geben. das ist der einzige weg, daß nur der benutzer bestimmen kann, wer auf das laufwerk zugriff hat. 
wie die führungskräfte das regeln ist mir persönlich eigentlich schnurz. wichtig ist nur die frage, wie ich dieses scheunentor für den BR dichtmachen kann... wenn das zufriedenstellend geregelt ist, daß würde ich das analog auf die kollegenInnen übertragen. da sehe ich aber erstmal generell keine notwendigkeit.

spacemarco · Answer

Hallo,

danke für deine antwort, da hast du recht dies ist ein sehr großes scheunentor...... gibt es dazu vorschriften wie man admins über den schutz dieser daten aufmerksam machen kann. denn auf diesen laufwerken liegen personenbezigene daten und ich als datenschutzbeauftragter vom BR habe bauchschmerzen, weil ja jeder admin diese daten sehen kann.

ein vorschlag wäre dieses modell, aber es fehlt mich einfach der rechtliche hintergrund:
Ich denke, dass zu Admin-Zwecken eine technische Userid oder besser noch eine Gruppe verwendet werden muss, die dann
gesichert und protokolliert freigeschaltet wird, oder in die ein User zu einem bestimmten Zweck gesichert und protokolliert
hinzugefügt wird (und dann wieder entfernt wird), wenn es nötig ist. Die "Besitzer" der Home-Laufwerke sollten informiert sein,
der Datenschutzbeauftragte sollte eingeschaltet werden und der Betriebsrat sollte informiert werden.

packer · Answer

ich denke du solltest zuerst einmal trennen zwischen BR laufwerk und MA laufwerken. das BR laufwerk sollte nach dem motto "vertrauen ist gut, kontrolle ist besser" erst einmal wasserdicht gemacht werden. 
für die userdaten der kollegenInnen würde ich generell eine BV zur datensicherheit/schutz, für den betrieb noch eine BV IT-dach vorschlagen.
mit den daten des BR schlage ich den weg aus meiner ersten antwort vor...

generell solltest du dir im klaren sein, daß z.B. Emails wie postkarten behandelt werden.
rechtlich machte es einen großen unterschied wenn im betrieb auch private emails gelesen werden dürfen. dann rate ich zu getrennten adressen, also z.B. marco@xyz.com und spacebearbeitung@xyz.com. die privaten mails an marco fallen unter die BV datensicherheit/schutz, die geschäftlichen können die kollegenInnen aus der abteilung spacebearbeitung im bedarfsfall (krankheit etc.) mitlesen und bearbeiten. somit ist für jeden die klare trennung von privat und geschäftlich ersichtlich... aber das ist ein weites feld. da kannste dich gut durchgoogeln. 

ich empfehle dir mal in die ausgaben von "der betriebsrat" zu schauen, alleine im letzten jahr gab es drei gute artikel zum thema datenschutz in ausgabe 3, 10 und 12...