MA intern namentlich nennen, die einen Pishing-Test nicht bestanden haben

Rechtlich nicht zu beanstanden. Eine erbrachte Minderleistung gehört nicht zu "schützenswerten persönlichen Daten".

Aus Sicht moderner Führung kann man das sicher anders handhaben. Scheint ja doch für Unruhe gesorgt zu haben. Andererseits kann "anprangern" ja auch dahingehend motivieren, in Zukunft nicht mehr in diesem Mailverteiler auftauchen zu wollen.

Ich würde schon "vorher" ansetzen. Solche Tests durchzuführen ist mWn mitbestimmungspflichtig. Und dann würde ich halt nur eine BV unterzeichnen, wenn niemand etwas vom "Durchfaller" erfährt, der dies nicht unbedingt wissen muss.

in meinen Augen ein schlechter Stil und ich finde es ggf. auch datenschutzrechtlich nicht gerade opti. Aber deswegen würde ich bei einem einmaligen "Verstoß" noch nicht das große Fass aufmachen. Ich glaube wir haben alle schon mal eine Mail verschickt bei der der Verteiler nicht absolut "safe" war. Den Vorschlag von celestro finde ich sehr gut und den würde ich weiter verfolgen. Denn so bekommt der BR als Gremium ein eigenes Recht

"Ich glaube wir haben alle schon mal eine Mail verschickt bei der der Verteiler nicht absolut "safe" war."

Wie kann ein Mailverteiler nicht "safe" sein?

Danke für Eure Antworten. Sicherlich wollte ich deswegen jetzt kein Fass aufmachen. Eure Meinung hat mich interessiert und ich war mir unsicher, wie dies bzgl BetrVG aussieht. Denke auch das wir hier einfach früher ansetzen müssen und vorab darüber sprechen, wie "Konsequenzen" aussehen und kommuniziert werden.

Ein "Pranger" hat halt immer etwas negatives, unabhängig davon ob dies in gewisser Weise berechtigt sein kann bzw. rechtlich erlaubt ist.

Danke jedenfalls für Eure Meinung.

@celestro Du hast noch nie eine Mail geschickt, bei der im Verteiler nicht jemand war, der die Mail eigentlich nicht erhalten sollte? Ich bekomme jeden Tag mindestens 50 Mails die ich zumeist auch beantworte und ja auch mir ist es schon passiert, dass ich jemanden im Verteiler hatte, den ich eigentlich gar nicht wollte. Weil ich den falschen Kollegen aus den Kontakten ausgewählt habe, weil mir Outlook in der Adresszeile einen Kontakt angezeigt hat und ich da falsch geklickt habe oder weil an der Mail ein Anhang dran war, der nicht für jeden bestimmt war. Daher habe ich da etwas Nachsicht.

doch ... aber das würde ich nicht unter "der Verteiler war nicht safe" abhandeln. Danke für die Erklärung.

In der DSGVO werden „personenbezogene Daten“ wie folgt definiert: "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;"

Damit ist auch die Information dass ein Mitarbeiter diesen Phishing-Test nicht bestanden hat ein personenbezogenes Datum und somit schützenswert.

Insofern steht dieses Vorgehen nicht im Einklang mit der DSGVO und stellt grundsätzlich einen Datenschutzverstoß dar.

Als BR würde ich den Arbeitgeber entsprechend informieren und auffordern, diese Praxis einzustellen, das ist auch im Interesse des Arbeitgebers, denn er kann durch diesen Verstoß auch einen Anspruch auf Löschung dieser Daten nicht mehr sicher erfüllen.

@celestro.... sorry.... unter "nicht safe" verstehe ich bei mir, dass ich den Empfängerkreis nicht hinreichend geprüft habe. Eigentlich ist es bei mir eine Routine draufzuschauen und dann mir selber "safe" zu sagen ;) da kommt das her