Datenschutzverstoß?

[ÖDWorker]

Hallo liebe Kollegen,

ich habe ein Problem und hatte gerne mal eure Meinung dazu gehört.

Kurz zur Vorgeschichte:
Ich habe seit ca. einem Jahr eine neue direkte vorgesetzte, das Verhältnis war von Anfang an sehr angespannt (Sie wollte nicht mit mir zusammenarbeiten, da Sie sich von den Kollegen übergangen gefühlt hat da diese sich aus Gewohnheit erstmal an mich gewendet haben, dazu wurden alle Informationen die Sie haben wollte nicht mit mir besprochen sondern lieber mit Ihrem alten AG der könnte das ja besser) Das ganze endete in einem Klärungsgespräch wegen Ihrer passiv-aggressiven Kommentare mit der Abteilungsleitung was jedoch nichts gebracht hat. Das Ende vom Lied Sie hat aktiv daran gearbeitet das man versucht hat mir Abmahnungen zu erteilen, diese mussten vom AG aber zurückgenommen werden.

Nun zur Situation: Ich bin aufgrund der Gesamtsituation und der damit verbunden nervlichen Belastung erkrankt. In meiner Abwesenheit rief mich der zuständige Admin an und teilte mir mit er müsste mein Anmeldepasswort zurücksetzen da man ja Zugriff auf meinen Rechner benötigen würde da dort ein Programm installiert wäre das Sie kontrollieren müssten und er hätte keine Lust das auf einem anderen Rechner zu installieren da das zu nervig wäre. Ich wusste an der Stelle gar nicht was ich sagen soll, fand das aber nicht so optimal. Er sicherte mir zu das nur er Zugriff hätte und das er das auch dokumentieren würde, da ich mich durch die Krankheit nicht gut fühlte hab ich nicht weiter diskutiert.

Ich kam dann nach längerer Krankheit wieder ins Büro und konnte mich aufgrund der Passwortänderung natürlich nicht anmelden. Das Passwort wurde mir dann anstatt vom Admin durch die Vorgesetzte (jene mit der das angespannte Verhältnis besteht) überreicht. Diese hatte das Passwort auf einem Post-It offen auf Ihrem Tisch liegen (zu erwähnen ist dabei noch das Sie aufgrund Ihrer Stellung auch Zugang zu den Adminbereichen von der Spezialsoftware hat die ich in meiner täglichen Arbeit verwende. Sie hätte sich somit theoretisch mit meinem Anmeldepasswort Zugang zu meinem PC und unter meiner Kennung Zugang zur Spezialsoftware verschaffen können).

Die Situation eskalierte dann weiter, sodass ich dann erneut krank geschrieben wurden. Das Passwort wurde dann umgehend wieder geändert, diesmal sogar ohne das ich darüber informiert wurde.

Ist dies eurer Meinung nach rechtens oder liegt hier ein Verstoß gegen die DSGVO vor?

PS: Die Argumentation das man sich zwingend mit meiner Kennung anmelden muss kann ich nicht nachvollziehen, denn das Zertifikat und das Programm sind auf dem PC installiert. Dies bedeutet ein Kollege hätte sich an meinem PC mit seiner Kennung anmelden können und das Programm wäre da gewesen, es hätte ggf. dann nur des Passworts für das spezielle Programmes bedurft meiner Meinung nach aber nicht mein Hauptanmeldepasswort.

Vielen Dank für eure Aufmerksamkeit

[clarion]

Puh....

Ich glaube, Du solltest einen neuen Job suchen.

Ich halte das auch nicht für zulässig,  ich weiß nicht, ob man in irgendwelchen Logs nachvollziehen kann, ob man in persönliche Ordner oder dein Mailpostfach reingeschaut hat.

[Sjuda]

Insgesamt ungewöhnliche Fallkonstellation.

Erkrankt ein Mitarbeiter, der als einziger eine spezielle Software benutzt, können natürlich Fälle eintreten, in denen man als AG vertretungsweise Zugriff sicherstellen muss. Es kann auch tatsächlich so sein, dass ein anderer Nutzer an diesem PC nicht weiter kommen würde, weil das Zertifikat nutzergebunden ist. Das Vorhandensein der Software auf einem PC allein reicht dann nicht aus. Der Ersatznutzer bräuchte dann ein eigenes Zertifikat, das mitunter kurzfristig nicht organisiert werden kann. Für die Zukunft solltest du darauf hinwirken, weitere Mitarbeiter mit Zugriffsrechten für den Vertretungsfall ausstatten zu lassen.

Ich verstehe aber nicht ganz, weshalb überhaupt angefragt wurde, wenn die Vorgesetzte anscheinend Adminrechte in der Spezialsoftware besitzt und somit vielleicht selbst nachsehen könnte.

Hinsichtlich der Zulässigkeit des Vorgehens kommt es wahrscheinlich auch darauf an, was bzgl. der privaten Nutzung des PCs geregelt ist und ob man mit dem Anmeldepasswort auch an die E-Mails gelangt. Grundsätzlich handelt es sich um durch den AG bereitgestellte Arbeitsmittel zur dienstlichen Nutzung. Ist die private Nutzung untersagt, spricht aus meiner Sicht nichts gegen eine Einsichtnahme. Ob man dazu allerdings das Passwort erfragen muss bzw. darf, ist eine andere Frage, denn theoretisch könnte man private Passwörter auch dienstlich nutzen. Die IT hätte den Zugang zurücksetzen und für die Anmeldung in deiner Abwesenheit ein neues Passwort vergeben können. Ebenso bei der Rückkehr.

[ÖDWorker]

Keine Sorge, neuer Job war innerhalb von 14 Tagen am Start.
Und soweit ich weiß ist es kein Nutzergebundenes Zertifikat.

Bezüglich der Spezialsoftware und dem Programm für das angeblich die Rücksetzung nötig war, es sind zwei verschiedene Anwendungen (es ging nur darum zu verdeutlichen das mit dem Passwort die Kollegin/Vorgesetzte auch auf andere Programme hätte zugreifen können).

[Schmitti]

"aufgrund der Gesamtsituation und der damit verbunden nervlichen Belastung [länger] erkrankt"

vs.

"neuer Job war innerhalb von 14 Tagen am Start"

ist vermutlich auch eine Kombination, auf die man erstmal kommen muss und eine solche, die letztlich mit verursachend dafür ist, dass psychische Erkrankungen von manchen auch heute noch etwas argwöhnig beäugt werden.
Aber Glückwunsch zum schnellen neuen Job.

[BAT]

Das habe ich mir auch gedacht...

[Matze1986]

Einfach melden und weitersehen!

https://formulare.bfdi.bund.de/lip/form/display.do?%24context=98C1F138FC2AE2846F14
BfDI - Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

[Organisator]

Ich würde als erstes prüfen, was schutzbedürftigte "Pesonenbezogene Daten" im Sinne der DSGVO sind und ob ein Passwort darunter fällt.

Ich würde mal behaupten, nein.
Insofern würde man sich auch mit einer Meldung an übergeordneter Stelle einigermaßen lächerlich machen.

Ansonsten bin ich mir ganz sicher, dass es hingegen Regelungen gibt, wonach man Passwörter - egal an wen - nicht weitergeben darf. Ich würde daher vermuten, dass sich der TE hier eher angreifbar gemacht hat.

[ÖDWorker]

Ich habe zu keiner Zeit geschrieben das ich mein Passwort weitergegeben habe.
Der Admin hat sich telefonisch bei mir gemeldet um mir mitzuteilen das er mein Passwort auf ein Standartpasswort zurücksetzen wird damit er Zugang bekommen kann.

[Organisator]

Ich habe zu keiner Zeit geschrieben das ich mein Passwort weitergegeben habe.
Der Admin hat sich telefonisch bei mir gemeldet um mir mitzuteilen das er mein Passwort auf ein Standartpasswort zurücksetzen wird damit er Zugang bekommen kann.

Ah, okay. Überlesen, sorry.
Dann bleibt noch meine Frage offen, um welche personenbezogenen Daten es sich hier handeln soll, die rechtswidrig verarbeitet worden sein sollen.

[Schokobon]

Es handelt sich nicht um deinen PC.

[Layer8]

Der Admin hat sich telefonisch bei mir gemeldet um mir mitzuteilen das er mein Passwort auf ein Standartpasswort zurücksetzen wird damit er Zugang bekommen kann.

Tipp aus der Praxis: falls du noch an die Dienstanweisung der EDV/IT kommst dann schau mal rein, ob es einen Passus dazu gibt. Es muss nicht immer eine Erkrankung sein, auch Urlauber oder in der Probezeit geschasste Personen haben gerne mal vergessen, ihren Stellvertretern Zugriff auf den Posteingang zu gewähren. Ich kenne Dienstanweisungen, bei denen solche Dinge geregelt ist. Dann allerdings auch im 4-Augen-Verfahren und vor allem dokumentiert wer wann was gemacht hat. Das Pw bleibt bis zur Rückkehr in der EDV/IT und geht definitiv nicht an irgendwelche Vorgesetzte.

[Herbert Meyer]

Ich würde als erstes prüfen, was schutzbedürftigte "Pesonenbezogene Daten" im Sinne der DSGVO sind und ob ein Passwort darunter fällt.

Ich würde mal behaupten, nein.
Insofern würde man sich auch mit einer Meldung an übergeordneter Stelle einigermaßen lächerlich machen.

Ansonsten bin ich mir ganz sicher, dass es hingegen Regelungen gibt, wonach man Passwörter - egal an wen - nicht weitergeben darf. Ich würde daher vermuten, dass sich der TE hier eher angreifbar gemacht hat.

Selbstverständlich ist ein Passwort ein personenbezogenes Datum. Selbst die IP deines Rechners, die nach der Anmeldung mit dem Passwort vom Server protokolliert wird, ist ein personenbezogenes Datum.

Da gerade im Datenschutz unglaublich viel Halbwissen kursiert, hat sich der Gesetzgeber etwas Sinnvolles ausgedacht: Den Datenschutzbeauftragten. Die hier im Forum gestellten Fragen sind auch bei ihm/ihr am besten aufgehoben, denn dafür existiert diese Funktion. Der wird auch mit hoher Wahrscheinlichkeit den Vorgang als rechtswidrig identifizieren. Sollte auch mit dem Datenschutzbeauftragten das Vertrauensverhältnis zerrüttet sein, ist die nächste Anlaufstelle die zuständige Datenschutz-Aufsichtsbehörde. Aufgrund unseres Föderalismus' ist das aber nicht der in diesem Thread fälschlicherweise genannte BfDI, sondern die Landesbehörde. In dem Impressum eurer Institution/Behörde/Unternehmen muss die zuständige Aufsichtsbehörde benannt sein. Eine ihrer Funktionen ist es, genau bei solchen Fragen Beratung zu bieten.

[Flying]

Es sind doch weder dein PC noch dein Programm noch deine Daten?

Warum sollte der Arbeitgeber keinen Zugriff auf seinen PC, sein Programm oder seine Daten haben dürfen, wenn du länger erkrankt bist?

[Pit]

Es sind doch weder dein PC noch dein Programm noch deine Daten?

Warum sollte der Arbeitgeber keinen Zugriff auf seinen PC, sein Programm oder seine Daten haben dürfen, wenn du länger erkrankt bist?

Für den Zugriff auf die Daten gibt es andere Möglichkeiten.
Dafür benötigt es nicht das (geänderte) Kennwort des eigentlichen Benutzers.