Remoteüberwachung

theholygrail · 29. April 2009 um 17:18

Fiktive Frage:

bei Windows Terminalservern ist ja eine Remoteüberwachung der einzelnen Sitzungen / User möglich.

Im Standard wird das so vorgegeben, dass der Benutzer immer eine Aufforderung bekommt, einer solchen Spiegelung auch zuzustimmen. Vor seiner Zustimmung wird nichts angezeigt.

Man kann das natürlich auch ändern und Spiegelungen ohne Information an den User durchführen, ggf. sogar ohne dass die Maus gesteuert wird, der User kann also de facto bei seiner Arbeit genau überwacht werden, ohne es irgendwie zu merken. Das wäre natürlich rechtswidrig, vor allem, wenn der User nicht einmal generell informiert wird.

Was aber jetzt, wenn ein Geschäftsführer von seinem Administrator verlangt, diese Option genau so einzustellen?

Darf oder muss der Administrator das verweigern?

Macht er sich neben dem GF auch strafbar? Wenn ja, welches Delikt? Er befolgt schließlich nur eine Weisung und riskiert letztendlich seinen Arbeitsplatz, wenn er sich widersetzt.

Grüße

Holygrail

Thunderbirdy · 29. April 2009 um 19:25

Hallo,

bei Windows Terminalservern ist ja eine Remoteüberwachung der
einzelnen Sitzungen / User möglich.

Im Standard wird das so vorgegeben, dass der Benutzer immer
eine Aufforderung bekommt, einer solchen Spiegelung auch
zuzustimmen. Vor seiner Zustimmung wird nichts angezeigt.

so sollte es auch generell sein. Die Tools sind ja u.a. auch für den Remote - Support vorgesehen und nicht zum ausspähen der Anwender.

Was aber jetzt, wenn ein Geschäftsführer von seinem
Administrator verlangt, diese Option genau so einzustellen?

Dann zunächt noch ein paar Fragen:

Wie groß ist die Firma (Mitarbeiter)?
Gibt es einen Betriebsrat?
Hat die Firma einen Datenschutzbeauftragten?

Darf oder muss der Administrator das verweigern?

Der Admin sollte den GF auf jeden Fall darauf hinweisen, daß diese Vorgehensweise eindeutig gegen das Bundesdatenschutzgesetz verstößt und er die Anweisung daher gerne schriftlich hätte, damit der Admin im Zweifel darauf hinweisen kann, daß dies auf Anweisung „von oben“ gemacht wurde.

Wenn in der Firma 10 oder mehr Mitarbeiter (auch Aushilfen oder Teilzeit) mit der automatischen Erfassung von persönlichen Daten zu tun haben, dann ist die Firma verpflichtet einen (externen) Datenschutzbeauftragten zu beschäftigen, der dann u.a. für genau diese Punkte zuständig wäre.

Macht er sich neben dem GF auch strafbar? Wenn ja, welches
Delikt? Er befolgt schließlich nur eine Weisung und riskiert
letztendlich seinen Arbeitsplatz, wenn er sich widersetzt.

An seiner Stelle würde ich zunächst eine schriftliche Anweisung verlangen.
Er sollte auf jeden Fall mit seinen Vorgesetzten sprechen, daß dieses Vorgehen gegen das Bundesdatenschutzgesetz verstößt.
Warum soll denn diese Überwachungsmöglichkeit eingestellt werden? Gibt es konkrete Verdachtsmomente gegen einen bestimmten Mitarbeiter?

Viele Grüße
Robert

herrmann_59614f · 29. April 2009 um 19:34

Der Admin sollte den GF auf jeden Fall darauf hinweisen, daß
diese Vorgehensweise eindeutig gegen das
Bundesdatenschutzgesetz verstößt

Kannst du das näher erläutern? Laut Zweckbestimmung des BDSG dient dieses dem Schutz Einzelner im Umgang mit persönlichen Daten. Bei der Überwachung von Bildschirmtätigkeiten fallen solche aber i. d. R. nicht an.

Gruß

Thunderbirdy · 29. April 2009 um 20:37

Hallo,

Kannst du das näher erläutern? Laut Zweckbestimmung des BDSG
dient dieses dem Schutz Einzelner im Umgang mit persönlichen
Daten. Bei der Überwachung von Bildschirmtätigkeiten fallen
solche aber i. d. R. nicht an.

Ja, auch wenn das Thema ziemlich komplex ist, da es noch weitere Punkte zu berücksichtigen gäbe, daher auch die Frage, nach dem Grund der Überwachung, der Firmengröße und ob es einen Betriebsrat gibt.

Zu den Einzelnen gehört jeder Einzelne von uns, also auch jeder Mitarbeiter, der dann überwacht würde.

§4, Abs.1 BDSG:
(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

sowie

§4a BDSG:
(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.

Durch die Überwachung ließe sich ein ziemlich gutes Tätigkeitsprofil erstellen sowie die Leistung des Überwachten präzise messen. Wann er mit wem und worüber per Mail kommuniziert. Vielleicht kommen auch private Mails an oder er schreibt private Mails, in denen es u.U. auch um personenbezogene Daten Dritter geht, die so dem GF und dem Admin zugänglich würden.
Hier muss auch noch geklärt sein, ob die private Nutzung generell erlaubt oder verboten ist.

Viele Grüße
Robert

theholygrail · 30. April 2009 um 17:39

Dann zunächt noch ein paar Fragen:

Wie groß ist die Firma (Mitarbeiter)?
Gibt es einen Betriebsrat?
Hat die Firma einen Datenschutzbeauftragten?

nehmen wir mal 100 MA an, keinen Betriebsrat, Datenschutzbeauftragter ist ein interner MA, der die Aufgabe aber auch nur auf dem Papier ausfüllt.

Grund: GF will schauen, ob die MA auch arbeiten.

Grüße

Holygrail

Thunderbirdy · 30. April 2009 um 18:28

Hallo Holygrail,

nehmen wir mal 100 MA an, keinen Betriebsrat,
Datenschutzbeauftragter ist ein interner MA, der die Aufgabe
aber auch nur auf dem Papier ausfüllt.

Das ist eigentlich ein Paradefall für den Datenschutzbeauftragten. Daß der DSB auch richtig arbeitet liegt auch im Interesse des Betriebs, da ansonsten ein Verstoß vorliegt.

§4f Abs. 2, BDSG:

(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. (…)

und weiter in

$4f Abs. 3, BDSG:

(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. (…)

Hierin ist zu sehen, daß der DSB neben der Fachkunde auch ein gewisses Maß an Zuverlässigkeit besitzen muss. Hierzu zählt aber auch, daß er seine Aufgaben ernst nimmt und sich auch dessen bewußt ist, daß er NICHT weisungsgebunden gegenüber der Geschäftsführung ist, so daß er in diesem Punkt auch konträr handeln darf und sogar muss.

Er hat auch die Möglichkeit sich an seine zuständige Aufsichtsbehörde mit der Bitte um Unterstützung zu wenden.

§4g. Abs.1 BDSG:

(1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. Er kann die Beratung nach § 38 Abs. 1 Satz 2 in Anspruch nehmen

Grund: GF will schauen, ob die MA auch arbeiten.

Das war ja eigentlich zu erwarten.
Hat er aus den Überwachungen bei der Bahn und bei Lidl nichts gelernt?

Hat er denn Grund zur Annahme, daß seine Angestellten im Dienst andere Dinge tun, als zu arbeiten? Wenn es einen konkreten Verdacht gibt, dann kann es im EINZELFALL etwas anders aussehen.

An Stelle des Admins würde ich ein Gespräch mit dem Datenschutzbeauftragten suchen und der sollte sich im Zweifelsfall vertrauensvoll an seine Aufsichtsbehörde wenden und um Unterstützung bitten.

viele Grüße
Robert

Thunderbirdy · 30. April 2009 um 19:02

sorry… hatte etwas zu früh abgeschickt.

Neben dem BDSG gibt es noch weitere Gesetze, die hier zutreffen würden.

z.B.

Bildschirmarbeitsverordnung, Anhang Ziffer 22:
Ohne Wissen der Benutzer darf keine Vorrichtung zur qualitativen oder quantitativen Kontrolle verwendet werden.