Forum: Offtopic Adressen von Mitarbeitern öffentlich zugänglich

Natürlich dürfen sensible Daten nur mit Login (Nutzername+Paßwort) 
abrufbar sein.
Bei einer Größe von 400 Mitarbeitern völlig unverständlich. 
IT-Sicherheit scheint da ein Fremdwort zu sein.

Wenn es dienstliche Telefonnummern/Adressen sind, vom Bauchgefühl ok. 
Bei privaten Daten, mal den Datenschutzbeauftragten melden, 
personenbezogene Daten die verloren gegangen sind/sein können ...

Oh, ein DSGVO-Verstoß...
Schon Anzeige gemacht?

Richtig, geht garnicht. Ihr müsst einen Datenschutzbeauftragten haben. 
Diesem sollte das umgehend gemeldet werden.

Ok. Danke euch erst mal. Ihr habt mich in meiner Meinung unterstützt und 
werde nochmals mit Cheffe sprechen.

Es sind keine dienstlichen Daten, sondern alles private.

Alex C. schrieb:
> Als Massnahme wurde jedoch lediglich die Entfernung des Links aus
> Google, welcher zu besagtem Dokument führt, getroffen (robots.txt).

Frag doch mal den, der das veranlasst hat, ob er auf seine Debitkarte 
auch die PIN draufschreibt und einen Hinweis für einen evtl. Dieb, diese 
PIN doch bitte nicht zu lesen?

Bei uns ist es übrigens so, dass jeder der Zugriff auf diese Daten hat, 
eine separate Erklärung zum Datenschutz unterschreiben musste.

Das geht Datenschutztechnisch sicherlich nicht.
Spätestens bei Adressen und Telefonnummern hört der Spaß auf.
Schliesslich darf z.B. der Chef keine privaten Mobilnummern erfragen, 
bzw.
man darf diese Information verweigern.
Wenn der Chef das für dienstliche Zwecke haben will, muss er ein 
Diensthandy für den MA anschaffen.

Bei uns in der Firma sind seit einiger Zeit auch Geburtstagslisten 
entfernt worden.
Das mag nach DSGVO richtig sein, finde ich aber etwas übertrieben.

Alex C. schrieb:
> Es sind keine dienstlichen Daten, sondern alles private.
Da sollten dann schon auch die Kontonummern für den Zahltag rein, dass 
das so eine richtig runde Sache ist.
[ironie off]

Es darf nicht mal eine Liste mit allen Namen in der Firma "öffentlich" 
augehängt werden, damit sich da jeder eintragen kann, der zur nächsten 
Skiausfahrt oder zum Abteilungsgrillfest kommt, ohne dass jeder Einzelne 
da ausdrücklich und nachweislich zugestimmt hat.

Markus M. schrieb:
> Ihr müsst einen Datenschutzbeauftragten haben. Diesem sollte das
> umgehend gemeldet werden.
Und wenn das nicht hilft, dann gibt es noch eine Behörde, die den 
Datenschutzbeauftragten sicher darauf hinweist, dass sowas nicht geht.

Stefan M. schrieb:
> Bei uns in der Firma sind seit einiger Zeit auch Geburtstagslisten
> entfernt worden.
> Das mag nach DSGVO richtig sein, finde ich aber etwas übertrieben.
Ja, das ist so ein "Überschwinger" in der Umsetzung... ;-)

Alex C. schrieb:
> Meiner Meinung nach haben solche Dokumente nichts auf einem Webserver zu
> suchen.

Wie sollen denn sonst die Sozial-Ingenieure an die Daten der wichtigen 
Mitarbeiter kommen? Kein Mitgefühl für die Betrüger?

Lothar M. schrieb:
> Ja, das ist so ein "Überschwinger" in der Umsetzung... ;-)

Nein, ist es nicht. Das Geburtsdatum des Opfers zu wissen, erleichtert 
den Identitätsdiebstahl.

So. Nun ist auch ein auffinden des Dokumentes per httrack nicht mehr 
möglich. Nach wie vor ist das Dokument jedoch über einen Link, den 
eigentlich nur Mitarbeitende kennen sollten, erreichbar.

Mir gefällt der Gedanke trotzdem nicht, auch wenn man den Link kennen 
muss, um an die Daten zu kommen.

Danke für eure Inputs.

Greetz
BB

>eigentlich
LOL

Seit wann halten sich eigentlich alle Robots an die .txt?
Seit wann vergisst das Netz irgendwas, was es vergessen soll?

So eine Datei darf nur mit Einwilligung der gelisteten überhaupt 
erstellt werden und muss unter Verschluss (verschlüsselt) aufbewahrt 
werden.
Sie darf nur einem seeeehr eng begrenzten MA-Kreis überhaupt zugänglich 
sein, z.B. der Lohnabteilung.

Jens M. schrieb:
>>eigentlich
> LOL
>
> Seit wann halten sich eigentlich alle Robots an die .txt?
> Seit wann vergisst das Netz irgendwas, was es vergessen soll?

Wem sagst du das. Tja. Vielleicht sind's bald nur noch 399 MA.

> So eine Datei darf nur mit Einwilligung der gelisteten überhaupt
> erstellt werden und muss unter Verschluss (verschlüsselt) aufbewahrt
> werden.
> Sie darf nur einem seeeehr eng begrenzten MA-Kreis überhaupt zugänglich
> sein, z.B. der Lohnabteilung.

Ich brauch wirklich Killerargumente, um diesbezüglich überhaupt angehört 
zu werden.

Alex C. schrieb:
> Es sind keine dienstlichen Daten, sondern alles private.

Private Daten sind nichtmal den Mitarbeitern zugänglich.
Mitarbeiter, die Homeoffice machen wollen, müssen zustimmen, daß ihre 
private Telefonnummer im Outlook erscheint.

Uhu U. schrieb:
> Nein, ist es nicht. Das Geburtsdatum des Opfers zu wissen, erleichtert
> den Identitätsdiebstahl.

Ja, bald rennen wir alle kopflos umher wie Jason Bourne und wissen nicht 
wer wir sind ;-)

Mal ehrlich, die Welt ist doch bereits verrückt.

Alex C. schrieb:
> Ich brauch wirklich Killerargumente, um diesbezüglich überhaupt angehört
> zu werden.

Genau wegen solcher merkbefreiten Idioten sind die Geldbußen bei 
Verstössen inzwischen so hochgesetzt worden. Sonst raffen die es einfach 
nicht.

Wenn der für die Firma zuständige Datenschutzbeauftragte damit kein 
Problem hat (was ich nicht glauben kann), sollte man einfach mal mit dem 
zuständigen Landesamt für DS sprechen.

>Ich brauch wirklich Killerargumente, um diesbezüglich überhaupt
>angehört zu werden.

Verstoß gegen Gesetze.

>Nach wie vor ist das Dokument jedoch über einen Link, den
>eigentlich nur Mitarbeitende kennen sollten, erreichbar.

Selbst das ist nicht zulässig.

Stefan M. schrieb:
>> Nein, ist es nicht. Das Geburtsdatum des Opfers zu wissen, erleichtert
>> den Identitätsdiebstahl.
>
> Ja, bald rennen wir alle kopflos umher wie Jason Bourne und wissen nicht
> wer wir sind ;-)

Geburtsdatum und Geburtsort gehören zu den wichtigsten 
Identitätsmerkmalen überhaupt, besonders in Kombination. Und im 
Unterschied zu Kreditkartennummern sind diese Merkmale nur schwer 
änderbar.

Lothar M. schrieb:
> Es darf nicht mal eine Liste mit allen Namen in der Firma "öffentlich"
> augehängt werden, damit sich da jeder eintragen kann, der zur nächsten
> Skiausfahrt oder zum Abteilungsgrillfest kommt, ohne dass jeder Einzelne
> da ausdrücklich und nachweislich zugestimmt hat.
>
Du meinst vermutlich das Richtige, aber die Formulierung ist 
missverständlich.
Es ist sicherlich kein Problem, eine Liste auszuhängen, auf der sich 
Mitarbeiter eintragen können  (so sie es denn wollen); diese Eintragung 
würde zugleich implizit das erforderliche Einverständnis erklären. Hier 
noch eine explizite Erklärung zu fordern wäre übertriebene Förmelei. Es 
bleibt, wenn man will, die Frage, ob Mitarbeiter das Recht haben 
sollten, sich "heimlich" anzumelden. Das aber ist ein anderes Problem, 
genau wie die Frage, ob man diese Heimlichtuer überhaupt dabei haben 
will [*].

Anders liegt der Fall freilich, wenn eine Liste aller in Frage kommenden 
Mitarbeiter ausgehängt wird und jeder ankreuzen soll, ob er mitmachen 
will oder nicht.

>
> Stefan M. schrieb:
>> Bei uns in der Firma sind seit einiger Zeit auch Geburtstagslisten
>> entfernt worden.
>> Das mag nach DSGVO richtig sein, finde ich aber etwas übertrieben.
> Ja, das ist so ein "Überschwinger" in der Umsetzung... ;-)

So übertrieben ist das zwar nicht, aber hierzulande ist es halt üblich, 
Jubilare ordentlich auftischen zu lassen. Ob der "Neue", der sich diesem 
Brauchtum widersetzt, auf Dauer einen guten Stand haben wird?

[*] Im Rahmen meiner Ausbildung musste ich an verschiedenen 
Lehrveranstaltungen teilnehmen, hinsichtlich derer Anmeldepflicht 
bestand. Die Listen hierfür lagen im Personalbüro aus.
Recht bald fiel mir auf dass in allen von mir besuchten Veranstaltungen 
eine bestimmte Kollegin aufschlug. Ich habe daraufhin die Listen nach 
meiner Eintragung weiter beobachtet, und siehe da: jedesmal hatte sich 
die Dame spätestens einen Tag nach mir eingetragen. Damals hätte ich mir 
die Möglichkeit einer verdeckten Eintragung gewünscht, zumal es sich um 
Wahlplichtveranstaltungen handelte.
(Ja, ich bin sie losgeworden!)

@ [*]


sicher, dass es nicht umgekehrt ablief?  ;)

Namaste

Percy N. schrieb:
> Du meinst vermutlich das Richtige, aber die Formulierung ist
> missverständlich.
Richtig.
Gemeint war statt "sich da jeder eintragen kann, der" sowas wie "da 
jeder ankreuzen kann, ob er", dann lautet wie vermutet der Satz korrekt:

1

Es darf nicht mal eine Liste mit allen Namen in der Firma "öffentlich"

2

augehängt werden, damit da jeder ankreuzen kann, ob er zur nächsten

3

Skiausfahrt oder zum Abteilungsgrillfest kommt, ohne dass jeder Einzelne

4

da ausdrücklich und nachweislich zugestimmt hat.

Wird eine leere Liste aufgehängt, dann kann ja jeder entscheiden, ob er 
sich da einträgt.

Lothar M. schrieb:
> Wird eine leere Liste aufgehängt, dann kann ja jeder entscheiden, ob er
> sich da einträgt.

Und was, wenn ein Fremder ohne Wissen des Betroffenen den einträgt?

Uhu U. schrieb:
> Und was, wenn ein Fremder ohne Wissen des Betroffenen den einträgt?
Dann hat der "Einträger" gegen die Datenschutzverordnung verstoßen.
Aber eben nicht derjenige, der die Liste aufgehängt hat.

Oder andersrum: sogar, wenn ich mich persönlich bei der Azubine, die 
mich nicht kennt, zur Skiausfahrt anmelde, und  "Dieter Mayer" sage, 
dann schreibt die das auch ungefragt in die Liste.
Sinnvollerweise sollte sie dann zwingend noch eine Anzahlung des 
Eigenanteils kassieren. Das legt die Hemmschwelle für so einen Blödsinn 
ein wenig höher...  ;-)

Winfried J. schrieb im Beitraög #5948711:
> @ [*]
>
>
> sicher, dass es nicht umgekehrt ablief?  ;)
>

Leider ja.
Zu Anfang fand ich es noch amüsant (es gab hinreichend andere 
Kolleginnen, die nett genug waren, um die Kaffeepause mit ihnen zu 
verbringen), aber die Anrufe am Arbeitsplatz waren nervig, und das nicht 
nur für mich. Seitdem ist mir klar, dass die Übergänge zum Stalking 
fließend sind, auch wenn das damals noch nicht so genannt wurde.

Was mir in diesem Zusammenhang gerade einfällt:
Wie verbreitet ist eigentlich derzeit die Form kollektiver Erpressung, 
bei der kurz vor einem individuell möglicherweise bedeutenden Ereignis 
eine Namensliste umläuft, auf der jeder seine "Kontribution" zur 
demnächst stattzuhabenden Feier (Jubiläum, Hochzeit, Bat Mitzwah der 
Nichte, Niederkunft des Goldhamsters ...) eintragen soll?

Uhu U. schrieb:
> Lothar M. schrieb:
>> Wird eine leere Liste aufgehängt, dann kann ja jeder entscheiden, ob er
>> sich da einträgt.
>
> Und was, wenn ein Fremder ohne Wissen des Betroffenen den einträgt?

Was ist, wenn jemand an die Klotür eddingt "Carola Meyer (PersAbt) hat 
von Tuten und Blasen voll die Ahnung Tel 089-555-1234" ?

Percy N. schrieb:
> Was ist, wenn jemand an die Klotür eddingt

1. ist ein Schwarzes Brett keine Klotüre und
2. sind solche Listen zum Eintragen am Schwarzen Brett offensichtlich
   nicht ganz unproblematisch…

Uhu U. schrieb:
> 1. ist ein Schwarzes Brett keine Klotüre und

2. sind die meisten schwarzen Bretter weiß.

Uhu U. schrieb:

> 2. sind solche Listen zum Eintragen am Schwarzen Brett offensichtlich
>    nicht ganz unproblematisch…

Solche Listen sind überhaupt problematisch.

In meinem gesamten mittlerweile beendeten Berufsleben waren mir nur die 
Adressen derjenigen Kollegen bekannt, mit denen Einladungen ausgetauscht 
wurden, das Gleiche bzgl Telefonnummern.

Einzige Ausnahme: Ein Studentenjob, bei dem ich morgens um zwei Uhr 
Leute für einen Notfalleinsatz aus dem Bett klingeln musste. Und selbst 
dort hatten nur diejenigen Zugriff auf die Daten, die diese unbedingt 
brauchten: Der, der anrief, kannte die Nummer, der,  der hinfuhr, bekam 
die Adresse, jeweils auf einem Zettelchen vom Schichtleiter.
Gut, Standort des Fahrers und Zieladresse gingen dabei auch über öbL, 
aber (zumeist ...) ohne Namen.

Zur Zeit lässt sich schön beobachten, wie sorgfältig die Leute ihre 
Personalien hüten (und wie sehr die Arbeitgeber darauf pfeifen).

Schon länger wirbt die Hamburger Sparkasse mit dem Slogan "Meine Bank 
heißt Haspa". Seit einiger Zeit findet man an jeder Filiale 
Fensterdekorationen des Inhaltes "Meine Bank heißt Dieter", "Meine Bank 
heißt Klara" usw. Damit jeder weiß, wer gemeint ist, finden sich im 
inneren des Lokals weitere entsprechende Schildchen, diesmal mit vollem 
Namen. Die Mitarbeiter selbst sind natürlich auch vollständig 
"ausgezeichnet".

Übertrieben hat es dm,  bei diesem Verrückten konnte man an Mitarbeitern 
zB lesen "Carola Schneider, 3. Lehrjahr". Inzwischen hat man dort längst 
zu "Martha Meyer, Lernling [sic!]" zurückgefunden.

Bei Lidl hingegen haben sich die Mitarbeiter erfolgreich dagegen 
gewehrt, Schilder mit vollem Namen zu tragen; und manche Rebellen 
verstecken sich dort gern immer noch in der Anonymität.

Anders im Taxi: dort ist häufig vorgeschrieben, dass ein Schild mit 
Namen und Lichtbild des Fahrers im Sichtbereich des Fahrgastes 
angebracht sein muss. Manche Droschkenkutscher scheinen eine sehr hohe 
Meinung von der Sehkräfte ihrer Passagiere zu haben  ...

Bei sächsischen Polizisten ist es freilich egal, die heißen gern schon 
mal alle "Uwe Böhnhardt".  De gustibus non est disputandum.