Kenntnis von Gehaltsdaten durch Unbefugte

Ein Betriebsrat selbst reichte eine Beschwerde bei der Aufsichtsbehörde über das Verhalten einer Führungskraft ein. Diese hatte im Rahmen einer Gesprächsrunde mit Schichtleitern, Teamleitern und Disponenten eine Excel-Liste über alle Beschäftigten einschließlich der Dauer ihrer Betriebszugehörigkeit und ihrer jeweiligen Gehaltsdaten präsentiert, um gemeinsam zu prüfen, ob einzelnen Beschäftigten ein Angebot zur Aufhebung des Arbeitsverhältnisses unterbreitet werden könne.

Der verantwortliche Arbeitgeber hat bei der Verarbeitung von Gehaltsdaten sicherzustellen, dass die Sicherheit der Verarbeitung und insbesondere die Vertraulichkeit der Informationen gewährleistet sind.

Hierzu zählt u. a. auch ein entsprechendes Berechtigungskonzept, das den Zugriff auf vertrauliche Personaldaten einschränkt. Des Weiteren sind Maßnahmen zu treffen, die einen unbefugten Zugriff oder eine Offenlegung von personenbezogenen Daten der Beschäftigten gegenüber Unberechtigten verhindern.

Im Rahmen der erfolgten Prüfung wurde vom Geschäftsführer zwar eingeräumt, dass die erfolgte Offenlegung der Gehaltsdaten für das Gespräch mit Schichtleitern, Teamleitern und Disponenten nicht erforderlich war und somit einen datenschutzrechtlichen Verstoß darstellt, diese Offenlegung allerdings so auch nicht geplant gewesen sei und es sich um ein Versehen handele.

Aufgrund der im Unternehmen geltenden Datenschutzrichtlinie und des dort enthaltenen Need-to-know-Prinzips wurde in der Vorbereitung der Gesprächsrunde von der verantwortlichen Führungskraft eine zweite Datei erstellt, in der das Gehalt explizit entfernt war. In der Sitzung wurde dann jedoch die falsche Datei geöffnet, was die Vortragende erst nach einigen Minuten merkte, da sie während der Präsentation mit dem Rücken zur Projektion stand.

Need-to-know-Prinzip: Jede(r) Beschäftigte darf nur auf solche Daten zugreifen können, die er zur Erfüllung seiner Aufgaben tatsächlich benötigt (Kenntnis nur bei Bedarf).

Nach Mitteilung des Geschäftsführers waren alle Gesprächsteilnehmer auf Vertraulichkeit verpflichtet, und es sei ansonsten im Unternehmen über entsprechende Nutzer-Accounts sichergestellt, dass jede(r) Beschäftigte personenbezogene Daten nur im Rahmen des eigenen Aufgabengebiets verarbeiten könne.

Der Vorfall wurde im Unternehmen als Anlass genommen, den Verursacher noch einmal zu sensibilisieren und im Falle von sensiblen Daten zukünftig für Präsentationen u. Ä. separate Ordner anzulegen, in denen sich entsprechend überarbeitete Dateien befinden. Darüber hinaus entschuldigte sich der Verursacher beim Betriebsrat und zahlreichen betroffenen Beschäftigten für die Offenlegung.

Quelle: ULD

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks