patz223
Goto Top

Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten?

Hallo zusammen,

ich frage mich nun schon lange, wie man grundsätzlich vorgehen sollte, wenn ein Mitarbeiter die Firma verlässt.

Szenario 1:

Michael Schmidt hat den Usernamen im AD: mschmidt01

Michael Schmidt verlässt die Firma auf Dauer -> ich deaktiviere das AD Konto - nach einem Monat lösche ich das AD Konto.

Ein neuer Mitarbeiter (ein anderer Michael Schmidt) fängt ein halbes Jahr später in der Firma an -> ich kann nun den Usernamen mschmidt01 wieder vergeben und tue das auch, da ich nicht mehr weiß (bzw. die Kollegen in der IT), dass es diesen User schon mal gab.

Also haben wir nun wieder einen mschmidt01 im AD - es ist eine völlig andere Person und jetzt geht das rätseln los:

- ECM System (elektronisches Dokumentenmanagement)
- ERP System
- alle anderen Systeme, wo benutzerbezogen gearbeitet wird

In allen Systemen hat Michael Schmidt "mschmidt01" Änderungen an Dokumenten, Einträgen durchgeführt. Jetzt kommt eine Prüfung und sieht "ahh, da hat Michael Schmidt mschmidt01" eine falsche Eingabe im ERP System veranlasst und bspw. die Inventur unbrauchbar gemacht.
Da es aber mittlerweile den neuen Herrn Michael Schmidt mit dem Usernamen mschmidt01 gibt, bekommt er Probleme und den Ärger, obwohl er nicht daran schuld ist und noch nie im System eingeloggt war.

Und jetzt meine Frage: Ist es für die spätere Rückverfolgbarkeit von Prozessen und für die Historie nicht irgendwo fatal, einen Usernamen ein zweites Mal zu vergeben?

Klar hat man noch irgendwo die SID, aber der Username ist eigentlich schon ein Kennzeichen für solche Änderungen.

Vielleicht versteht ihr mein Anliegen und könnt mir Erfahrungswerte mit auf den Weg geben. Ich höre oft, dass andere IT Abteilungen ihre AD User bei Wegfall löschen, da sonst irgendwann 200 deaktivierte User im AD rumschwirren.

Gruß
Peter

Content-ID: 323027

Url: https://administrator.de/contentid/323027

Ausgedruckt am: 26.11.2024 um 03:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 06.12.2016 um 22:46:11 Uhr
Goto Top
Wenn das wichtig ist nimmt man neue Benutzernamen und die alten deaktiviert man nur und löscht sie nicht.

lks
danielr1996
danielr1996 06.12.2016 um 22:54:42 Uhr
Goto Top
Bei uns (2200 Mitarbeiter) werden Benutzernamen nur einmal vergeben, ich bin mittlerweile der 42 mit meinem Namen. Viele Anwendungen (vorallemem eigene Tools) verlassen sich ja auch allein auf den Benutzernamen und nicht auf die SID
emeriks
emeriks 06.12.2016 um 22:59:58 Uhr
Goto Top
Hi,
schlechte Software betrachtet nur Namen. Namen sind nur Schall und Rauch.
Gute Software betrachtet eindeutige Identifikationsmerkmale. Wenn so eine gute Software also auf AD-Konten zurückgreift, dann kann sie diese immer auseinanderhalten, auch wenn der Name sich ändert oder mal ein neues Konto mit dem gleichen Namen eines alten Kontos kommt. So ein Merkmal wäre die objectSID oder noch besser die objectGUID.

Bedenke Namensänderungen ohne Mitarbeiteraustritt.
Petra Müller hat Konto Domäne\MuellerP
Petra heiratet und heißt jetzt Petra Schneider.
Eifrige Admin ändern jetzt häufig nicht nur die Nachnamen und Anzeigenamen sondern oft auch die Loginnamen. Also jetzt Domäne\SchneiderP.
Nächstes Jahr fängt Paul Müller in der Firma an und bekommt Domäne\MuellerP

E.
Pjordorf
Pjordorf 06.12.2016 um 23:06:49 Uhr
Goto Top
Hallo,

Zitat von @patz223:
ich frage mich nun schon lange, wie man grundsätzlich vorgehen sollte, wenn ein Mitarbeiter die Firma verlässt.
Grundsätzlich gibt es da keine generelle Regelung oder Vorgaben. Dein GF, der Bertriebsrat, der Personalmanager, der Abteilungsleiter usw haben da alle ihre vorstellungen wie man das macht. Auch das wie häufig ist tels relevant um eine euch angepasste Vorgehensweise zu finden. Die Position des Mitarbeiters im Unternehmen und sein eventueller Außenauftritt sollte auch beachtet werden. Es ist was anderes ob der Verkaufsleiter des Unternehmens wechselt und mit den/die neuen gibt es Namneskürzel gleicheit oder ob ein CNC Dreher ghet bzw. kommt. Sprich das mit den entscheidungstträgern durch bzw. veranlasse das eine Firmenrichtline erstellt wird. Dann gibt es keine Fragen und du kannst entsprechend handeln. Das was ein Unternehmen für sich als gut empfindet muss bei euch ganz und gar nicht passen. Wenn du wirklich erwartest das du von uns Zielführende vorschläge hören willst, solltest du die Firmenchonik, eure Strukturen, Positionen, Hierachie und blick in die Zukunft erzählen, dann können wir uns ein Bild machen wie es bei euch läuft und daraus dann vielleicht ein Konzept erstellen was bei euch sinvoll sein kann. Vielleicht brauchst du eine Vorgehensweise ala Bosch, oder Siemens oder Audi. Vielleicht reicht auch System ala Johaniter Unfall Hilfe oder der Stadtwerke Gelsenkirchen oder oder vom Autohaus Feuerland aus Ostfriesland.

ich deaktiviere das AD Konto - nach einem Monat lösche ich das AD Konto.
Wer hat dir erlaubt Daten zu löschen? Nur weil du ein Admin bist?

ich kann nun den Usernamen mschmidt01 wieder vergeben und tue das auch
Ich frag mich schon die gnaze Zeit wieviel Übereinstimmungen bzw. überschneidungen ihr habt wenn iht jeden Name max. 01 - 99 mal haben könnt?

da ich nicht mehr weiß (bzw. die Kollegen in der IT), dass es diesen User schon mal gab.
Dannm hat euer Personaler kein Dokumentation oder gar ein Archivsystem, und sei es alte Excel Blätter. Un d du anscheinend auch nicht neben euerer hohe Fluktationsrate wenn du nach 4 Wochen es nicht wissen tust...

Also haben wir nun wieder einen mschmidt01 im AD - es ist eine völlig andere Person und jetzt geht das rätseln los:
Ein AD zu Verwalten hat wenig mit Adenauer zu tun - was interessiert mich mein geschwätz von gestern...
Mach doch eine OU für die ehemaligen. Allerdings kannst du dann nicht je nach deine Struktur die Namenskürzel wieder verwenden, so gibt es dann niemals die Frage wer war jetzt damit gemeneint.

Vielleicht versteht ihr mein Anliegen und könnt mir Erfahrungswerte mit auf den Weg geben
Wie groß / klein ist denn eure Firma bzw. wie viele Benutzer im AD?
Wie oft geht jemand?
Wie oft gab es Namenskürzel konflickte?

Gruß,
Peter
Spirit-of-Eli
Spirit-of-Eli 07.12.2016 aktualisiert um 01:55:22 Uhr
Goto Top
Das ist ein Datenbank Thema, welches ein Azubi im ersten Lehrjahr schon mitbekommt. Quasi in die Wiege gelegt.

Datensätze löschen mögen die meisten Datenbanken nicht.

Einzige die Verweise im Headend würde ich löschen, denn sonst passieren Dinge wie die Zuweisung in der CTI landen bei urmelalten Einträgen.
Lochkartenstanzer
Lochkartenstanzer 07.12.2016 um 05:42:10 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

..., welches ein Azubi im ersten Lehrjahr schon mitbekommt. ...

und

Datensätze löschen mögen die meisten Datenbanken nicht.

Passen nicht zusammen.

Natürlich kann man in den meisten Datenbanken Datensätze löschen. Man darf nur nicht eindeutige Schlüssel wiederverwenden.

lks
Spirit-of-Eli
Spirit-of-Eli 07.12.2016 um 05:53:13 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Spirit-of-Eli:

..., welches ein Azubi im ersten Lehrjahr schon mitbekommt. ...

und

Datensätze löschen mögen die meisten Datenbanken nicht.

Passen nicht zusammen.

Natürlich kann man in den meisten Datenbanken Datensätze löschen. Man darf nur nicht eindeutige Schlüssel wiederverwenden.

lks
Ja darauf wollte ich hinaus, Sorry
Sil3nz3r
Sil3nz3r 07.12.2016 um 07:01:42 Uhr
Goto Top
Hallo Peter,

Du müsstest doch irgendwo Dokumentiert haben wann der Mitarbeiter (also Schmidt 2.0) in dein Unternehmen gekommen ist, oder?
Solange dass berücksichtigt wird kann ihm auch keiner etwas anhängen was er gar nicht gemacht hat.

Gruß
Flo
Lochkartenstanzer
Lochkartenstanzer 07.12.2016 um 07:04:11 Uhr
Goto Top
Zitat von @Sil3nz3r:

Solange dass berücksichtigt wird kann ihm auch keiner etwas anhängen was er gar nicht gemacht hat.


Aber nur solange ordentliche Zeitstempel protokolliert werden und nchtveinfach nur mitgeschrieben wird, wer als letztes dran rumgefummelt hat.

lks
xbast1x
xbast1x 07.12.2016 um 07:58:27 Uhr
Goto Top
Wir vergeben Usernamen grundsätzlich nur einmalig. Jedes vergebene Kürzel wird nochmal in einer Excel Liste notiert (so wünscht es der BR), was mir aber auch keine Arbeit bereitet. Somit weiß ich welches Kürzel im Zweifel bereits vergeben ist.
itisnapanto
itisnapanto 07.12.2016 um 08:38:52 Uhr
Goto Top
Wir halten das auch recht einfach .

Verläßt ein Mitarbeiter das Unternehmen wird sein Konto deaktiviert und in einen Ordner "Deaktiviert" verschoben .
Gelöscht werden die bei uns aktuell nicht . Es kann ja sein das der Mitarbeiter nochmal wieder kommt .
Lediglich das Exchange Konto wird nach ner Zeit archiviert und ausgelagert vom Produktivsystem.

Und wie schon bei den anderen, werden bei uns Namen kein zweites mal verwendet .

Gruss
Lochkartenstanzer
Lochkartenstanzer 07.12.2016 um 08:46:00 Uhr
Goto Top
Zitat von @itisnapanto:

Und wie schon bei den anderen, werden bei uns Namen kein zweites mal verwendet .


Es gibt in manchen Firmen "generische" accounts wie lager, vertrieb, buchhaltung. Da ist der Accoutn aber nicht an die person, sondern an die Funktion gebunden.

lks
itisnapanto
itisnapanto 07.12.2016 um 09:38:13 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @itisnapanto:

Und wie schon bei den anderen, werden bei uns Namen kein zweites mal verwendet .


Es gibt in manchen Firmen "generische" accounts wie lager, vertrieb, buchhaltung. Da ist der Accoutn aber nicht an die person, sondern an die Funktion gebunden.

lks

Joa . Muss ja jeder selbst schauen wie er es hält. Wir haben es alleine schon wegen ERP Personenbezogen.
Die oben beschriebene Variante ist ja eher die Quick&Dirty Variante face-smile
Lochkartenstanzer
Lochkartenstanzer 07.12.2016 um 09:41:55 Uhr
Goto Top
Zitat von @itisnapanto:

Joa . Muss ja jeder selbst schauen wie er es hält. Wir haben es alleine schon wegen ERP Personenbezogen.
Die oben beschriebene Variante ist ja eher die Quick&Dirty Variante face-smile

Aber bei bestimmten Vorgängen, z.B beim Lager/Versand manchmal die praktikablere, weil die halbes Dutzend lagermitarbeiter ab und wiederanmelden müssen, wenn da dauernd Ware komtm oder verladen wird. face-smile

lks
Holle1991
Holle1991 07.12.2016 um 09:47:04 Uhr
Goto Top
Wir benutzen nur Zahlen als Accounts und diese sind alle eindeutig. Das ist auch ein Thema, welches man bei Einrichtung von Konten betrachten sollte. Ob was bei uns gelöscht wird, weiß ich nicht. Ich gehe aber stark davon aus, dass nichts gelöscht, sondern nur deaktiviert wird. Sollte dem User die Zahlenkennung zu mühsam sein, könnt ihr ja immer noch den E-Mail Login einrichten.
itisnapanto
itisnapanto 07.12.2016 um 09:57:07 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @itisnapanto:

Joa . Muss ja jeder selbst schauen wie er es hält. Wir haben es alleine schon wegen ERP Personenbezogen.
Die oben beschriebene Variante ist ja eher die Quick&Dirty Variante face-smile

Aber bei bestimmten Vorgängen, z.B beim Lager/Versand manchmal die praktikablere, weil die halbes Dutzend lagermitarbeiter ab und wiederanmelden müssen, wenn da dauernd Ware komtm oder verladen wird. face-smile

lks

ja ok da stimme ich zu . Dort macht es in der Tat dann Sinn face-smile
VoSp2016
VoSp2016 07.12.2016 um 10:08:21 Uhr
Goto Top
Hallo zusammen,

aus meiner Sicht ist das nun wirklich kein IT Thema. Die Personalabteilung hat dafür zu sorgen das es Aufzeichnungen gibt über Zu- und Abgänge beim Personal.
Eine falsche Eingabe im ERP System hat auch immer einen Zeitstempel, an dem kann dann festgemacht werden welcher mschmidt dafür verantwortlich war.

Selbstverständlich werden ausgeschiedene User, deren persönliche Daten und Email Postfächer gelöscht. Wenn private Email Nutzung nicht explizit verboten ist und dieses Verbot auch tatsächlich kontrolliert wird, müssen die Daten sogar gelöscht werden. ODer der user wird bei Abgang explizit gefragt ob die Daten behalten werden dürfen.

Wenn nun ein zweiter mschmidt kommt kann der Name selbstverständlich ein zweites mal vergeben werden. Es kann nicht Aufgabe der IT sein, Personaldaten aufzubewaren.

Mfg

VoSp
Sil3nz3r
Sil3nz3r 07.12.2016 um 10:34:15 Uhr
Goto Top
Hallo VoSp,

aus meiner Sicht ist das nun wirklich kein IT Thema. Die Personalabteilung hat dafür zu sorgen das es Aufzeichnungen gibt über Zu- und Abgänge beim Personal.
mMn. ist das sehr wohl ein Thema für die IT. Wie oben beschrieben geht es hier ja nicht um den Namen an sich, sonder um die Bezüge des AD und die Abhängigkeiten von Programmen. Immerhin legt die IT-Abteilung (denk ich mal) das AD-Konto, das Exchange-Postfach, etc. an.
Auch sollten E-Mails an ihn, welche nach dem ausscheiden eines Mitarbeiters, noch in seinem Postfach landen. (sie können ja danach automatisch weitergeleitet werden)

Selbstverständlich werden ausgeschiedene User, deren persönliche Daten und Email Postfächer gelöscht.
Solche Sachen wie Internetverlauf müssen sogar gespeichert werden, was ein komplettes löschen des Benutzers unmöglich macht.

Wenn private Email Nutzung nicht explizit verboten ist und dieses Verbot auch tatsächlich kontrolliert wird, müssen die Daten sogar gelöscht werden. ODer der user wird bei Abgang explizit gefragt ob die Daten behalten werden dürfen.
Deswegen wird ihm ja auch eine Enverständniserklärung und eine Nutzungsbedingung beim Eintritt ins Unternehmen zum unterschreiben gegeben.

Wenn nun ein zweiter mschmidt kommt kann der Name selbstverständlich ein zweites mal vergeben werden.
und nach dem 20ten Max Müller hat man den überblick komplett verloren....

Es kann nicht Aufgabe der IT sein, Personaldaten aufzubewaren.
es kann nicht .... es sollte sogar die Aufgabe der IT sein (nicht falsch verstehen, so etwas wie Bankleitzahl des Mitarbeiters oder Wohnort natürlich nicht, aber Internetverlauf, Änderungen an Dateien, Ordnerfreigaben bzw. Bearbeitungsrechte etc. schon.)

Mit freundlichen Grüßen

VoSp
Gruß
Flo
Penny.Cilin
Penny.Cilin 07.12.2016 um 10:40:10 Uhr
Goto Top
Moin,

man sollte vielleicht auch berücksichtigen, daß Daten unter Umständen länger aufbewahrt werden müssen.
In Folge dessen, würde ich eine spezielle OU erstellen, wo die ausgeschiedenen Mitarbeiter verschoben werden.
Zudem würde ich die Daten auf dem Fileserver archivieren. Gegebenenfalls auch den Rechner, welcher die Person genutzt hat.

Damit ist man auf der sicheren Seite.

ich hatte in der Vergangenheit schon mehrfach Fälle, wo man die Daten von ausgeschiedenen Personen benötigt hat,
wo die Daten auch schon mal 5 Jahre alt waren.

Nur so am Rande:
Es gibt gesetzliche Regelungen bzgl. Aufbewahrungsfristen.
Steuerrelevante Daten sind 30 Jahre aufzubewahren.


Gruss Penny
VoSp2016
VoSp2016 07.12.2016 um 10:57:18 Uhr
Goto Top
Zitat von @Sil3nz3r:

Hallo VoSp,


Also da sind wir tatsächlich vollkommen unterschiedlicher Meinung. face-smile

aus meiner Sicht ist das nun wirklich kein IT Thema. Die Personalabteilung hat dafür zu sorgen das es Aufzeichnungen gibt über Zu- und Abgänge beim Personal.
mMn. ist das sehr wohl ein Thema für die IT. Wie oben beschrieben geht es hier ja nicht um den Namen an sich, sonder um die Bezüge des AD und die Abhängigkeiten von Programmen. Immerhin legt die IT-Abteilung (denk ich mal) das AD-Konto, das Exchange-Postfach, etc. an.
Auch sollten E-Mails an ihn, welche nach dem ausscheiden eines Mitarbeiters, noch in seinem Postfach landen. (sie können ja danach automatisch weitergeleitet werden)

Auch das ist rechtlich ein zweischneidiges Schwert, externe können ja nicht wissen das Ihr die private Email Nutzung verboten habt, deshalb können private Emails an dem Postfach ankommen! Besser ist die Löschung des Postfachs und ein Autoresponder der den Mitarbeiter benennt der nun angeschrieben werden kann.

Selbstverständlich werden ausgeschiedene User, deren persönliche Daten und Email Postfächer gelöscht.
Solche Sachen wie Internetverlauf müssen sogar gespeichert werden, was ein komplettes löschen des Benutzers unmöglich macht.

Das höre ich zum ersten mal, auf welcher Grundlage behauptest Du denn das?

Wenn private Email Nutzung nicht explizit verboten ist und dieses Verbot auch tatsächlich kontrolliert wird, müssen die Daten sogar gelöscht werden. ODer der user wird bei Abgang explizit gefragt ob die Daten behalten werden dürfen.
Deswegen wird ihm ja auch eine Enverständniserklärung und eine Nutzungsbedingung beim Eintritt ins Unternehmen zum unterschreiben gegeben.

Wenn nun ein zweiter mschmidt kommt kann der Name selbstverständlich ein zweites mal vergeben werden.
und nach dem 20ten Max Müller hat man den überblick komplett verloren....

Was für ein Überblick? Ich habe keinen 20ten Max Müller, sondern nur den der gerade jetzt für das Unternehmen arbeitet. Mitarbeiter werden nach Personalnummern auseinander gehalten und das ist Aufgabe der Perso.

Es kann nicht Aufgabe der IT sein, Personaldaten aufzubewaren.
es kann nicht .... es sollte sogar die Aufgabe der IT sein (nicht falsch verstehen, so etwas wie Bankleitzahl des Mitarbeiters oder Wohnort natürlich nicht, aber Internetverlauf, Änderungen an Dateien, Ordnerfreigaben bzw. Bearbeitungsrechte etc. schon.)

Natürlich! Aber nur solange die Person auch für das Unternehmen arbeitet! Was Du benennst sind auch keine Personaldaten. Name des Mitarbeiter, wann er in das Unternehmen ein- und ausgetreten ist hingegen schon. Und die gehören in die Perso.

Mit freundlichen Grüßen

VoSp
Gruß
Flo
VoSp2016
VoSp2016 07.12.2016 um 11:06:52 Uhr
Goto Top
Zitat von @Penny.Cilin:

Moin,

man sollte vielleicht auch berücksichtigen, daß Daten unter Umständen länger aufbewahrt werden müssen.
In Folge dessen, würde ich eine spezielle OU erstellen, wo die ausgeschiedenen Mitarbeiter verschoben werden.
Zudem würde ich die Daten auf dem Fileserver archivieren. Gegebenenfalls auch den Rechner, welcher die Person genutzt hat.

Ich glaube wir reden aneinander vorbei... Was habe denn die Daten des Unternehmens mit dem User zu tun? Selbstverständlich sind manche Daten zu archivieren. Ob das elektronisch passieren muss steht noch auf einen anderen Blatt. Aber das hat nichts mit Useraccounts in der AD zu tun!

Damit ist man auf der sicheren Seite.

Das würde ich mal mit Euren Datenschützern und einem Rechtsanwalt besprechen. face-smile Wir versuchen das hier schon seit Monaten zu klären. Leider gibt es in Deutschland noch keine eindeutige Rechtssprechung so das man im Moment, aus Datenschutzsicht keine "sichere Seite" gibt.

ich hatte in der Vergangenheit schon mehrfach Fälle, wo man die Daten von ausgeschiedenen Personen benötigt hat,
wo die Daten auch schon mal 5 Jahre alt waren.

Das Du die Daten benötigst heißt ja nicht das Du Sie einfach speichern darfst!

Nur so am Rande:
Es gibt gesetzliche Regelungen bzgl. Aufbewahrungsfristen.
Steuerrelevante Daten sind 30 Jahre aufzubewahren.

Auch hier: Sicher müssen Daten aufbewahrt werden, das hat aber nichts mit dem löschen von Usern zu tun. Wenn Deine User steuerrechtlich relevante Daten in Ihrem Postfach oder Ihrem persönlichem Ordner haben, dann läuft etwas richtig schief.

Gruss Penny

Mir ist ja klar das es aus pragmatischen Gründen super ist einfach mal alles zu speichern. Aber ich denke wir müssen den Gedanken zum Datenschutz und zur Datensparsamkeit ein bisschen mehr in den Fokus rücken. ;)

Mfg

VoSp
Sil3nz3r
Sil3nz3r 07.12.2016 um 11:25:57 Uhr
Goto Top
Zitat von @VoSp2016:

Zitat von @Sil3nz3r:

Hallo VoSp,


Also da sind wir tatsächlich vollkommen unterschiedlicher Meinung. face-smile
möchtest du da etwa eine Diskussion anregen? face-smile

Besser ist die Löschung des Postfachs und ein Autoresponder der den Mitarbeiter benennt
der nun angeschrieben werden kann.
Ansichtssache

Das höre ich zum ersten mal, auf welcher Grundlage behauptest Du denn das?
zugegeben, müssen tut man gar nichts...jedoch ist es ziemlich fahrlässig wenn man es nicht macht. (falls doch mal was sein sollte)
Kannst du hier nachlesen.

[...] externe können ja nicht wissen das Ihr die private Email Nutzung verboten habt, [...]
Wie gesagt, sollte eine Nutzungsbedingung und eine Einverständniserklärung unterschrieben werden...

Natürlich! Aber nur solange die Person auch für das Unternehmen arbeitet! Was Du benennst sind auch keine Personaldaten. Name des
Mitarbeiter, wann er in das Unternehmen ein- und ausgetreten ist hingegen schon. Und die gehören in die Perso.
Auch das ist mMn Ansichtssache.

Gruß
Flo
VoSp2016
VoSp2016 07.12.2016 aktualisiert um 12:33:59 Uhr
Goto Top
möchtest du da etwa eine Diskussion anregen? face-smile

Das wäre ja mal was! Eine richtige Diskussion in einem Board! Ok, wir entfernen uns hier immer weiter vom eigentlichen Thema, aber was solls. ;)

Kannst du hier nachlesen.

Genau in diesem Gesetz steht, ziemlich am Anfang:

"Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen."

Dabei geht es um Datensparsamkeit. Du darfst somit NICHT einfach mal Daten speichern mit der Begründung "vielleicht brauche ich die später noch!". Die Speicherung muss an einen bestimmten Zweck gebunden werden und dieser Zweck muss dem Betroffenen auch mitgeteilt werden.

[...] externe können ja nicht wissen das Ihr die private Email Nutzung verboten habt, [...]
Wie gesagt, sollte eine Nutzungsbedingung und eine Einverständniserklärung unterschrieben werden...

Ja aber das kann ein Externer der Email schreibt ja nicht wissen. face-smile Solange der Mitarbeiter noch da ist kann der dem externen ja schreiben "Du darfst mir nichts privates schreiben. Lass das in Zukunft". Wenn Mails aber weitergeleitet werden, landet die private Mail bei einem anderen Mitarbeiter.

Wieder etwas das in Deutschland nicht geklärt ist. Und solange es nicht geklärt ist bist Du aus Datenschutzsicht nur auf der sicheren Seite wenn du diese Daten (Mail, Internetverlauf, persönliche Ordner etc.) löscht!

Übrigens, die Gerichte sind sich einig das ein ein Verbot der privaten Nutzung nur dann gilt wenn es auch regelmäßig Kontrolliert wird! Wenn das nicht passiert duldest das Unternehmen die Nutzung und das Verbot ist hinfällig!

Wie gesagt wir beschäftigen uns da, gezwungenermaßen, schon länger mit und leider ist das ganze in Deutschland nicht abschließend durch Gerichte geklärt. und wenn Du 5 Anwälte und Datenschützer fragst bekommst du min. 6 Antworten und alle sagen "Das Thema ist klar. Meine Antwort ist die richtige".

Auch das ist mMn Ansichtssache.

Gruß
Flo

Das eigentlich Problem ist das die Mitarbeiter nicht dahin erzogen werden nach Datenschutz zu arbeiten. Unernehmensrelevante Daten haben in einem Posteingang, oder persönlichen Ordner nichts zu suchen.

Wenn ein Mitarbeiter ein Mail von einem Lieferanten bekommt, dann darf die nicht im Posteingang gammeln, sondern die Informationen daraus müssen in ein Fileshare oder auf den Sharepoint, oder mit was auch immer das Unernehmen arbeitet.
Wenn privates surfen untersagt ist, müssen die Proxy Logs kontrolliert werden und wenn gehäuft "facebook.de" auftaucht muss mit der MAB geschaut werden wer das war und der Mitarbeiter muss auf das Verbot hingewiesen werden. usw.

Das ist aber eigentlich kein Unterschied zu Zeiten ohne EDV. Wenn da ein Lieferant eine Rechnung geschickt hat wurde die ja in einen Ordner sortiert und nicht in die, abschließbare, Schreibtischschublade das Mitarbeiters.

Aber mit Datenschutz ist es wie mit Backup, das kostet Geld und hat keinen sofort ersichtlichen Nutzen, deshalb wird das Thema einfach nicht behandelt und wo kein Kläger da kein Richter.

Mit freundlichen Grüßen

VoSp
Sil3nz3r
Sil3nz3r 07.12.2016 um 12:47:31 Uhr
Goto Top
Ja aber das kann ein Externer der Email schreibt ja nicht wissen. Solange der Mitarbeiter noch da ist kann der dem externen ja schreiben "Du darfst > mir nichts privates schreiben. Lass das in Zukunft". Wenn Mails aber weitergeleitet werden, landet die private Mail bei einem anderen Mitarbeiter.
Wenn die E-Mail nicht privat genutzt wird kann auch keine private Person irgendwas Vertrauliches schreiben....
Sollte es doch dazu kommen, ist der Benutzer selber Schuld (er hat ja immerhin dafür unterschrieben, die E-Mail-Adresse nicht privat zu nutzen).

Wenn privates surfen untersagt ist, müssen die Proxy Logs kontrolliert werden und wenn gehäuft "facebook.de" auftaucht muss mit der MAB
geschaut werden wer das war und der Mitarbeiter muss auf das Verbot hingewiesen werden. usw.
Oder Facebook (und sämtliche Seiten die nichts in einem Verlauf zu suchen haben) wird einfach vorsorglich gesperrt....

Gruß
Flo

PS: Wenn ein Unternehmen nicht will das ein Mitarbeiter etwas macht, muss es sich daruf kümmern dass er es nicht macht.
Stichwort Nutzungsvereinbarung
117471
117471 07.12.2016 um 12:57:32 Uhr
Goto Top
Hallo,

ich hatte bis jetzt noch kein Szenario, bei dem ich gezwungen war, irgend etwas im AD zu löschen.

Bei Benutzern gehe ich i.d.R. so vor:
  • Passwort ändern, ggf. automatische E-Mail-Antwort einrichten
  • Konto nach 4 Wochen deaktivieren

Gruß,
Jörg
VoSp2016
VoSp2016 07.12.2016 aktualisiert um 13:15:51 Uhr
Goto Top
Zitat von @Sil3nz3r:


Wenn die E-Mail nicht privat genutzt wird kann auch keine private Person irgendwas Vertrauliches schreiben....
Sollte es doch dazu kommen, ist der Benutzer selber Schuld (er hat ja immerhin dafür unterschrieben, die E-Mail-Adresse nicht privat zu nutzen).

Bei Euch ist die private Email Nutzung untersagt, nehme ich an? Was hindert mich daran Dir eine private Mail mit Deinem Kontostand zu schreiben? (mal angenommen ich kenne Kontostand und Email Adresse). Du als Empfänger kannst ja nicht verhindern das private Mails geschickt werden, egal was Du unterschrieben hat. Das ist dann ein Problem wenn jemand anders diese Mails bekommt.

PS: Wenn ein Unternehmen nicht will das ein Mitarbeiter etwas macht, muss es sich daruf kümmern dass er es nicht macht.
Stichwort Nutzungsvereinbarung

Genau so ist es. Viele Unternehmen vergessen aber diese Nutzungsvereinbarungen auch entsprechend zu kontrollieren und durchzusetzen. Wenns dann vor Gericht geht haben Sie schlechte Karten wenn zugegeben werden muss das die Proxy Logs zum letzten mal vor 4 Jahren auf private Nutzung kontrolliert wurden!

VoSp
117471
117471 07.12.2016 um 13:20:56 Uhr
Goto Top
Zitat von @VoSp2016:

Genau so ist es. Viele Unternehmen vergessen aber diese Nutzungsvereinbarungen auch entsprechend zu kontrollieren und durchzusetzen.

In der Regel reicht es, den Anwendern mitzuteilen, warum derartige Vereinbarungen existieren: Wer möchte schon, dass seine privaten E-Mails außerhalb seines eigenen Wirkungsbereiches in einer Datensicherung abgebildet und ggf. für 10 Jahre rechtssicher archiviert werden? face-smile

Bei der Auswertung der Proxy-Logs auf private Benutzung handelt es sich u.U. um eine verdachtsunabhängige Auswertung personenbezogener Daten. Ohne Zustimmung des Betriebsrates und des Datenschutzbeauftragten würde ich persönlich die Finger von solchen Aktionen lassen.

Gruß,
Jörg
VoSp2016
VoSp2016 07.12.2016 aktualisiert um 14:08:43 Uhr
Goto Top
In der Regel reicht es, den Anwendern mitzuteilen, warum derartige Vereinbarungen existieren: Wer möchte schon, dass seine privaten E-Mails außerhalb seines eigenen Wirkungsbereiches in einer Datensicherung abgebildet und ggf. für 10 Jahre rechtssicher archiviert werden? face-smile

Gut wenn Deine Anwender dann so schlau sind nicht mehr privat zu kommunizieren, dann hast Du echt Glück. face-smile Würd ich mich aber nicht drauf verlassen. Ansonsten reicht genau das nicht. Entscheidend ist nicht das Verbot sondern die tatsächliche betriebliche Praxis. Eine Duldung kann ebenso eine rechtswirksame Vereinbarung sein! Eine lange wissentliche Duldung kommt einem Einverständnis gleich!
Aber wenn Du es dann duldest, dann darfst Du aber natürlich auch nicht archivieren! Auf der anderen Seite musst Du aber elektronisch archivieren um nicht andere Gesetzte zu brechen. Das ist eine Zwickmühle.
Da sind die Anwälte sich aber mal einig. Da werden die Gerichte einfach sagen "nicht unser Problem, organisiert Euch besser!"
Dazu kommen dann noch die Sonderfälle wie Bewerbungen! Die dürfen nämlich unter keinen Umständen in die Email Archivierung und dürfen nach dem Bewerbungsverfahren auch nicht aufbewahrt werden. (Außer der Bewerber stimmt ausdrücklich zu!).

Theoretisch müsstest Du ja Mails auch noch vor Spamfilter und Virescanner arivieren, oder? Wenn ein wichtiges Dokument nicht im Archiv ist kannst Du ja sonst nicht sicher sein das der Spamfilter es aussortiert hat! Spamfilter sind da dann auch nochmal ein eigenes Thema .... Da geht's dann auch um unbefugtes löschen von Mails ... usw. usw.

Bei der Auswertung der Proxy-Logs auf private Benutzung handelt es sich u.U. um eine verdachtsunabhängige Auswertung personenbezogener Daten. Ohne Zustimmung des Betriebsrates und des Datenschutzbeauftragten würde ich persönlich die Finger von solchen Aktionen lassen.

Dann habe ich mich schwammig ausgedrückt. Natürlich darf ich als Admin nicht prüfen WER denn da auf Facebook unterwegs war. Was das Unternehmen aber machen muss ist in Statistiken zu schauen wie oft Facebook überhaupt aufgerufen wurde und wenn das signifikant steigt, oder ein Client immer wieder auf youtube.de unterwegs ist, muss mit MAV und Datenschützern geschaut werden welche Person dahinter steckt.

Vereinbarungen müssen auch durchgesetzt werden. Eine Billigung oder Duldung hebt diese sonst auf!

Ich weiß das sich das alles sehr eigenartig anhört und der Praxis widerspricht, das ändert aber nichts an der Richtigkeit.
Die meisten Unternehmen nehmen das aber hin und sagen. "Den Aufwand treiben wir nicht, dann soll der Mitarbeiter doch klagen... Die Kohle die wir bis dahin gespart haben kann der Prozess gar nicht kosten".

Mit freundlichen Grüßen

VoSp
117471
117471 07.12.2016 um 14:26:14 Uhr
Goto Top
Zitat von @VoSp2016:

Gut wenn Deine Anwender dann so schlau sind nicht mehr privat zu kommunizieren, dann hast Du echt Glück. face-smile

Nein.

Ich teile den Anwendern mit, dass Sie keine privaten E-Mails schreiben dürfen und liefere ihnen freundlicherweise die Begründung.

Das ist kein Appell an die Intelligenz, sondern ein klar definierter und schriftlich festgehaltener Befehl.

Gruß,
Jörg
Vancouverona
Vancouverona 07.12.2016 um 16:12:06 Uhr
Goto Top
Man nehme ein eindeutig identifizierbares Datum als Anmeldenamen.

Personalnummer ist so ein Beispiel. Diese ist immer eindeutig, wenn nicht wechselt euren Personaler aus.

Beispiel: Personalnummer ist 460941, der Benutzername fürs AD wäre z.B. u460941

Der bleibt erhalten und überlebt sogar das Ausscheiden des Mitarbeiters, weil die Personalabteilung die Nummer auch noch lange nach dem Austritt vorhalten muß (z.B. weil es Betriebsrentenansprüche gibt).
VoSp2016
VoSp2016 07.12.2016 um 16:16:03 Uhr
Goto Top
Ich teile den Anwendern mit, dass Sie keine privaten E-Mails schreiben dürfen und liefere ihnen freundlicherweise die Begründung.

Das ist kein Appell an die Intelligenz, sondern ein klar definierter und schriftlich festgehaltener Befehl.

Mal davon abgesehen das ein Unternehmen Mitarbeitern keine Befehle geben kann ;) , reicht das, wie oben Beschrieben, leider nicht aus...
Mag ja sein das mancher Manger/UNternehmen das So sieht, die Gesetzeslage sagt aber was anderes.

Mfg

VoSp
Lochkartenstanzer
Lochkartenstanzer 07.12.2016 aktualisiert um 16:23:39 Uhr
Goto Top
Zitat von @VoSp2016:

Ich teile den Anwendern mit, dass Sie keine privaten E-Mails schreiben dürfen und liefere ihnen freundlicherweise die Begründung.

Das ist kein Appell an die Intelligenz, sondern ein klar definierter und schriftlich festgehaltener Befehl.

Mal davon abgesehen das ein Unternehmen Mitarbeitern keine Befehle geben kann ;) , reicht das, wie oben Beschrieben, leider nicht aus...
Mag ja sein das mancher Manger/UNternehmen das So sieht, die Gesetzeslage sagt aber was anderes.


Es reicht aber, wenn man ihnen sagt, daß man regelmäßig in Ihre Mails reinschauien wird, um Stichproben zu machen und falls private Mails gefunden werden, dies Konsequenzen hat, ob das nun fünf Schläge mit der Peitsche, mit einem Stein in den See oder eine Runde Süßgebäck auf Kosten des "Verstoßers" ist, sei mal dahingestellt.

lks
umount
umount 07.12.2016 um 19:59:35 Uhr
Goto Top
Also aus dem Sicherheitsaspekt Deaktivieren, löschen würde ich es nicht vielleicht braucht der Admin irgendwann noch was von den Konto.

Mal davon abgesehen das man nur weil man Admin ist nicht alles löschen darf.

Bei Bedarf Aktiviert ist es Schnell um an wichtige Daten zu kommen.

Dann Muss man halt miteinbeziehen wenn man Usernamen vergibt, das dieser Mehrfach Vorkommen kann.

z.B. drei Buchstaben vom Vornamen und Nachnamen z.B. 5 hintendran

Und bei bedarf ne Nummer hintendran.
Penny.Cilin
Penny.Cilin 08.12.2016 um 10:47:54 Uhr
Goto Top
Einfachste Lösung lautet Personalnummern verwenden.
Wenn man diese hochzählt, ist diese immer eindeutig.

Oder man nimmt die Sozialversicherungsnummer, diese ist eindeutig.
Das ist dann mit Kanonen auf Mücken schiessen.


Gruss Penny
Herbrich19
Herbrich19 18.11.2017 um 19:19:38 Uhr
Goto Top
Hallo,

Ich habe solche Sachen so gehandhabt das ich einfach eine Message anzeige bevor der Loginscreen kommt. Da steht zwar bei mir nur drinnen was man nicht anklicken sollte und vor allem dingen warum aber auch für den Hinweis die Private Nutzung ist nicht gestattet es wird Archiviert kann man so einblenden.

Seid Windows 2000 oder früher gibt es diesen Login Text schon in den AD GPO,s. Man muss die GPO nur definieren und einstellen.

Gruß an die IT-Welt,
J Herbrich
wiesi200
wiesi200 18.11.2017 um 19:54:09 Uhr
Goto Top
Hallo,

also ich deaktiviere den User und nach einer gewissen Zeit lösche ich ihn aus dem AD.
Die Daten die er abgespeichert hat gehen deswegen ja nicht verloren.

Und so Spaße wie falsche Inventureingabe. Wenn bei sowas in einem ERP System nicht festgehalten wird dann wird dir sehr schnell das Finanzamt bzw. als erstes mal dein Betriebsprüfer aufs Dach steigen.