badcobra18
Goto Top

Rechtliche Probleme mit Benutzerkonten

Hallo zusammen!

Bei uns ist es in letzter Zeit des Öfteren vorgekommen, dass einige Angestellte bei uns in der IT anrufen und im Befehlston verlangen, dass wir das Benutzer-Kennwort von anderen Angestellten löschen, weil z. B. eine E-Mail oder Ähnliches von jemandem benötigt wird, der in Urlaub oder krank ist.

Rechtlich ist das nicht einwandfrei, da ja eine Absicherung (Passwort) umgangen wird. Mich würde interessieren, wie diese Problematik in anderen Unternehmen geregelt ist.

Gruß von badcobra18

Content-ID: 123137

Url: https://administrator.de/forum/rechtliche-probleme-mit-benutzerkonten-123137.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

43964
43964 20.08.2009 um 14:12:05 Uhr
Goto Top
Wenn ihr das private surfen und mail schreiben verbietet, dann sollte es keine Probleme geben, da ihr ja nur dienstliche Sachen finden könnt. Andernfalls verletzt ihr das Post-/Brief-/Fernmeldegeheimnis.

Wir lösen das "Problem" ganz anders:
Alle Mails von außen gehen an einen Verteiler (z.B.vertrieb@...). Werden Mails nach außen geschickt, wird der Verteiler ins CC gesetzt. Somit sind immer ausreichend Vertreter bei Urlaub oder spontaner Krankheit eines Mitarbeiters in der Lage sich schnell in einem Problem zurecht zu finden da sie den Schriftverkehr vorliegen haben.

Private Dateien dürfen nicht im Profil gespeichert werden. Dadurch kann ich als Admin auch mal Dateien in einem Profil suchen.

Lass dir deine Aktionen (Passwörter löschen/herausgeben, etc.) von deinem Vorgesetzten genehmigen (schriftlich, z.B. per kurzer Mail)!
Denn wie heißt es so schön "Meldung macht frei und belastet den Vorgesetzten" face-wink
Chris85
Chris85 20.08.2009 um 14:23:53 Uhr
Goto Top
Hi

Du solltest dir wie Schwimmbutz schon angemerkt hat alles schriftlich geben. Jemandem Zugang zu einem anderen Mailpostfach zu gewähren verstößt definitiv gegen das Bundesdatenschutzgesetz.

Wenn die Person im Urlaub oder krank ist muss Sie trotzdem eine Mail schreiben, dass Sie damit einverstanden ist das Kennwort zu ändern oder bei besteimmten Dateien / Verzeichnisse jemand anderem Zugriff zu gewähren.

Wenn du nichts schriftlich hast ist es gegen das Gesetz und DU machst dich strafbar.

Gruß

Chris
El-Larso
El-Larso 20.08.2009 um 14:25:03 Uhr
Goto Top
Hi,

die Lösung mit dem Verteiler ist aber unschön.
Da habt ihr alle Emails schön redundant.
Ist doch blöd!? :D

Eine gescheite Vertreterregelung würde abhilfe schaffen!
In zusammenhang mit einer Abwesenheitsnachricht, dass sich der Absender bitte an den und den Kollegen wenden soll, sollte eigentlich reichen.

Wir setzen hier keine Passwörter zurück, damit sich jemand anderes mit dem Login anmelden kann.
Im Krankheitsfall richten wir die Abwesenheitsnachricht ein mit dem Hinweis auf einen anderen Kollegen.

Gruß
jhinrichs
jhinrichs 20.08.2009 um 14:31:52 Uhr
Goto Top
Hallo,
ich finde die Methode von El-Larso sehr gut.

@Chris85:

Das Bundesdatenschutzgesetz hat damit nichts zu tun, das bezieht sich nur auf personenbezogene Daten (also Alter, Größe, Lieblingseissorte etc.):

§ 1 Zweck und Anwendungsbereich des Gesetzes
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Bei der Frage geht es um Briefgeheimnis, Fernmeldegeheimnis etc.
Destry
Destry 20.08.2009 um 14:42:08 Uhr
Goto Top
Hi,

kommt vielleicht etwas drauf an wer sich danach mit dem fremden Nutzerkonto und einem neu gesetzten Passwort anmelden darf.

Bei uns z.B. hat man über sein Konto Zugriff auf die Mailbox, an der Mailadresse hängt das persönliche Zertifikat und damit wiederum hat man Zugriff auf eigene Personaldaten wie Urlaub eintragen, Gehaltsabrechnung runterladen und auf persönliche Daten. Bis hin zur eigenen Personalakte.

Wenn ich also einem anderen Nutzer darauf Zugriff ermögliche stehe ich mit einem Bein in der Abmahnung und mit dem anderen in der Kündigung.
Offiziell gibt es darauf nur mit Genehmigung des Betriebsrates Zugriff. Und dafür muss jemand so sehr sehr gute Gründe haben.

Auch wenn eure Nutzerkonten nicht ganz so sensibel sind würde ich damit sehr vorsichtig sein.
Folgende Tipps:

  • Mündlich geht gar nichts.
  • Auch nicht per Mail.
  • Nur schriftlich mit Unterschriften von mindestens zwei Personen.
  • Prozess klären wie mit dem "offenen" Konto weiter verfahren werden soll.
  • Auf jeden Fall sichern das nicht Du derjenige bist der dann Unfug mit der "offenen" Nutzerkennung treiben kann.
  • Bei Mails könnte man das auch über die Mailadmins lösen. Dann wäre das Konto wenigstens noch in Ordnung.

Noch etwas: Bei Befehlston bekomme ich immer allergische Anfälle und kann mich nachher nicht mehr erinnern was ich getan habe. Allerdings muss ich mich anschließend immer um PC's kümmern bei denen irgendwelche Dienste ausgefallen sind. Sehr merkwürdig. Sei vorsichtig, vielleicht ist es ansteckend.

Viel Erfolg,
Destry
noodyn
noodyn 20.08.2009 um 14:45:44 Uhr
Goto Top
Das Ändern von Passwörtern Dritter machen wir nicht. Auch Einblick in emails Dritter ist nicht gern gesehen. Wenn dann hat bei einer solchen Aktion der Betriebsrat bei Fuss zu stehen und das nimmt den meisten gleich den Befehlston raus, weil das möchte eigentlich niemand so gern :D
maretz
maretz 20.08.2009 um 15:06:19 Uhr
Goto Top
Ist an sich ganz einfach: Ein fremdes Passwort zurücksetzen o.ä. gibt es bei mir nicht PUNKT!. Entweder gibt eine Person innerhalb der eigenen Abteilung das Login-PW bekannt oder ich erwarte von der Person selbst eine Info das ich deren Account umleiten darf (sei es per Anruf oder Mail).

Ich weiss doch gar nicht ob die kranke Person nicht ggf. auch im Internet-Explorer die Passwörter für den privaten Webmail-Account gespeichert hat o.ä. -> und daher ermögliche ich auch keinem den Zugriff darauf...

Das müssen die dann schon innerhalb der Abteilung klären wie die sowas lösen - dabei kann ich dann nicht helfen...
gogoflash
gogoflash 20.08.2009 um 15:41:09 Uhr
Goto Top
Hallo,

eine andere Möglichkeit mit diesem Problem umzugehen.

Jeder Mitarbeiter muss einem anderen Mitarbeiter benennen, der Zugriff auf seine Maildaten hat. Meistens jemand mit dem dieser zusammenarbeitet. Diese Zugriffe sind dokumentiert. Bei Urlaub oder Krankheit hat man somit einen Ansprechpartner für den Zugriff auf die Datenbank und auch jemanden der mit den Informationen mehr anfangen kann, als ein Admin.

Zum zweiten sollte private Mails nicht im Unternehmen erlaubt sein. Sonst ist das Verfahren, oben nicht legal.


Gruß Miguel
badcobra18
badcobra18 20.08.2009 um 16:06:21 Uhr
Goto Top
Zitat von @43964:
Wenn ihr das private surfen und mail schreiben verbietet, dann sollte
es keine Probleme geben, da ihr ja nur dienstliche Sachen finden
könnt. Andernfalls verletzt ihr das
Post-/Brief-/Fernmeldegeheimnis.

Wir lösen das "Problem" ganz anders:
Alle Mails von außen gehen an einen Verteiler
(z.B.vertrieb@...). Werden Mails nach außen geschickt, wird der
Verteiler ins CC gesetzt. Somit sind immer ausreichend Vertreter bei
Urlaub oder spontaner Krankheit eines Mitarbeiters in der Lage sich
schnell in einem Problem zurecht zu finden da sie den Schriftverkehr
vorliegen haben.

Private Dateien dürfen nicht im Profil gespeichert werden.
Dadurch kann ich als Admin auch mal Dateien in einem Profil suchen.

Lass dir deine Aktionen (Passwörter löschen/herausgeben,
etc.) von deinem Vorgesetzten genehmigen (schriftlich, z.B. per kurzer
Mail)!
Denn wie heißt es so schön "Meldung macht frei und
belastet den Vorgesetzten" face-wink

Privates Surfen ist bei uns zwar verboten, aber nicht alle halten sich dran. So stehts im Log in unserer Firewall. Seiten mit vielen Klicks sperre ich immer. Die Unterscheidung zwischen Privatem und Dienstlichem könnte bei uns einiges an Problemen aufwerfen, da viele Anwender machen, was sie wollen.

Von unseren Abteilungsleitern könnte ich mir zwar immer schriftlich Genehmigungen fürs Passwort-Löschen geben lassen. Aber genau das (Psswort-Löschen) will ich nicht.
badcobra18
badcobra18 20.08.2009 um 16:07:31 Uhr
Goto Top
Zitat von @Destry:

Noch etwas: Bei Befehlston bekomme ich immer allergische Anfälle

Das kenne ich.

Danke für die Tipps!
badcobra18
badcobra18 20.08.2009 um 16:09:50 Uhr
Goto Top
Zitat von @gogoflash:
Jeder Mitarbeiter muss einem anderen Mitarbeiter benennen, der
Zugriff auf seine Maildaten hat. Meistens jemand mit dem dieser
zusammenarbeitet. Diese Zugriffe sind dokumentiert. Bei Urlaub oder
Krankheit hat man somit einen Ansprechpartner für den Zugriff auf
die Datenbank und auch jemanden der mit den Informationen mehr
anfangen kann, als ein Admin.

Das haben wir schonmal probiert. Ging leider daneben, weil keiner mehr wusste, für wen er eigentlich Vertreter ist. Und die Sache mit Postfachberechtigungen im Outlook endete bei einigen mit "Vollzugriff für alle".
badcobra18
badcobra18 20.08.2009 um 16:13:38 Uhr
Goto Top
Sich Dnge schriftlich geben zu lassn ist war gut für Nachweise, aber ich will auch vermeiden zwischen Genehmigungen zu ersticken.

Wie wäre es mit einem einfach Schriftstück mit Checkboxen, was ich bei einem Anwender ändern darf und was nicht?
Xandros
Xandros 20.08.2009 um 16:23:20 Uhr
Goto Top
Passwort löschen? Gibts nicht!

Was wir machen ist eine mail weiterleitung. Dann aber auch nur zu einem MA und nicht in eine Inbox. Dies lassen wir uns schriftlich genehmigen.

Der Abteilungsleiter bekommt von uns einen Antrag, den er unterschreiben muss. Dann muss dies noch durch den IT-Leiter bzw. ein GL-Mitglied abgezeichnet werden. Dann richten wir die weiterleitung ein.

Gruß
Xandros
badcobra18
badcobra18 20.08.2009 um 16:27:19 Uhr
Goto Top
Das mit der Einrichtung einer Weiterleitung im Krankheitsfall könnte man so machen.

Aber was ist, wenn jemand z. B. auf die gesendeten Objekte von jemanden zugreifen will, der nicht da ist und keine entsprechenden Berchtiungen vergeben hat?
Xandros
Xandros 20.08.2009 um 16:35:21 Uhr
Goto Top
Dann hat dieser jemand uns Datum und Andresse zu nennen und wir Admins verbinden sich mit dem Email Konto und er bekommt genau die eine mail.
badcobra18
badcobra18 20.08.2009 um 16:48:28 Uhr
Goto Top
Zitat von @Xandros:
Dann hat dieser jemand uns Datum und Andresse zu nennen und wir Admins
verbinden sich mit dem Email Konto und er bekommt genau die eine mail.

Und wenn Datum, etc. unbekannt ist? Genau das ist leider bei uns eines des (worst-case-)Probleme. Und auch leider schon öfter vorgekommen.

Ich glaube, dass ich mich mit einigen unserer Vorgesetzten außeinander setzen muss und wir uns hoffentlich darauf einigen, dass keine Passwörter mehr gelöscht werden. Und auch nicht, wenn jemand ein halbes Jahr auf einen kranken Kollegen warten muss ...
Xandros
Xandros 20.08.2009 um 16:53:52 Uhr
Goto Top
wenn das Datum unbekannt ist, gehen wir nach Absender, bzw. der Firma.

Sollte das ein rießen Aufwand sein und das Postfach durchsucht werden müssen, holen wir den Abteilungsleiter in die IT bzw. der benennt einen seiner MA und dieser sucht dann bei uns im Büro auf einem PC nach den Emails.
badcobra18
badcobra18 20.08.2009 um 17:05:01 Uhr
Goto Top
Zitat von @Xandros:
Sollte das ein rießen Aufwand sein und das Postfach durchsucht
werden müssen, holen wir den Abteilungsleiter in die IT bzw. der
benennt einen seiner MA und dieser sucht dann bei uns im Büro auf
einem PC nach den Emails.

Die Idee ist gut. Somit wäre auch sichergestellt, das NUR nachdem gesucht wird, was relevant ist.
Destry
Destry 20.08.2009 um 17:09:55 Uhr
Goto Top
Hi,

ein Mitarbeiter der ein halbes Jahr krank ist, ist übrigens einer der sehr sehr guten Gründe für den Betriebsrat.
Man sollte hier schon Unterscheidungen machen.

Gruss,
Destry
badcobra18
badcobra18 21.08.2009 um 15:59:56 Uhr
Goto Top
Hallo und Danke an ALLE, die geantwortet haben!

Als Lösungsvorschläge habe ich nun drei Varianten:

1. Konten von Mitarbeitern, die krank sind oder sich im Urlaub befinden, sind generell tabu (für mich beste Lösung)
2. Nur der Benutzer und ein bestimmter Stellvertreter oder Abteilungsleiter haben (Lese-)Zugriff auf Mailkonten
3. Mit Zustimmung des Betriebsrats wird bei Bedarf ein IT-Mitarbeiter und der Angestellte, der den Zugriff benötigt, auf ein Postfach zugreifen

Ach ja: Bei längeren Krankheitsfällen muss der Betriebsrat entscheiden.
81825
81825 21.08.2009 um 16:08:27 Uhr
Goto Top
Nur mal am Rande zur Klarstellung:
Falls private Nutzung nicht erlaubt ist, gehören alle Daten der Firma, und die Firma hat uneingeschränkten Zugang auf alle Daten zu haben, auch auf den Inhalt des Mailkontos. Punkt.
Anders sieht das nur aus, wenn auch die private Nutzung nicht ausdrücklich verboten ist.
harald21
harald21 24.08.2009 um 11:26:43 Uhr
Goto Top
Hallo greypeter,

ganz so einfach ist das leider nicht: Man kann zwar einem Mitarbeiter das Versenden privater Mails verbieten, allerdings nicht den Empfang privater Mails. Somit sind selbst dann, wenn die private Nutzung verboten ist, private Mails im Postfach möglich! Also einfach immer die nötige Umsicht walten lassen face-smile

mfg
Harald
81825
81825 24.08.2009 um 11:34:32 Uhr
Goto Top
Zitat von @harald21:
ganz so einfach ist das leider nicht: Man kann zwar einem Mitarbeiter das Versenden privater Mails verbieten, allerdings nicht den Empfang privater Mails.

Doch, das ist so einfach. Wenn die private Nutzung untersagt ist, hat der Mitarbeiter sicherzustellen, dass er keine privaten Mails bekommt. Und wenn doch welche dort landen, ist das sein Problem und nicht das der Firma und könnte im Extremfall sogar zur fristlosen Kündigung führen. Es ist immer noch so, dass ein Angestellter weisungsgebunden ist und der Arbeitgeber zu entscheiden hat, wie und auf welche Art mit seinem Equipment umzugehen ist. Auch hat nur der Arbeitgeber zu entscheiden, wer welche Berechtigungen bekommt und wie er sie nutzen darf.

An einer weiteren Diskussion werde ich mich nicht beteiligen.
harald21
harald21 24.08.2009 um 12:20:29 Uhr
Goto Top
Hallo greypeter,

du gibst schon auf?

Das wäre bestimmt interessant für dich gewesen: http://www.datenschutz-bayern.de/technik/orient/privmail.html
Erkennbar private E-Mails dürfen auch bei einem Verbot des Versendens und Empfangens privater E-Mails im Normalfall nicht gelesen werden. Gleiches gilt natürlich, wenn die Privatnutzung ausdrücklich oder konkludent erlaubt ist. In diesem Falle ist eine Überwachung grundsätzlich unzulässig, so dass der Arbeitgeber in der Regel weder E-Mails lesen noch Verbindungsdaten aufzeichnen darf. Auch das Lesen fremder E-Mails im Vertretungsfall, z.B. bei Erkrankung des Mitarbeiters, ist bei der gestatteten privaten Nutzung ohne vorherige Zustimmung des Betroffenen unzulässig. Die Mitarbeiter müssen deshalb – wie bereits erwähnt – dazu eine entsprechende schriftliche Einwilligung erteilen.

Wenn die private Nutzung untersagt ist, hat der Mitarbeiter sicherzustellen, dass er keine privaten Mails bekommt.
Da ein MItarbeiter keinen Einfluss darauf hat, ob ihm irgendjemand eine private Mail schreibt, so kann er auch nicht dafür verantwortlich gemacht werden (und zu einer Kündigung kann das schon gar nicht führen)!

mfg
Harald
maretz
maretz 24.08.2009 um 12:29:02 Uhr
Goto Top
dem würde ich mich so anschließen -> denn lieber etwas vorsichtiger mit möglicherweise privaten daten umgehen als danach am Ende den Ärger zu haben...

Und: Es ist generell nicht erlaubt den Mitarbeiter "vollständig" zu überwachen - der große Unterschied ist eben das der Mitarbeiter bei einem Verbot von privaten Emails am Arbeitsplatz dazu aufgefordert werden kann eine Email weiterzugeben bzw. die Einsicht zu gewähren. Er muss im Zweifelsfall eben nachweisen das die Email "privat" ist - und mit den entsprechenden Konsequenzen rechnen (oder eben Private Mails unverzüglich aus dem Eingang löschen).

Ich wäre ebenfalls vorsichtig was den Bereich "was ist privat, was ist geschäftlich" angeht. Eine Mail vom Kunden/Kollegen die mit den Worten "Moin Mike," beginnt -> ist die nun privat oder geschäftlich? Hier würde ich generell eher davon ausgehen das die Mail privat ist und solche Mails nicht weiterleiten/lesen - der Mitarbeiter muss dann halt sagen das die Gewerblich ist und ich die entsprechend weiterleiten darf...

Generell ist es einfach so das ich den Empfang einer Email nicht bestimmen kann und es andersrum auch nicht gestattet ist die Privaten Mails *vollständig* zu verbieten. Kommt mein Chef heute an und sagt das ich spontan 2 Std. länger machen muss so darf er mir nicht untersagen eine Mail/Telefonanruf zu machen damit ich evtl. private Termine absagen kann... Und schon hat man eine Private Mail im System die eben *nicht gewerblich* aber auch nicht untersagt ist... Und beim Einblick in private Mails ist das nicht viel anders als wenn ich einen Brief öffne der an Hr. XYZ "persönlich" Addressiert ist! Die Action die man dafür bekommen kann ist das ganze idR. nicht wert...
81825
81825 24.08.2009 um 12:54:53 Uhr
Goto Top
Zitat von @harald21:
du gibst schon auf?

Das hat nichts mit aufgeben zu tun. Aber bei Usern, die nicht lesen können bzw. das Gelesene nicht verstehen, ist einen weitere Diskussion sinnlos.
Lesen bildet.

EOD
badcobra18
badcobra18 24.08.2009 um 13:12:09 Uhr
Goto Top
Hallo zusammen!

Also das private Surfen ist bei uns definitiv verboten. Die private Nutzung von E-Mail-Systemen nicht. Was diese „dienstfremde Nutzung von E-Mailsystemen“ angeht, so sehe ich bei uns derzeit noch keinen Handlungsbedarf. Wenn es hier zu Problemen kommt (z. B. übermäßige Nutzung), muss ich meinen Vorgesetzten eine angemessene Lösung unterbreiten.

Allerdings schlage ich eine Lösung vor, die auf Selbstdisziplin basiert. Sicherlich: der eine oder andere wird jetzt schmunzeln. Aber ich mag keine Überwachung und ich will keinem meiner Kollegen das Gefühl vermitteln, dass ich ihn kontrollieren will/muss.

Mein ursprüngliches Problem ging um das Entfernen von Passwörtern, damit Angestellte auf das Postfach von Kollegen im Urlaub oder bei Krankheit zugreifen können. Diese Vorgehensweise hat sich in den letzten Jahren (vor meiner Zeit) eingebürgert. Ich habe mich in den letzten Tagen mit der Problematik umfassend beschäftigt. Meine favorisierte Lösung: die IT setzt KEINE Passwörter mehr zurück. Basta.
harald21
harald21 24.08.2009 um 13:16:00 Uhr
Goto Top
Hallo,

Lesen bildet.

eine fachliche Diskussion aber auch.

mfg
Harald
maretz
maretz 24.08.2009 um 13:40:50 Uhr
Goto Top
Das sollte definitiv die lösung sein -> denn ansonsten hast du keine Möglichkeit den Kollegen in sofern zu schützen das seine Mitarbeiter nicht alle seine vertraulichen Mails lesen. Als EDV-Mensch bist du da ja etwas aussen vor -> es bringt dir idR. keinen Vorteil (beruflich) ein wenn du Mails von Kollegen liest -> du wirst vermutlich wenig Intresse haben z.B. Leiter der Einkaufsabteilung zu werden... Deine Kollegen aus der Einkaufsabteilung könnten da durchaus Intresse haben - und stehen somit im Intressenkonflikt... (Private Mail lesen könnte demjenigen Informationen geben die einen Vorteil für die Person verschaffen).

Wenn also schon der Zugriff auf Mailkonten so sollte dieser NUR von der EDV gemacht werden dürfen - um einfach auszuschliessen das hier Missbrauch getrieben werden kann... Selbstverständlich muss dafür die EDV auch den Ar... in der Hose haben AUCH dem Chef gegenüber (oder grade dem) mal zu sagen das einige Informationen nicht weitergegeben werden dürfen...