Ergebnis 1 bis 10 von 10

Thema: Sind Fachartikel in einer Betriebsdokumentation einer Firma personenbezogene Daten?

  1. #1

    Standard Sind Fachartikel in einer Betriebsdokumentation einer Firma personenbezogene Daten?

    Hallo,

    im Rahmen des Aufbaus eines ISMS in einem KMU prüfen wir auch den möglichen Mißbrauch personenbezogener Daten. Dort gibt es ein revisionssicheres 'Wiki' namens Confluence und es wird zu jedem dort im Intranet veröffentlichten Beitrag der Klarname des Autors mit veröffentlicht. Nun stellt sich mir die Frage, ob der Artikel, der ja eindeutig einem Angestellten zuzuordnen ist, ein personenbezogenes Datum ist und somit unter die Bestimmung der DSGVO fällt. Gibt es hierzu eine eindeutige Aussage oder Meinungen? Ich würde es spontan bejahen, aber ich bin mir eben nicht sicher.
    Kann mir hier jemand helfen?
    VG an alle und besonders die Moderatoren
    Kristor

  2. #2
    Registriert seit
    10.02.2011
    Beiträge
    3.710

    Standard

    Der Artikel für sich ist kein pb Datum sondern eine Sachinformation. Er kann Informationen enthalten, die als pb Daten bezeichnet werden (Telefonnummer, Ansprechpartner, Formulierungen, die einem Autor zugeschrieben werden können u.ä.). Man könnte ihn dem sog. Zusatzwissen zuordnen, das eine Identifizierung des Autors auch ohne eine direkte Zuordnung zu dessen Namen ermöglicht. Aber wenn diese Zuordnung zum Angestellten ohnehin vorhanden ist, verstehe ich den Sinn der Überlegung nicht, ob der Artikel ein pb Datum ist. Beide sind miteinander verknüpft.

  3. #3

    Standard

    Zitat Zitat von anzolino Beitrag anzeigen
    Der Artikel für sich ist kein pb Datum sondern eine Sachinformation. Er kann Informationen enthalten, die als pb Daten bezeichnet werden (Telefonnummer, Ansprechpartner, Formulierungen, die einem Autor zugeschrieben werden können u.ä.). Man könnte ihn dem sog. Zusatzwissen zuordnen, das eine Identifizierung des Autors auch ohne eine direkte Zuordnung zu dessen Namen ermöglicht. Aber wenn diese Zuordnung zum Angestellten ohnehin vorhanden ist, verstehe ich den Sinn der Überlegung nicht, ob der Artikel ein pb Datum ist. Beide sind miteinander verknüpft.
    Vielen Dank anzolino für Deine Antwort. Du würdest mir also zustimmen, daß der Artikel im Betriebs-Wiki, bei dem der Name des Autors im Klartext oben drüber steht, sowie auch das Datum und die Uhrzeit der letzten Änderung ein personenbezogenes Datum ist?! Wenn das so ist, dann müssen wir diese Artikel bei der Risikonalyse im Rahmen eines ISMS nach ISO 27001 mit berücksichtigen, denn eskönnte ja sein, dass dieses personenbezogene Datum nicht ausreichend geschützt ist und ggf. ein Schaden für den Betroffenen entstehen könnte. Beispiel - jemand druckt sich den Artikel aus und verwendet ihn in der Öffentlichkeit zum Nachteil des Betroffenen.
    Diese Thematik ließe sich ausdehnen auf Sharepoint, Intranet, Wiki usw. innerhalb einer Firma.

  4. #4
    Registriert seit
    08.07.2009
    Beiträge
    4.043

    Standard

    Kurze Anmerkungen:

    Dass sich ein Mitarbeiter einen Artikel oder Bericht aus dem Intranet ausdruckt, sollte sicher auch gewollt sein - es sei denn, die User haben nur Lese- und Schreibrechte.
    Es besteht immer das "Risiko", dass derartige Artikel oder Berichte oder sonstige betriebliche Unterlagen betriebsfremd verwendet werden. Als Schutzmaßnahmen sind hier Sensibilisierung der Mitarbeiter einschl. Verpflichtungen auf Vertraulichkeit etc. anzuführen. Außerdem haben sensible pb oder geschäftliche Daten im Intranet nichts zu suchen bzw. sind dort nur einem begrenzten Kreis zugänglich zu machen.
    Was ist damit gemeint, dass die Artikel aus dem Betriebs-Wiki zum Nachteil des Betroffenen in der Öffentlichkeit verwendet werden könnten?

  5. #5

    Standard

    Zitat Zitat von bdsb Beitrag anzeigen
    Kurze Anmerkungen:

    Dass sich ein Mitarbeiter einen Artikel oder Bericht aus dem Intranet ausdruckt, sollte sicher auch gewollt sein - es sei denn, die User haben nur Lese- und Schreibrechte.
    Es besteht immer das "Risiko", dass derartige Artikel oder Berichte oder sonstige betriebliche Unterlagen betriebsfremd verwendet werden. Als Schutzmaßnahmen sind hier Sensibilisierung der Mitarbeiter einschl. Verpflichtungen auf Vertraulichkeit etc. anzuführen. Außerdem haben sensible pb oder geschäftliche Daten im Intranet nichts zu suchen bzw. sind dort nur einem begrenzten Kreis zugänglich zu machen.
    Was ist damit gemeint, dass die Artikel aus dem Betriebs-Wiki zum Nachteil des Betroffenen in der Öffentlichkeit verwendet werden könnten?
    Beispiele: Der Informationssicherheitsbeauftragte schreibt für das ISMS Artikel wie IT Richtlinien, Sicheheitsleitlinie. Der Admin schreibt einen Artikel zur Notfallplanung und zahlreiche Artikel zur Betriebsdokumentation der IT-Infrastruktur bspw. Immer steht über dem Artikel der Name des Autors. Das Kopieren kann man technisch ggf verhindern, dass Drucken auch, das Fotografieren jedoch kaum. Ich konstruiere mal, dass ein Mitarbeiter aus niedriger Motivation heraus den Fachartikel eines Kollegen mißbraucht um ihn ggf. damit bei einem Fachgremium oder einem neuen potenziellen Arbeitgeber in Mißkredit zu bringen. Demzufolge wären auch solche Daten in eine Risikoanalyse mit einzubeziehen. Andersherum könnte man sich auf den Standpunkt stellen, dass ein Mitarbeiter im Rahmen seiner Tätigkeit natürlich jeden Tag Daten produziert, die sich mehr oder weniger ihm zuordnen lassen. Betrachte ich alle diese Daten jetzt nicht, weil es sich hier um eine normale Arbeitnehmertätigkeit handelt und es einen (Arbeits)Vertrag gibt? Ich bin hier immer noch im Zweifel.

  6. #6
    Registriert seit
    08.07.2009
    Beiträge
    4.043

    Standard

    Verstehe ich immer noch nicht ...

    Wie soll man einen Mitarbeiter bzw. Kollegen in Misskredit bringen (dazu noch bei einem möglichen späteren Arbeitgeber - woher weiß der Betrüger von einem möglichen späteren Arbnitgeber eines Kollegen?), allein durch Weitergabe einer Sicherheitsleitlinie, die der Kollege verfasst hat? Darin werden ja keine Mitbewerber in Misskredit gebracht.

    Worum geht es Ihnen genau? Um die Zuordnung von Artikeln, Berichten usw aus dem Intranet zu einer bestimmten Person, oder darum, dass Mitarbeiter Unterlagen im Rahmen des ISMS an Dritte weiterleiten können?

    Ungerechtfertigte Weitergabe von Betriebsinterna geht in Richtung "Verrat von Geschäftsgeheimnissen" oder auch "ungerechtfertigter Datenabfluss bzw. Datenpanne (bei pb Daten)". Der Arbeitsvertrag sowie Organisationsanweisungen etc. enthalten sicherlich entsprechende Hinweise zur Verschwiegenheit und zum Umgang mit Unterlagen. Aber kriminelle Energie lässt sich dadurch ja nicht immer ausschließen.

  7. #7

    Standard

    Zitat Zitat von bdsb Beitrag anzeigen
    Verstehe ich immer noch nicht ...

    Wie soll man einen Mitarbeiter bzw. Kollegen in Misskredit bringen (dazu noch bei einem möglichen späteren Arbeitgeber - woher weiß der Betrüger von einem möglichen späteren Arbnitgeber eines Kollegen?), allein durch Weitergabe einer Sicherheitsleitlinie, die der Kollege verfasst hat? Darin werden ja keine Mitbewerber in Misskredit gebracht.

    Worum geht es Ihnen genau? Um die Zuordnung von Artikeln, Berichten usw aus dem Intranet zu einer bestimmten Person, oder darum, dass Mitarbeiter Unterlagen im Rahmen des ISMS an Dritte weiterleiten können?

    Ungerechtfertigte Weitergabe von Betriebsinterna geht in Richtung "Verrat von Geschäftsgeheimnissen" oder auch "ungerechtfertigter Datenabfluss bzw. Datenpanne (bei pb Daten)". Der Arbeitsvertrag sowie Organisationsanweisungen etc. enthalten sicherlich entsprechende Hinweise zur Verschwiegenheit und zum Umgang mit Unterlagen. Aber kriminelle Energie lässt sich dadurch ja nicht immer ausschließen.
    Also - im Zusammenhang mit der Risikoanalyse für ein ISMS gibt es ein Asset, welches Confluence heißt (ein Wiki). Ein Bedrohungszenario aus dem Gefährdungskatalog des BSI heißt 'Mißbrauch personenbezogener Daten'. Ich prüfe nun ob es zu dieser Bedrohung eine Schwachstelle gibt und wenn ja, wird dieses Risiko analysiert. Als Schwachstelle könnte man die Möglichkeit des Ausdruckens solcher Artikel ansehen. Meine Frage lautet eben grundsätzlich - ist diese Bedrohung relevant ja oder nein. Oder konkreter ausgedrückt - sind derartige Artikel im Wiki mit der Angabe des Autors generell schützenswert unabhängig von ihrem Inhalt weil es sich hierbei um personenbezogene Daten handelt. Der Inhalt ist wie gesagt zweitrangig. Um es nochmal zu überziehen - ein bösartiger Kolege druckt das aus oder kopiert es sich und macht sich im gemeinsamen Bekanntenkreis über zahlreiche Rechtschreibefehler lustig und diskreditiert damit den Betroffenen. Je mehr ich darüber hier schreibe, dest mehr komme ich zu der Überzeugung, dass es sich hier um pD handelt, welche dann natürlich schützensewert sind.

  8. #8
    Registriert seit
    08.07.2009
    Beiträge
    4.043

    Standard

    Zitat Zitat von Kristor Beitrag anzeigen
    ...Um es nochmal zu überziehen - ein bösartiger Kolege druckt das aus oder kopiert es sich und macht sich im gemeinsamen Bekanntenkreis über zahlreiche Rechtschreibefehler lustig und diskreditiert damit den Betroffenen. ...
    Diese von Ihnen aufgezeigte Bedrohung, die sich eine Schwachstelle zu Nutze macht, existiert nicht speziell für das Wiki bzw. Confluence. Es handelt sich um ein grundlegendes Problem, das alle betrieblichen Dokumente umfasst, aus denen auf den Autor geschlossen werden kann oder in denen der Autor genannt ist.

    Die Bedrohung besteht in diesem Fall aus dem ungerechtfertigten Gebrauch und der Veröffentlichung betrieblicher Unterlagen; die Schwachstelle besteht darin, dass diese Daten nicht schreibgeschützt oder für den Druck gesperrt sind. Als Schutzmaßnahmen infrage kämen Sensibilisierungen für die ordnungsgemäße Handhabung und Organisationsanweisungen; bei begründetem Verdacht ggf. "Taschenkontrollen". Ansonsten wird eine Schutzmaßnahme hier nur begrenzte Möglichkeit entfalten können, insbesondere wenn kriminelle Energie im Spiel ist ("bösartiger Kollege druckt oder kopiert").

  9. #9

    Standard

    Zitat Zitat von bdsb Beitrag anzeigen
    Diese von Ihnen aufgezeigte Bedrohung, die sich eine Schwachstelle zu Nutze macht, existiert nicht speziell für das Wiki bzw. Confluence. Es handelt sich um ein grundlegendes Problem, das alle betrieblichen Dokumente umfasst, aus denen auf den Autor geschlossen werden kann oder in denen der Autor genannt ist.
    Dem würde ich mich nunmehr auch so anschließen und zum Abschluß konstatieren, dass alle betrieblichen Dokumente, bei welchen der Autor mit benannt oder identifizierbar ist, personenbezogene Daten sind. Vielen Dank für das konstruktive Brainstorming.
    VG an all Kristor

  10. #10
    Registriert seit
    08.07.2009
    Beiträge
    4.043

    Standard

    Was ich zum Ausdruck bringen wollte:

    Das Asset, also der Unternehmenswert lautet "Wiki oder "Intranet oder "Confluence".

    Dort sind pb und betriebliche Daten gespeichert bzw eingestellt.

    Eine Bedrohung kann darin bestehen, dass diese Daten zweckentfremdet verwendet werden könnten.

    Als Schwachstelle kann der Ausdruck, die Übermittlung oder das Fotografieren dieser Daten sein.

    Als Schutzmaßnahme kommt zB die Nur-Lese-Einstellung in Betracht, außerdem Organisationsanweisungen und Sensibilisierungsmaßnahmen mit Verpflichtungen etc.

    Kriminelle Energie wird sich von all' dem im Zweifelsfall nicht beeindrucken lassen.

    Wichtig ist: Dass Asset (Intranet bzw Wiki) muss geschützt werden. Die entsprechenden Schutzmaßnahmen beziehen sich dadurch
    (automatisch) auf alle Arten von Daten, unabhängig davon, ob diese personenbezogen sind.

    Die Fragestellung, ob die Namen der Autoren der dort eingestellten Artikel personenbezogen sind, mag sicher auch eine Relevanz besitzen. Im Hinblick auf den Schutz des Assets, also aus ISMS-Sicht, hat dies im Endeffekt geringere Bedeutung. Denn: Das Asset muss im Rahmen des ISMS ohnehin geschützt werden, da dort, wie genannt, wichtige/sensible betriebliche Informationen gespeichert sind.
    Geändert von bdsb (13.06.2018 um 19:26 Uhr)

Ähnliche Themen

  1. Sind Kontaktdaten personenbezogene Daten ?
    Von DatenschutzHeinz im Forum Allgemeine Rechtsfragen, Gesetze, Gesetzgebung
    Antworten: 5
    Letzter Beitrag: 02.05.2018, 13:08
  2. Antworten: 2
    Letzter Beitrag: 12.09.2016, 15:31
  3. Antworten: 10
    Letzter Beitrag: 05.06.2013, 16:39
  4. Sind Zählerstände personenbezogene Daten?
    Von Jochen B. im Forum Spezielle Techniken, Bilder, Videos, optische und akustische Daten
    Antworten: 19
    Letzter Beitrag: 08.11.2012, 20:26
  5. Personenbezogene Daten im Feld Betreff einer E-Mail
    Von DBRS im Forum DATENSCHUTZ IM ALLTAG
    Antworten: 5
    Letzter Beitrag: 23.12.2011, 07:50

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •