… Datenschutz. Wir haben am 10.12.23 berichtet, dass der NRW Betriebssportverband interessante Fakten über dieses Thema veröffentlicht. In unregelmäßigen Abständen berichten wir hierüber. Das aktuelle Thema ist diesmal „Benutzer Accounts und die DSGVO“, wir zitieren den Vorsitzenden des BSV NRW, Hans-Peter Dölle:

„Fragestellung

In meiner Tätigkeit als Datenschutzbeauftragter werden immer wieder Fragen zum Thema Benutzer-Accounts gestellt. Der folgende Text behandelt die beiden Themen:

·                    Ist es zulässig, dass sich Kollegen mit den Zugangsdaten eines anderen anmelden?

und

·                    Besteht eine Verpflichtung, Zugangsdaten oder ähnliches offenzulegen, damit ein anderer diese ggf. verwenden kann?

Aus Sicht der DSGVO können beide Fragen mit einem klaren NEIN beantwortet werden.

Hier die Details:

Ist es zulässig, dass sich Kollegen mit den Zugangsdaten eines anderen anmelden

Nein, das ist ein schwerwiegender Verstoß gegen grundlegende Prinzipien des Datenschutzes und der IT-Sicherheit.

Die Gründe dafür sind:

·                    Verlust der Nachvollziehbarkeit (Rechenschaftspflicht): Wenn sich Mitarbeiter Schmidt mit den Daten von Mitarbeiterin Meier anmeldet, ist im System nicht mehr nachvollziehbar, wer eine bestimmte Aktion (z.B. eine Datenänderung, einen Datenexport oder eine Löschung) tatsächlich durchgeführt hat. Dies macht jede Protokollierung und Auditierung unmöglich und verletzt den Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

·                    Verstoß gegen die Vertraulichkeit: Jeder Benutzeraccount hat spezifische Zugriffsrechte. Durch die gemeinsame Nutzung von Zugangsdaten erhält eine Person möglicherweise Zugriff auf Daten, die sie für ihre Arbeit nicht benötigt und für die sie keine Berechtigung hat (z.B. persönliche E-Mails, Personalinformationen etc.). Dies verstößt gegen das Prinzip der Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO).

·                    Verletzung der Datensicherheit: Individuelle und persönliche Zugangsdaten sind eine fundamentale technische und organisatorische Maßnahme (TOM) zum Schutz von Daten (Art. 32 DSGVO). Das Teilen dieser Daten hebelt diese Schutzmaßnahme komplett aus.

Besteht eine Verpflichtung, Zugangsdaten oder ähnliches offenzulegen, damit ein anderer diese ggf. verwenden kann?

·                    Pflicht zur Geheimhaltung:
Jeder Mitarbeiter ist verpflichtet, seine persönlichen Zugangsdaten (insbesondere das Passwort) geheim zu halten. Diese Pflicht ergibt sich aus dem Arbeitsvertrag, aus Betriebsvereinbarungen oder IT-Nutzungsrichtlinien und ist eine grundlegende Sorgfaltspflicht.

·                    Keine rechtliche Grundlage:
Ein Vorgesetzter oder Kollege kann Sie nicht rechtmäßig dazu verpflichten, Ihr Passwort preiszugeben. Eine solche Anweisung wäre unzulässig.

·                    Persönliche Haftung:
Sie sind für alle Aktionen verantwortlich, die unter Ihrem Benutzerkonto durchgeführt werden. Wenn Sie Ihr Passwort weitergeben und der Kollege damit einen Schaden oder eine Datenpanne verursacht, sind Sie in der unmittelbaren Verantwortung und müssen nachweisen, nicht selbst gehandelt zu haben.

Wie mache ich es richtig?

Wenn ein Kollege (z.B. im Urlaubs- oder Krankheitsfall) auf bestimmte Daten oder Funktionen zugreifen muss, ist die Weitergabe von Passwörtern immer der falsche Weg. Stattdessen gibt es etablierte und datenschutzkonforme Lösungen:

·                    Stellvertreterregelungen:
E-Mail-Programme und andere Systeme bieten die Möglichkeit, Stellvertreter zu benennen, die dann mit ihrem eigenen Account auf das Postfach oder die Daten des Kollegen zugreifen können.

·                    Funktionspostfächer:
Für geteilte Aufgaben sollten allgemeine, nicht-personalisierte Postfächer oder Accounts eingerichtet werden (z.B. buchhaltung@firma.de).

·                    Sauberes Berechtigungskonzept:
Die IT-Abteilung muss in der Lage sein, einem Benutzer vorübergehend die notwendigen Rechte für eine Vertretung zu geben.

·                    Notfallkonzept:
Für unvorhergesehene Notfälle sollte es einen definierten Prozess geben, bei dem die IT-Administration kontrolliert und protokolliert den notwendigen Zugriff ermöglicht.

(Stand September 2025)"