Hallo,

das alle Mitarbeiter der IT unkontrolliert Zugriff auf die SBV-Daten haben, ist völlig inakzeptabel.
Selbst wenn Du in Einzelfällen sogar eine Zustimmung der betroffenen hast, ist aus meiner Sicht fraglich, ob eine derart weitreichende und nicht wirklich bestimmte Zustimmung rechtswirksam ist.
ich sehe Dich da in ständigem Konflikt mit § 179 Abs. 7 SGB IX,
https://www.gesetze-im-internet.de/sgb_9_2018/__179.html
dessen Verletzung in § 237b SGB IX strafbewehrt ist.

Ich bin zwar kein IT-Experte, aber unsere IT hat mir eine völlige Abschottung unserer Dateien sowie unseres speziellen Verwaltungsprogramms eingerichtet. Darüberhinaus habe ich mit unserer IT auch vereinbart, daß unsere Daten ausschließlich bei uns vor Ort in einem physischen Server gespeichert werden und nicht in irgendeiner "Cloud".
Bei Problemen vergeben wir, die SBV, eine temporäre Freigabe für die Einsicht zur Fehlersuche und -behebung.

Laut Auskunft unserer IT ist das auch relativ einfach und unkompliziert einzurichten.

By the way, da dies gerne vergessen wird: Diese Notwendigkeit der Abschottung gilt auch für Mail- und Kalenderprogramme. Bereits der Zweck eines Aufsuchens der SBV - zB zur Erstberatung - ist ein schützenswertes Datum. Bei den gängigen Mail- und Kalenderprogrammen sind idR viel zu viele Zugriffs- und Leserechte für Dritte voreingestellt.

Das bisherige Bild verändert sich gerade, denn immer mehr Mitarbeitende wünschen nicht, dass ihre Daten gespeichert werden, da halbes Dutzend der IT Abteilung einen Zugriff haben könnten.

Hallo,

eine Speicherung auf diesem Server würde ich als betroffener sbM kategorisch ablehnen unter diesen Umständen bzw. sofort widerrufen.

Gruß,
Cebulon

Hallo Phönix,

die Frage des unberechtigten Zugriffs auf sensible Daten der SBV ist ein wichtiges Thema.
Naturgemäß verfügen Administrator*innen über weitgehende Zugriffsberechtigungen, die auch erforderlich sind - Administrator*innen sollen im Zweifel alles steuern/regeln können.

Technisch ließe sich sicherlich auch die Administration ausschließen - beispielsweise durch Nutzung eines verschlüsselten Containers, in dem die vertraulichen Daten gespeichert sind. Hierfür bietet sich z. B. eine Software wie TrueCrypt an. Aber auch eine passwortgeschützte ZIP-Datei wäre möglich.

Die Rechtsprechung hat sich mit Blick auf entsprechende Befürchtungen des Betriebsrates bereits positioniert:

Das BAG dazu in seinem Beschl. v. 20.4.2016 (7 ABR 50/14): "Der Betriebsrat darf einen separaten, vom Proxy-Server des Arbeitgebers unabhängigen Internetzugang nicht allein deshalb für erforderlich halten, weil über den zentral vermittelten Internetzugang technisch die Möglichkeit besteht, die Internetnutzung und den E-Mail-Verkehr zu überwachen. Ebenso wenig wie die rein theoretische Möglichkeit der sachfremden Nutzung des Internetanschlusses durch Betriebsratsmitglieder dem Anspruch des Betriebsrats auf einen Internetzugang von vornherein entgegensteht, kann dem Arbeitgeber ohne das Vorliegen konkreter Anhaltspunkte unterstellt werden, dass er die Internetaktivitäten des Betriebsrats einschließlich des E-Mail-Verkehrs unzulässigerweise kontrolliert und damit den Grundsatz der vertrauensvollen Zusammenarbeit (§ 2 I BetrVG) missachtet."

Verneint hat das LAG Köln die Kostenübernahme für eine Verschlüsselungssoftware des Betriebsrates (Beschluss vom 9. 7. 2010 - 4 TaBV 25/10): "Zudem würde sich der Administrator nach § 202 a StGB strafbar machen. Gegen unberechtigten Zugang besonders gesicherte Daten sind auch solche, die durch Passwörter geschützt sind (vgl. Lackner, StGB, § 202 a Rdnr. 4 m. w. Nachw.). Der entsprechende strafrechtliche Schutz gilt auch gegenüber jeder sonstigen dritten, nicht vom Betriebsrat ermächtigten Person, insbesondere auch gegenüber jedem weiteren Mitarbeiter oder Organmitglied der Ag. Dass „Microsoft Ofice” einen Schutz durch Passwörter möglich macht, ist unstreitig. So hat die Ag. vom Ast. unbestritten vorgetragen, dass das System zwei Sicherheitsstufen gewährleistet: Es können Dokumente und Verzeichnisse, die in der Organisationseinheit „Betriebsrat” geschrieben und hinterlegt werden, ausschließlich von Betriebsratsmitgliedern eingesehen werden. Darüber hinaus kann das einzelne Betriebsratsmitglied, das ein Dokument erstellt und hinterlegt hat, über ein persönliches Passwort eine zusätzliche Sicherung schaffen. Mit dieser Sicherung über ein persönliches Passwort ist das einzelne Dokument bzw. Verzeichnis gesichert. Nach Darlegung der Ag. gilt dieses selbst gegenüber dem Administrator, was jedoch nach dem oben Gesagten dahinstehen kann.

Angesichts dieses arbeits- und strafrechtlichen Schutzes gegen ausforschende Eingriffe des Administrators ist es nicht ersichtlich, warum der Betriebsrat darüber hinaus einer Verschlüsselungsfunktion der Software bedürfte."

Abseits der strafrechtlichen Verantwortung ist bei einem unbefugten Datenzugriff durch die IT-Administration auch eine fristlose Kündigung ohne vorherige Abmahnung zulässig (LAG Köln, Urteil vom 14.5.2010 - 4 Sa 1257/09).

Hallo,
sämtliche IT-Mitarbeiter müssen eine besondere Verpflichtung zum Datenschutz unterschreiben.
Es werden sämtliche ZUgriffe auf Dateien automatisch protokolliert. Welcher User hat wann auf die Datei zugegriffen. Dieses Logbuch können die Admins einsehen, ausdrucken, aber nicht verändern oder löschen
VG
Hotte

Hey,
Wieso hat dein 1. Stellvertreter dauerhaften Zugriff auf die Daten?
VG
Hotte

Für die bisherigen Rückmeldungen und Einschätzungen bedanke ich mich und meine Vermutung, dass die Mitarbeitenden der IT keinen Zugriff auf personenbezogene Daten besonderer Kategorie haben dürfen, hat sich nicht nur hier bestätigt.

Nun werde ich Rahmen eines Lastenheftes die Anforderungen ausformulieren und denn an den Dienstgeber übermitteln. Als SBV kann es dann doch nicht meine Aufgabe sein, technische Lösungen an die IT heranzutragen. Wie die Anforderung gelöst wird, kann die IT dann in einem Pflichtheft darstellen.

Ob ich die Lösung nach der Umsetzung dann auch den Mitarbeitenden vermitteln kann, bleibt abzuwarten.

Gruß
Phönix