DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Daten­zu­griff bei Kün­digung

Im Lauf eines Arbeits­ver­hält­nisses sammeln sich viele Dateien an, die auf den Rechnern der Mit­ar­beiter und Mit­ar­bei­te­rinnen gespei­chert werden. Aber was pas­siert mit diesen Dateien, wenn die Mit­ar­beiter das Unter­nehmen ver­lassen?

 

Defi­nition von Ver­trau­lich­keiten der Daten

Grund­sätzlich ist es in einem Arbeits­ver­hältnis wichtig zu klären, welchen Zugriff Mit­ar­beiter zu welchen Daten haben und diese even­tuell auch auf ihren Rechnern spei­chern dürfen. Dazu ist es erfor­derlich, die Daten in soge­nannte Daten­schutz­klassen und Ver­ant­wort­lich­keiten zu klas­si­fi­zieren.
In Anlehnung einer Schutz­be­darfs­fest­stellung nach dem Modell des BSI und der Lan­des­da­ten­schutz­be­auf­tragten (DSB) wäre zum Bei­spiel eine 

Unter­teilung in Klassen 0–3 denkbar:

  • 0: Keine Ver­trau­lichkeit: Daten, die all­gemein bekannt und zugänglich sind. Kein Scha­dens­po­tential, wenn Unbe­rech­tigte davon Kenntnis erhalten.
  • 1: Ein­fache Ver­trau­lichkeit: Daten, die im Unter­nehmen all­gemein bekannt und nicht schutz­be­dürftig, jedoch nicht für Unbe­fugte bestimmt sind. Geringes Scha­dens­po­tential.
  • 2: Gehobene Ver­trau­lichkeit: Daten, die nur für die damit beschäf­tigten Mit­ar­beiter zugänglich sind. Mitt­leres bis hohes Scha­dens­po­tential.
  • 3: Höchste Ver­trau­lichkeit: Daten, die nur zugänglich gemacht werden dürfen, sofern für die Auf­ga­ben­er­füllung zwingend erfor­derlich. Sehr hohes bis exis­ten­ti­elles Scha­dens­po­tential.

Klärung der Ver­wendung

Bereits vor dem Ein­tritt in die Firma ist mit den Mit­ar­beitern und Mit­ar­bei­te­rinnen ver­traglich fest­zu­halten, wie in Ihrem Unter­nehmen der Umgang mit Daten jeg­licher Art geregelt ist. Zum Bei­spiel die Klärung der Daten­si­cherung, das ver­trau­liche Ver­nichten von sen­siblen Daten, das Wei­ter­leiten von Daten innerhalb und außerhalb des Hauses, die Ver­wendung von Daten auf dem fir­men­ei­genen Arbeits­platz. Und ebenso gilt es dann fest­zu­halten, was mit den Daten auf dem PC des Mit­ar­beiters nach seinem Aus­tritt aus der Firma pas­siert und wer welche Zugriffs­mög­lich­keiten haben darf. Und wichtig: Geschäft­liche Daten dürfen nach dem Weggang eines Mit­ar­beiters nicht mit­ge­nommen werden. Das heißt keine Daten­si­cherung auf einem USB-Stick und Ver­wendung in einem anderen Unter­nehmen. Alle Daten und Doku­mente sind im Unter­nehmen zu belassen und unter­liegen dem Daten­schutz. Grund­sätzlich muss der aus­schei­dende Arbeit­nehmer alle ihm vom Arbeit­geber zur Ver­fügung gestellten und in dessen Eigentum ste­henden Arbeits­mittel spä­testens mit dem Ende des Arbeits­ver­hält­nisses her­aus­geben.

Private Nutzung des PC

Sollten Mit­ar­beiter innerhalb der Firma auch die Mög­lichkeit haben, private E-Mails auf Ihrem Fir­men­rechner zu ver­walten, dann muss auch hier klar geregelt sein, was nach einem Aus­scheiden des Mit­ar­beiters mit diesen E-Mails und even­tuell gespei­cherten E-Mail-Accounts geschieht.

Der Zugriff auf diese (privaten/geschäftlichen) E-Mails muss vor allem auch deshalb klar geregelt sein, weil sonst ein Verstoß bezie­hungs­weise eine Ver­letzung des Fern­mel­de­ge­heim­nisses im Sinne des § 206 StGB vor­liegen würde und sich der Unter­nehmer dadurch even­tuell dadurch strafbar macht, wenn er ohne Erlaubnis des (Ex-)Mitarbeiters auf dessen Account/Mails zugreift.

Ver­ein­ba­rungen zwi­schen Unter­nehmen und Mit­ar­beiter

Lassen Sie sich den Zugriff auf den PC des Mit­ar­beiters in jedem Fall schriftlich bestä­tigen. Üblich ist vor dem Aus­scheiden eines Mit­ar­beiters anhand von Check­listen genau zu doku­men­tieren, welche Unter­lagen wieder aus­zu­hän­digen sind, welcher Zugriff für wen im Hause über­tragen werden muss, welche Dateien im Zugriff sein müssen und welche Ver­ant­wor­tungen über­geben werden müssen.

Dazu gibt es im Internet bereits Muster-Pflich­t­­listen, hier ein Bei­spiel dazu:

Pflich­ten­liste für Mit­ar­bei­te­rinnen oder Mit­ar­beiter, die das Unter­nehmen ver­lassen:

Sehr geehrte® Frau/Herr XY,

Sie ver­lassen zum .…..unser Unter­nehmen. Wir möchten Sie bitten, vor Ihrem letzten Arbeitstag fol­gende Auf­gaben noch zu erle­digen und die Erle­digung zu bestä­tigen, damit wir sicher gehen können, dass kei­nerlei per­sön­liche Daten von Ihnen auf unseren IT-Sys­­­temen und in Anwen­dungen gespei­chert sind.

  • 1. Prüfen Sie bitte alle E-Mails in Ihrem E-Mail-Account im Hin­blick darauf, dass dort mög­li­cher­weise noch private E-Mails vor­handen sind, die Sie gelöscht wissen möchten und ver­an­lassen Sie bitte die Löschung.
  • 2. Prüfen Sie bitte Datei­ver­zeich­nisse in den von Ihnen genutzten IT-Sys­­­temen (PC, Notebook, von Ihnen genutzte Server-Ver­­zeich­­nisse etc.) auf private Daten ohne Unter­neh­mens­bezug und ver­an­lassen Sie bitte die Löschung der Daten.
  • 3. Prüfen Sie bitte das Ihnen zur Ver­fügung gestellte Telefon und Mobil­funk­te­lefon auf private Daten und ver­an­lassen Sie die Löschung der Daten.
  • 4. Prüfen Sie, falls Sie Dienst­fahr­zeuge mit Navi­ga­ti­ons­sys­temen genutzt haben, ob die Navi­ga­ti­ons­systeme noch private Navi­ga­ti­ons­ziele oder –routen ent­halten und ver­an­lassen Sie die Löschung der Daten.
  • 5. Prüfen Sie alle Unter­lagen an Ihrem Arbeits­platz auf private Unter­lagen und nehmen Sie die Unter­lagen mit bzw. ver­nichten diese.

Bestä­tigung:

Hiermit bestätige ich, dass ich die vor­ge­nannten Auf­gaben erledigt habe und dass ich kei­nerlei private Daten von mir auf IT-Sys­­­temen des Unter­nehmens weiter gespei­chert habe. Das Unter­nehmen kann jetzt auf alle von mir genutzten Datei­ver­zeich­nisse und E-Mail-Accounts zugreifen.

Ort, Datum      Unter­schrift Mitarbeiterin/Mitarbeiter
Quelle: www.datenschutz-guru.de

Fazit

Klären Sie schriftlich mit Ihren Mit­ar­beitern und Mit­ar­bei­te­rinnen vor dem Ein­tritt ins Unter­nehmen wie das Handling in Bezug auf den Daten­schutz in Ihrem Unter­nehmen funk­tio­niert und vor allem was mit Daten nach dem Aus­tritt der Mit­ar­beiter pas­sieren muss. Dies ist schon aus rein (straf-) recht­lichen Aspekten für beide Seiten sinnvoll.:

Klare Ver­ein­ba­rungen schaffen klare Ver­hält­nisse!

 Bild:  © Tim Reckmann   / pixelio.de

2 Kommentare zu Datenzugriff bei Kündigung

  • B.Werner sagt:

    Welche Rechte habe ich als Arbeit­nehmer, bzw. frei­be­ruflich für das Unter­nehmen tätiger mit aber genau mit so einem Arbeits­platz, wie o.g., wenn der Zugang zum Server/ Intranet ohne Ankün­diging und vor­herige Mög­lichkeit es auf private Daten zu prüfen, gesperrt und das eigene Smart­phone und Ipad, auf denen vorher der Zugang eben­falls ein­ge­richtet war, auf den Werks­zu­stand gesetzt wird. Dabei gingen defi­nitiv private Fotos und Auf­zeich­nungen ver­loren.

  • Smithg268 sagt:

    I am impressed with this website, rattling I am a big fan. gaededcd­dacdgfdk

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Joachim Vogel, DATEV eG

Dipl. Betriebswirt (FH)

Studium der Betriebs­wirt­schaft im Schwer­punkt Mar­keting
Erfah­rungen in der Pro­gram­mier­sprache RPGII

Aufbau einer EDV-Ver­triebs-Abteilung in einem großen Ver­si­che­rungs­konzern (Ver­ant­wortlich für die techn. Infra­struktur in den Filialdirektionen/Disposition und Instal­lation der EDV)

Seit 1989 bei DATEV eG in Nürnberg tätig. Pro­jekt­leitung “esecure bei Behörden und Insti­tu­tionen”; techn. Know-how im TK-Management (Cloud-Lösungen; Beratung und Instal­lation von Tele­kom­mu­ni­ka­tions-Lösungen in Steu­er­kanz­leien; Koordinator/Ansprechpartner bei techn. Tele­kom­mu­ni­ka­ti­ons­an­fragen); Zer­ti­fi­zierung nach ITIL

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare