Datenschutz mit SP-EXPERT

"SP-EXPERT verfügt über ein Passwortschutzsystem und damit über einen wesentliche Bestandteil der einzurichtenden "Zugangskontrolle" und eine "Zugriffskontrolle" (Berechtigungsverwaltung), aber auch über eine "Eingabekontrolle" (z. B. Protokollierung) etc." schreibt ein betrieblicher Datenschutzbeauftragter (BDSB) in seinem Bericht.

 

Der Datenschutzbeauftragte orientiert sich an den "TOM", den vom Bundesdatenschutzgesetz geforderten "Technischen und organisatorischen Maßnahmen". Diese sind bei der Anwendung eines IT-Systems zu ergreifen, mit dem Personaldaten verarbeitet werden. Die Technik des Systems muss dazu geeignet sein und der Anwender muss seine Organisation datenschutzgerecht gestalten.

 

Die Grundlagen sind vorhanden, doch manchmal hapert es an der korrekten Umsetzung im Detail ...

... wenn beispielsweise der BDSB darüber informiert wird, dass eine SP-EXPERT-Benutzerkennung missbraucht wurde und er feststellen muss, von wem dies wann und an welchem Computerarbeitsplatz geschehen ist. In so einer Situation, die kürzlich tatsächlich in einem Unternehmen eingetreten ist, kann nur konstatiert werden, dass die TOM nicht ausreichend realisiert sind, um den Fall letztendlich und sicher aufzuklären.  

Protokollierung

SP-EXPERT protokolliert automatisch und unbeeinflussbar jede Änderung an den Stammdaten. Zu jedem einzelnen Stammdatum gibt es ein fortlaufendes Protokoll, das anzeigt, welcher Benutzer wann Daten zu diesem Stammdatum erstellt, geändert oder gelöscht hat. Durch gezieltes regelmäßiges Beobachten der Protokollierung oder Suchen in den Protokollen sind Maßnahmen nachvollziehbar und eventuell Missbrauchsfälle erkennbar. 

 

Beispiel

In einer Betriebsvereinbarung zur Anwendung von SP-EXPERT ist geregelt, dass jede Änderung an den Benutzerrechten (Stammdatum "Benutzergruppen") und jedes Anlegen und Löschen eines Anwenders (Stammdatum "Benutzer") mitbestimmungspflichtig sind. Der Betriebsrat prüft monatlich die Protokollierung zu diesen beiden Stammdatentypen. Stellt er Einträge im Protokoll fest, die nicht mit einem Mitbestimmungsantrag korrespondieren, hat er eine Verletzung der Betriebsvereinbarung entdeckt. 

 

Die Änderungsprotokolle zeigen nicht an, auf welche Weise Änderungen vorgenommen wurden. Möglicherweise handelt es sich um eine unbedeutende Korrektur, beispielsweise die Berichtigung eines Schreibfehlers. Ein Protokolleintrag wird sogar dann erzeugt, wenn keine Änderungen vorgenommen wurden, jedoch das Anschauen des Stammdatums mit einem "OK" abgeschlossen wurde. Zu jedem "kritischen" Protokolleintrag ist daher eine Nachfrage bei dem entsprechenden Anwender notwendig. Eine Alternative dazu ist das Ausdrucken der Stammdaten bzw. das Speichern als PDF-Dokument, um den neuen mit dem vorherigen Zustand vergleichen zu können. Kurzzeitige Änderungen, z. B. die Vergabe zusätzlicher Rechte an einen Benutzer und kurze Zeit später das Zurücksetzen dieser Rechte auf den vorherigen Zustand sind auch durch Vergleiche mit Ausdrucken nicht erkennbar. Damit mögliche Missbräuche der Systemnutzung sind somit nicht nachweisbar. Der eingangs erwähnte BDSB könnte einen Missbrauchsfall nicht durch Beweise aufklären. 

Erweiterte Protokollierung

Neuere Versionen von SP-EXPERT verfügen über eine neuartige Protokollierung auf Datenbankebene. Diese wird "Erweiterte Protokollierung" genannt. Sie ist gegenüber der ursprünglichen Protokollierungsfunktion weitaus umfangreicher und bietet zudem erweiterte Filter- und Suchmöglichkeiten. Bei jeder Änderung eines Stammdatums werden der vorherige Zustand und der neue Zustand gespeichert. So sind auch kurzzeitige Änderungen an Stammdaten nachvollziehbar. Jeder Eingriff in das System lässt sich somit nachweisen. Für den BDSB und Betriebs- bzw. Personalräte oder Mitarbeitervertretungen ist diese "Erweiterte Protokollierung" ein notwendiges Mittel, um ihren gesetzlichen Aufgaben nachzukommen. 

 

Die "Erweiterte Protokollierung" ist konfigurierbar. Das bedeutet, dass nicht zu allen Stammdaten ein Protokoll erstellt werden muss. Im Rahmen der Verhandlungen zu einer Betriebs- bzw. Dienstvereinbarung ist daher zu entscheiden, welche Protokolle aktiviert werden sollen. Bei Stammdaten, deren Änderungen gemäß Vereinbarung mitbestimmungspflichtig sind, ist die Aktivierung der "Erweiterten Protokollierung" auf jeden Fall zu empfehlen. Gegenwärtig nicht empfehlenswert hingegen ist die Aktivierung aller Protokollierungen, da diese einen sehr hohen Ressourcenverbrauch (Speicherplatz und Rechenleistung) haben. 

 

Die Konfiguration der "Erweiterten Protokollierung" ist jederzeit änderbar. Sollte eine Konfiguration verbindlich vereinbart sein, ist für die Änderung ebenfalls die Mitbestimmung der Arbeitnehmervertretung zu beantragen. Jede Änderung der Konfiguration wird ebenfalls protokolliert. Daraus ergibt sich die zusätzliche Aufgabe für den Betriebs- bzw. Personalrat, regelmäßig auch dieses Protokoll zu überprüfen. 

Passwortschutz

In dem eingangs gezeigten Screenshot ist erkennbar, welche Möglichkeiten zum Passwortschutz in SP-EXPERT aktuell vorhanden sind. Das Bild zeigt die vom BDSB des eingangs erwähnten Unternehmens vorgeschlagenen Einstellungen. Doch der BDSB fordert, veranlasst durch den von ihm aufzuklärenden Missbrauchsfall eine weitergehende Sicherung. In dem Fall wurde beim Anlegen eines Benutzers von der Systemadministration ein Initialpasswort gesetzt. Dieses Passwort muss der Benutzer bei seiner ersten Anmeldung gegen ein selbst gewähltes Passwort austauschen, das den konfigurierten Bedingungen entspricht. Im Normalfall stellt dieses Verfahren kein Problem dar, denn es werden nur die Benutzerkennungen angelegt, die für das Arbeiten mit SP-EXPERT tatsächlich benötigt werden. 

 

Eine Ausnahme stellt regelmäßig die Arbeitnehmervertretung dar, für deren Mitglieder ebenfalls Benutzerkennungen angelegt werden, sofern dies betrieblich vereinbart wurde. Diese Benutzerkennungen werden jedoch meist nicht alle verwendet, da im Betriebs- oder Personalrat oder in der Mitarbeitervertretung nur wenige Mitglieder die Aufgabe haben, die notwendigen Systemprüfungen und Dienstplangenehmigungen etc. vorzunehmen. So kann die Situation entstehen, dass ein Initialpasswort über einen längeren Zeitraum bestehen bleibt. Dies ist ein gefährliches Einfallstor für eine missbräuchliche Nutzung des Systems! 

 

Vom BDSB wird daher vorgeschlagen, zusätzliche Sicherungen im System vorzusehen. Eine Möglichkeit besteht darin, die Gültigkeit des Initialpasswortes auf wenige Tage zu begrenzen. Darüber hinaus könnte der Benutzer per E-Mail über die Notwendigkeit der ersten Anmeldung informiert und bei Missachtung der Benutzereintrag wieder gelöscht werden. Weitere organisatorische Maßnahmen sind denkbar und betrieblich einzurichten. Heutzutage ist es zudem üblich, SP-EXPERT und alle anderen Anwendungssysteme in ein "Single Sign On"-System zu integrieren, welches selbstverständlich über derartige Sicherungsmechanismen verfügt.

Der Missbrauchsfall ...

... konnte vom BDSB nicht mittels Beweisen aus dem Anwendungssystem aufgeklärt werden. Die hier beschriebenen Erweiterungen der technischen und organisatorischen Maßnahmen waren nicht vorhanden. Die Protokolle waren nicht aussagekräftig genug. Ein über mehrere Wochen nicht geändertes Initialpasswort war ausreichend, um das System missbräuchlich zu verwenden. Dass es in diesem Fall schließlich doch gelang, den Schuldigen zu ermitteln und ihn zu einem Geständnis zu bewegen, war nur aufgrund von Indizien möglich, gestützt durch energisches Eingreifen und Polizei-ähnlichem Auftreten des BDSB. 

 

Die neue EU-Datenschutzgrundverordnung, die im Mai 2018 in Kraft tritt, verlangt im Übrigen die Umsetzung der Grundsätze "Privacy by Design" (Datenschutz durch Technik) und "Privacy by Default" (datenschutzfreundliche Voreinstellungen) - für viele Softwarehersteller leider auch heute noch weitgehend unbekannte Prinzipien mit völlig neuen Herausforderungen ... 

Workshop D

Mehr über den Datenschutz, speziell zu Protokollierungen und Passwortschutzsystemen bei SP-EXPERT und zur EU-Datenschutzgrundverordnung (DSGVO) erfahren Arbeitnehmervertreter im TEMPI-Workshop "D", der sich den Themen "Datenschutz" und "Leistungs- und Verhaltenskontrolle" widmet. Der nächste Workshop findet vom 23. bis 25. November 2016 im Landhotel Am Rothenberg in Uslar-Volpriehausen statt. Anmeldungen sollten bis zum 28. September vorgenommen werden. Bei späteren Anfragen kann die Verfügbarkeit von Teilnehmerplätzen nicht mehr garantiert werden. Die Einladung zum Workshop ist hier zu finden und die direkte Anmeldung ist hier möglich.

Kommentar schreiben

Kommentare: 0

TEMPI Gesellschaft für ganzheitliche Arbeitszeitberatung mbH

Karl-Hermann Böker

Hartlager Weg 61a

33604 Bielefeld


Fon: 05 21 - 45 36 18 1

Mobil: 01 78 - 17 30 75 7

Fax: 05 21 - 45 32 04 1

E-Mail: buero@tempi.de