Als Arbeitgeber sind wir dazu verpflichtet, jährlich Angaben zur Sozialversicherung an die Krankenkassen zu übermitteln (Jahresmeldung). Dies erfolgt gemäß der “Datenerfassungs- und Ermittlungsverordnung” (DEÜV) auf elektronischem Wege. Bestandteil dieser Meldung ist ein bisher fünfstelliger “Tätigkeitsschlüssel”, der mit Wirkung zum 01.12.2011 durch einen nun neunstelligen neuen Schlüssel ersetzt wird.
Dieser neue, jedem Mitarbeiter zuzuordnende Schlüssel enthält neben der (genauer als bisher geschlüsselten) Tätigkeit auch detailliertere Angaben zum Schulabschluss und ganz neu nun auch erstmalig zum “höchsten beruflichen Ausbildungsabschluss” des Arbeitnehmers. Diese Angaben dienen als Grundlage für die Beschäftigungsstatistik der Agentur für Arbeit.
Anstatt nun bei allen Mitarbeitern fehlende Daten nachzuerheben, gehen wir einen anderen Weg:
- 6. Stelle (Höchster bildender Schulabschluss): Ziffer 9 – unbekannt
- 7. Stelle (Höchster beruflicher Abschluss): Ziffer 9 – unbekannt
Schön, dass es diese Möglichkeit wenigstens noch gibt (auch wenn sie den uns vorliegenden Informationen zur Folge möglichst nur in Ausnahmefällen genutzt werden “soll” 
) und sich so die Erhebung ja nicht zwingend erforderlicher personenbezogener Daten zumindest ein klein wenig begrenzen lässt.
Nachdem wir uns im vergangenen Jahr bereits zwei Mal kritisch über das umstrittene “Elektronischen Entgeltnachweisverfahren” (kurz: ELENA) geäußert haben (hier und hier), gibt es nun gute Neuigkeiten. Denn ELENA soll offiziell abgeschafft und “schnellstmöglich” eingestellt werden. Der damit verbundene Verzicht auf die zentrale Speicherung umfangreicher Daten aller Beschäftigter kann nur begrüßt werden (Hintergrund).
Immer wieder wundern wir uns über die Sorglosigkeit mancher Kunden beim Umgang mit ihren persönlichen Daten. Besonders auffällig ist dies, wenn uns mal wieder Kontoauszüge ohne jegliche Schwärzungen übersendet werden. Dabei erhalten wir dann ungewollt Einblick in sensible Dinge wie beispielsweise den Kontostand, die Höhe der Miete oder getätigte Überweisungen.
Als besonderen “Vertrauensbeweis” möchten und können wir das nicht werten. Sondern vielmehr als Ausdruck eines offensichtlich viel zu geringen Bewusstseins was den Umgang mit sensiblen Daten angeht.
Wir haben uns daher vorgenommen, in Zukunft aktiv auf das Thema einzugehen, z.B. mit folgendem kurzen Text im Rahmen der regulären Antwort:
Abschließend noch ein kurzer Hinweis in Sachen Datenschutz: Der von Ihnen übermittelte Kontoauszug hat uns nicht betreffende Angaben enthalten. Natürlich gehen wir mit diesen Angaben sorgsam um und werden sie insbesondere in keiner Weise nutzen. Dennoch wollten wir es nicht unterlassen, Sie der Vollständigkeit halber auf diesen Umstand hinzuweisen. Eine Firma benötigt niemals alle Angaben eines Kontoauszug, weshalb Sie nicht relevante Angaben wie z.B. Buchungsposten oder Kontostände bedenkenlos schwärzen können und – im Interesse des Datenschutzes – auch schwärzen sollten.
Wie gut dieser kleine “Zusatzservice” bei den jeweiligen Partnern ankommt und ob er etwas bewirken kann, wird sich zeigen. Bei erwähnenswertem Feedback werden wir darüber jedenfalls hier im Blog berichten.
Der bei Unternehmen entstehende zeitliche und finanzielle Aufwand für rechtlich einwandfreie “AGB” und Datenschutzbestimmungen ist durchaus nicht zu unterschätzen, wenn man alles so gut wie möglich machen und die Inhalte auf einem aktuellen Stand halten möchte. Manche Gauner Wettbewerber scheinen das anders zu sehen und sich zu denken: Was mein Mitbewerber hat anwaltlich erstellen lassen, ist für mich doch gut genug. Und schwupp, werden die Texte einfach 1:1 kopiert und für eigene Zwecke genutzt.
Nett ist das nicht und wer sich so an den Früchten fremder Arbeit bedient, darf sich auch nicht wundern, falls es dafür eins auf die Finger gibt…
naiin (gesprochen: “nein”) steht für “no abuse in internet” und ist eine gemeinnützige Organisation, die sich gegen Onlinekriminalität und für die Stärkung von Verbraucher- und Datenschutz im Internet einsetzt.
Wir wurden nun gefragt, ob wir nicht mit einer “Supporting Membership” Mitglied werden möchten. Dem haben wir gerne zugestimmt. Denn auch wenn wir unsere Arbeit nicht als “politisch” verstehen, vertritt “naiin” Ziele, die durchaus unterstützenswert sind und zu denen man sich grundsätzlich bekennen kann.
Weitere Informationen zu “naiin” findet man u.a. auf deren Homepage sowie bei Wikipedia.
Ein Kunde hat sich bei uns darüber (übrigens durchaus freundlich) beschwert, dass in seinem ManagedExchange-Kalender plötzlich sämtliche eigenen Kontakte und Termine gelöscht worden wären und statt dessen fremde Kontakte und Erinnerungen auftauchen würden.
Dem sind wir natürlich nachgegangen, um einen möglichen Defekt oder eine missbräuchlichen Nutzung ausschließen und dem Kunden helfen zu können. Denn die berechtigte Frage des Kunden lautete natürlich sinngemäß:
Woher kommen auf einmal die fremden Kontakte und Kalendereinträge von einem wildfremden Menschen, wohin sind die eigenen Kontakte und Termine verschwunden?
Wir haben dann nach intensivem aber ergebnislosen Austausch dem Kunden die für sein Exchange-Account derzeit aktiven und noch genutzten Endgeräte mitgeteilt, da diese sich Exchange “merkt”. Dabei handelte es sich um
Die Antwort kam dann sehr schnell in ungefähr folgender Form:
Das Nokia-Handy habe ich verkauft und vorher eigentlich alle Daten gelöscht. Dachte ich. Anscheinend sind die Zugangsdaten für meinen Exchange-Account aber weiterhin dort vorhanden…
…und der HandyKäufer hat einfach die Gelegenheit genutzt und den Exchange-Account mit Kalender unseres Kunden für eigene Zwecke genutzt. Vielleicht/Vermutlich auch, ohne überhaupt zu merken, dass es sich nicht um alte “lokale” Einstellungen handelt, sondern einen Online-Account.
Eine Änderung des Passworts hat den Spuk nun schnell beendet. Zudem lassen sich übrigens auch im Webzugriff unter https://exchange.df.eu bestimmte Endgeräte expliziert für den Zugriff löschen (Optionen -> “Mobile Geräte”).
Merke: Beim Verkauf oder der sonstigen Weitergabe bereits genutzter Computer, Handys und anderer Geräte sollte man unbedingt sehr sorgefältig darauf achten und verifizieren, dass auch tatsächlich alle alten Inhalte sicher und unwiderruflich gelöscht werden. Ansonsten kann es schnell peinlich, ärgerlich oder richtig unangenehm werden.
Aus einer Anfrage: Halten Sie die datenschutzrechtlichen Bestimmungen ein? Ob irgend ein Unternehmen, selbst wenn es sich nicht datenschutzkonform verhalten sollte, darauf wohl mit “nein, sorry, die gesetzlichen Regelungen sind uns zum Teil egal” antworten würde?
Und: Natürlich halten wir diese Bestimmungen ein bzw. versuchen stets, auch darüber hinaus datenschutzfreundliche Regelungen usw. umzusetzen. Dazu gehört z.B. auch die standardmäßige Abschaltung von Serverlogfiles mit IP-Adressen und der Hinweis auf die damit zusammenhängende Problematik in allen Tarif-Infomails nach Neubestellungen.
Über die gegen das umstrittene ELENA-Verfahren gerichtete Petition des CCC haben wir bereits berichtet. Das Verfahren ist aufgrund der enormen Menge an gesammelten Daten bedenklich und lässt auch uns als Arbeitgeber nicht kalt. Nun wird der FoeBuD e.V. (Wikipediaeintrag) eine Verfassungsbeschwerde organisieren und benötigt Unterstützung. Mehr dazu auch z.B. bei heise online.
Das Betroffenen derzeit Auskünfte über die jeweils gespeicherte Daten trotz gesetzlichem Anspruch (§ 103 Abs. 4 SGB IV) bis 2012 nicht erteilt werden, sei an dieser Stelle der Vollständigkeit halber erwähnt (siehe auch Screenshot unten).
Wir haben unsere Mitarbeiter aus Gründen des Datenschutzes von Anfang an gebeten, auf die Nutzung von Chrome als Browser im betrieblichen Rahmen zu verzichten. Eine von uns nun (aufgrund einer internen Anfrage) freigegebene Alterantive ist Iron von SRWare. Sämtliche bedenklichen Features sind darin nicht enthalten. Eventuell ist dieser Hinweis ja auch für Leser interessant.
Wer aus privaten/persönlichen Webseiten heraus einen Link anklickt, dessen private Webseitenadresse landet in der Regel als “Referer” im Serverlogfile des zum angeklickten Links gehörenden Webserver. Zudem kann auch jede auf dem Zielserver installierte Webanwendung den Referer bei Aufruf einer Seite durch Klick auf einen Link unmittelbar abfragen und für den Betreiber auswerten/darstellen. Es empfiehlt sich daher, z.B. privat angelegte und auf dem Webspace hinterlegte Linklisten usw. grundsätzlich mit einem Passwort vor unerwünschtem Abruf zu schützen. Denn selbst wenn keine auf den ersten Blick vertraulichen/sensiblen Inhalte dort enthalten sind, offenbart man damit Webseitenbetreibern persönliche Dinge und geht unnötige Risiken ein.
So ist es einem Leser passiert: Die Blogsoftware hat einen interessant klingenden Link als Referer angezeigt, der sich bei Aufruf als private Linksammelung eines Besuchers offenbart hat. Nun war dort nichts Wichtiges enthalten. Dennoch konnten wir sehen, für welche Webseiten sich der Domaininhaber interessiert oder bei welcher Bank er sein Onlinebanking betreibt. Und es hätten ja auch andere, persönlichere Links enthalten gewesen sein können.
Der Kunde wurde daher auch sofort per E-Mail kontaktiert und über den Umstand informiert, damit er seine private Linksammlung mit einem Passwort schützen kann. Dies war verbunden mit Lösungsvorschlägen und der Bitte, über das Ereignis im Blog berichten zu dürfen (für die Zustimmung an dieser Stelle vielen Dank). Somit erklärt sich nun auch dieser Beitrag. Denn auch anderen Leserinnen und Lesern könnte es passieren, dass aus Unkenntnis oder Unbedachtheit an sich geheime/nirgends zugänglich gemachte Adressen privater Webseiten als Referer bei angesurften Seiten auftauchen und damit Fremden Zugriff auf diese Seiten gewährt wird. Nicht immer muss das unangenehme Folgen haben. Aber: Einerseits sind unbewusst zugänglich gemachte, persönliche Daten immer unschön und andererseits gibt es ja häufig doch oft die dümmsten Zufälle…
Daher: Schützen Sie interne Webseiten immer per .htaccess mit einem Passwort. Vertrauen Sie nicht darauf, dass doch niemand die Webseitenadresse kennt und somit ihre persönlichen Links/Notizen/Fotoalben/… sicher sind.
Und: Wer die Kontrolle über den Referer erhalten möchte, kann – zumindest im Firefox-Browser – nützliche Tools nutzen. Tipp: RefControl (direkt über die Addonverwaltung installierbar). Damit lässt sich der Referer global ändern/unterbinden und für Einzelfälle (bestimmte Webseiten) erlauben.
(Ein Programm zur Erstellung von passwortgeschützten Webseiten gibt es u.a. auch im Downloadbereich bei domainfactory unter http://www.df.eu/de/service/downloads/.)
