in eigener Sache: PW Netzzugang von unbekannt geändert

  • Hallo,


    ich bin ja seit mehreren Monaten krank. Wir haben aber einen externen Zugriff auf unser persönliches Mailpostfach (Outlook), welches wir mit unserem Netzzugang öffnen können. Da ich auf dringende Informationen vom Lohnbüro warte, wollte ich mich heute anmelden. Ging aber nicht. Dann dachte ich mir, liegt vielleicht daran, dass mein Passwort im Laufe der langen Zeit abgelaufen ist. Ich rief also unsere Hotline an und dort wurde mir gesagt, es ist alles in Ordnung, das Passwort wurde am Montag (20.01.) geändert. Nur komisch - ich war da gar nicht im Büro. Bin ja krank.


    Hatte dann unserem BR das mitgeteilt, da erhielt ich als Antwort "das haben die vielleicht gemacht, weil Du ja jetzt eine Vertretung hast". Tja, was geht meine Vertretung mein Netzzugang an? Komisch ist nur, dass man da das alte PW braucht zum Ändern. Und als ich hörte, dass eine Vertretung kommt, war ich vorher im Büro (Anfang Januar) und habe alle Zettel, Unterlagen und Daten weggeschlossen. Außerdem finde ich die Äußerung des BR mehr als befremdlich. Denn eigentlich wird der Datenschutz bei uns groß geschrieben. Selbst die Öffnung eines Spindes eines verstorbenen MA wurde durch den Datenschutzbeauftragten und dem BR überwacht. Die Hotline erklärte mir, dass Zugriffe auf fremde Accounts nur mit bestätigtem Antrag beim Datenschutzbeauftragten und dem BR gehen. Davon wusste aber niemand was.


    So eine unberechtigte PW-Änderung fällt doch auch unter Datenschutz, oder? Ich habe jetzt erst mal die Hotline gebeten, diesen Vorgang zu prüfen.


    Lange Rede, kurzer Sinn: Was kann ich sonst noch unternehmen? Oder erst mal die Prüfung abwarten? Ich bin etwas unruhig, weil ich viele vertrauliche Sachen (auch vom BR) auf dem Rechner habe. Es gibt auch einigen Mailverkehr mit dem BR, wo unser Chef ziemlich ... naja.... wir haben kein gutes Haar an ihm gelassen. Drohen mir selbst dadurch Konsequenzen?


    Und wenn sich herausstellt, dass tatsächlich jemand unbefugt das PW geändert hat, mit welchen Konsequenzen ist da zu rechnen?


    LG Lilex


    PS: Die Hotline hat das falsche PW zurückgesetzt und mir ein neues vergeben.

  • Hallo Lilex,


    also bei uns würde so etwas nicht funktionieren. Bei uns dürfen Zugänge nur mit Einverständnis der betroffenen Person geändert werden und da hält sich unsere IT auch dran.


    Ich bin zwar nicht der absolute Windows Spezialist, aber ich meine, dass Administratoren bei Netzwerkprofilen das Passwort zurücksetzen können, also wird das alte Passwort nicht unbedingt gebraucht.


    In deinem Fall würde ich die Prüfung erst einmal abwarten und schauen, was dabei raus kommt. Sollte mir das Ergebnis nicht passen, würde ich den Datenschutzbeauftragten informieren, dass persönliche Daten wahrscheinlich weitergegeben wurden.


    Der Datenschutzbeauftragte muss dann prüfen, ob und welche Daten wem zugänglich waren und unter Umständen die Betroffenen des Datenlecks informieren. Eventuell muss er dann auch noch die Aufsichtsbehörde darüber informieren, was dann eine Strafzahlung zur Folge haben kann. Hier kannst du also ganz schön für Unruhe sorgen.


    LG

    Markus

    "Ein Kompromiss ist dann vollkommen, wenn alle unzufrieden sind" Aristide Briand

  • Zitat

    Ich bin zwar nicht der absolute Windows Spezialist, aber ich meine, dass Administratoren bei Netzwerkprofilen das Passwort zurücksetzen können, also wird das alte Passwort nicht unbedingt gebraucht.

    Dem ist so.

    Auch bei uns würde es so ein Vorgehen nicht geben.

    Wenn solche Anliegen bei den Admins auflaufen, werde ich als BR-Vorsitzender immer informiert und nehme dann Kontakt zu den Antragstellern auf um zu erfragen warum das gemacht werden soll und ob mit dem MA gesprochen wurde. Dann informiere ich noch den Datenschutzbeauftragten (Datenschutzkoordinator) Weiter nehme ich Kontakt zu dem MA auf, dessen Zugang geöffnet werden soll.


    Als Resultat ist dabei immer herausgekommen, Zugang wird nicht geöffnet.

    Einmal habe ich mit einer MA vereinbart, dass ausschließlich ich den Zugangerhalte um wichtige Informationen aus dem Mail-Account weiter zu leiten und eine Autobeantwortung einzurichten.


    Meine Standardantwort an Führungskräfte lautet immer, wenn ein MA ausscheidet, kümmert euch rechtzeitig darum, das wichtige Informationen auch zukünftig an die richtigen Personen weiter gehen.


    Ich muss noch erwähnen, dass wir keine BV zum Umgang mit digitalen Endgeräten und der Nutzung von Mail etc. haben. Der jeweilige Mail-Account kann auch für private Mails genutzt werden (keine Einschränkungen).


    An einer entsprechend BV werden wir im neu gewählten Gremium (demnächst) arbeiten, das ist nicht nur dem BR sondern auch dem Leiter IT sehr wichtig, weil hier alles an möglichen Endgeräten ohne Nutzungseinschränkung gibt.

    Das Leben ist Veränderung

    Starte dort, wo du stehst!

    Aber versuche jeden Tag einen neuen Startpunkt zu finden!
    Benutze das, was du hast!

    Aber versuche jeden Tag etwas neues zu benutzen!
    Tu das, was du kannst!

    Aber versuche jeden Tag etwas mehr zu tun!

  • Wenn eure IT sorgfältig ist, dann gibt es auf verschiedenen Systemen ein Audit-Log. Dort lässt sich nachvollziehen, wer wann das Passwort geändert hat (geht für die IT problemlos ohne dein altes Passwort).

    Auch der Zugriff auf deine Daten könnte gespeichert werden, ist aber aufgrund des geänderten Passworts wohl durch "dich" erfolgt. Lediglich die Zeit und eine IP-Adresse lassen Rückschlüsse auf den verwendeten Computer zu.


    Befürchten musst du rechtlich nichts, es gilt ein Verwertungsverbot in jeder Hinsicht bei unbefugt erlangten Informationen. Allerdings könnte das das Verhältnis zu anderen Menschen trotzdem belasten.


    Ich würde ausschließen, dass jemand aus der IT auf deine Daten zugegriffen hat - die müssen dafür normalerweise nicht dein Kennwort zurücksetzen. In deren Prozess ist aber etwas schiefgelaufen, wenn sie das für jemand anderen getan haben. Vielleicht aber auch nur ein Versehen - falschen Ackount zurückgesetzt - das nicht rückgängig gemacht werden kann, da ja niemand dein Passwort kennt (auch die IT nicht).

  • Hallo Lilex,


    die frage die sich stellt, darf Outlook nur dienstlich oder auch Privat genutz werden. Davon hängt meine Antwort ab.


    Wenn outlook nur Dienstlich genutzt werden darf und die Private Nutzung ausdrücklich verboten wurde, dann hat der Arbeitgeber sehr wohl das Recht die dienstliche Post zu öffnen wenn du nicht im Haus bist.


    Wenn die Private Nutzung geduldet oder sogar erlaubt wurde, dann gilt hier eine strenge regel und das Postfach darf nicht geöffnet werden.

    https://www.activemind.de/maga…ff-auf-mitarbeiter-mails/

  • Hallo und danke für eure Antworten. Wir dürfen im gewissen Rahmen auch private Mails schreiben bzw. empfangen. Und ich weiß noch aus längst vergangenen Zeiten als DV-Koordinator, dass NIE jemand - auch nicht GF - Zugang zu Accounts von MA bekommen darf. Außer man beantragt es. S. o. Und selbst, wenn es nur dienstlich wäre - Dann darf der AG ohne weiteres meine Post lesen? Auch wenn da BR-Post dabei ist?


    Ich werde am Monttag wieder anrufen in der Hoffnung, dass ich dann meinen Bekannten dort erreiche. Der hatte schon immer viel mit IT zu tun und sitzt seit einer weiteren (gefühlten 1432.) Umstrukturierung nun an der Hotline.


    Danke, Ihr Lieben :-)

    Der Datenschutzbeauftragte muss dann prüfen, ob und welche Daten wem zugänglich waren und unter Umständen die Betroffenen des Datenlecks informieren. Eventuell muss er dann auch noch die Aufsichtsbehörde darüber informieren, was dann eine Strafzahlung zur Folge haben kann. Hier kannst du also ganz schön für Unruhe sorgen.


    LG

    Markus

    Das würde mir gefallen :-)

  • Hat sich alles geklärt! Wir hatten einen Hardwaretausch und bei den MA, die nicht da waren, wurde der Zugang zurückgesetzt und der neue Zugang im verschlossenen Umschlag ins Postfach gelegt. Dass die abwesenden MA in einer internen Mail davon informiert worden sind und diese Mail aufgrund zurückgesetzten Zugang nicht extern gelesen werden konnte.... naja... :/


    Auf jeden Fall hatte es also soweit seine Richtigkeit und ich entschuldige mich für den Stress, den ich hier geschoben habe *schäm* Würde ich unserem AG nicht alles mögliche zutrauen, hätte ich hier nicht gefagt ;-)


    Und lieben Dank für Eure Hinweise, die behalte ich auf jeden Fall im Hinterkopf!