Datenpannen bei Namen von BewerberInnen im Outlook-Kalender
Der kleine feine Datentipp
Lesezeit: ca. 8 Minuten
Ja, auch im Kalender kann es zu Datenlecks kommen. Viele Unternehmen nutzen Kalender wie Outlook, um ihre Termine zu organisieren. Die Schattenseite: Heikle Infos wie Namen von Bewerbenden sind schnell für Unbefugte sichtbar – wenn die Kalendereinträge nicht entsprechend geschützt sind. Unter Umständen entstehen Vertraulichkeitsprobleme und mögliche Datenschutzverletzungen. Gegen Zwischenfälle helfen die richtigen Vorkehrungen. Wir geben Tipps.
Heikle Daten im Kalender
Wer mit Bewerbungen zu tun hat oder zur Beurteilung bewerbender Personen hinzugezogen wird, ist in der Regel auch in die Terminplanung des Bewerbungsprozesses eingebunden. Arbeiten Unternehmen mit den Office-Tools von Microsoft, findet diese in der Regel mit dem
Terminkalender in Outlook statt.
Und da beginnt die Herausforderung. Wenn im Outlook-Kalender Namen stehen, können sie in der Regel alle lesen, die Zugriff auf den Kalender haben. Dazu gehören neben dem Besitzer des Kalenders alle, denen er eine Kalenderfreigabe erteilt hat. Wird der Kalender zur Terminplanung von Vorstellungsgesprächen verwendet, landen schnell Namen von bewerbenden Personen im Kalender.
Oder stellen Sie sich einmal einen Kalendereintrag wie diesen vor: „14 Uhr Personalgespräch Anton Abele (Abmahnung)“. Man kann sich ausmalen, wie schnell bei einem solchen Eintrag der Flurfunk „auf Sendung“ geht.
Wer kommt zum Vorstellungsgespräch?
„Hast du schon gehört? Bei uns hat sich Anton Abele beworben!“ – „Wie, DER Anton Abele? Der Vorsitzende vom xy-Verein?“ – „Ja genau der, einen anderen Anton Abele gibt es im Ort ja nicht.“ – „Und woher weißt du das?“ – „Das habe ich im Kalender vom Personalleiter gesehen, da steht das Bewerbungsgespräch drin!“
Wenn alle mit Zugriff auf den entsprechenden Outlook-Kalender sehen, wann ein bestimmtes Bewerbungsgespräch stattfindet, ist
möglicherweise die Vertraulichkeit verletzt – umso mehr, wenn seltene Namen oder bekannte Menschen im Spiel sind.
Interessante Infos im Kalender
Und damit nicht genug. Wie schnell werden spannende Infos für etwas anderes genutzt als gedacht? Was, wenn jemand den Kalender der Kollegin nutzt, um Informationen über Kunden oder Geschäftspartner für persönliche Zwecke zu nutzen?
Nehmen wir zum Beispiel an, dort werden Termine für die Beschaffung vereinbart. Der Lieferant möchte wissen, ob bestimmte mitbewerbende Unternehmen in der engeren Auswahl sind, und sagt dem Informanten eine Belohnung für die Information zu. Diese Information nutzt der Lieferant, um das Angebot in seinem Sinne zu verbessern.
Denkbar ist auch, dass Vorgesetzte die Terminplanung ihrer Mitarbeitenden analysieren. Sie könnten Rückschlüsse über deren Arbeitsweise ziehen, ohne dass die Betroffenen das ahnen und sich gegebenenfalls erklären könnten. Oder eine beschäftigte Person nutzt die Informationen aus den Kalendern anderer, um ihnen in bestimmten Bereichen zuvorzukommen.
Vertrauliches leicht zugänglich
Dass die Kalender der Beschäftigten ohne ihr Wissen auf unerwünschte Weise genutzt werden, ist ein Risiko. Nicht immer geht es um personenbezogene Daten geht, auch andere vertrauliche Infos geraten hier in Gefahr. Das wiederum kann Auswirkungen auf die Compliance haben. Das Risiko ist umso größer, je gedankenloser Vorgesetzte wie Mitarbeitende mit ihren Terminen umgehen.
Und wenn
Namen oder andere personenbezogene Daten im Kalender stehen? Dann tritt außerdem der Datenschutz in den Ring.
"Geht es um die Besetzung einer Führungsposition, wird in vielen Fällen eine Meldepflicht vorliegen."
Kalendereinträge und der Datenschutz
Nehmen wir einen Kalender, auf den viele Zugriff haben. Sind darin Namen von bewerbenden Personen zu finden und es kann ein Zusammenhang zu einem Bewerbungsgespräch hergestellt werden, sind personenbezogene Daten unbefugt offengelegt. Denn: Das Bewerberverfahren unterliegt wie alle nicht öffentlichen Personalentscheidungen der Vertraulichkeit. Damit liegt eine der Schutzverletzungen nach Artikel 4 der Datenschutz-Grundverordnung (DSGVO) vor: die
unbefugte Offenlegung personenbezogener Daten.
Datenpanne im Kalender, und jetzt?
Was ist zu tun, wenn es in Outlook zu einer Datenpanne gekommen ist? So prüfen Sie den Vorfall Schritt für Schritt.
Schritt 1: Wird die Schutzverletzung erkannt, muss geprüft werden, ob eine Meldepflicht an die zuständige Aufsichtsbehörde besteht. Dazu werden zuerst der Umfang und die Intensität der Schutzverletzung geprüft. Es gilt zu ermitteln, wie viele Personen von der Schutzverletzung betroffen sind. Im vorliegenden Beispiel können das beispielsweise all jene sein, die zu einem Vorstellungsgespräch eingeladen werden.
Schritt 2: Dann wird geprüft, welche Schutzstufe personenbezogener Daten verletzt wurde. Eine aktuelle Fassung des Schutzstufenkonzepts ist beim Landesbeauftragten für den Datenschutz in Niedersachsen als PDF abgelegt.
Welche Schutzstufe gilt?
Schritt 3: Für die Schutzstufe A (veröffentlichte Daten) und Schuzstufe B (geringes Risiko für die betroffenen Personen) würde das bedeuten, dass auf eine Meldung an die Aufsichtsbehörde für den Datenschutz verzichtet werden kann. Bei Schutzstufe C mit einem mittleren Risiko erfolgt eine Meldung, aber anders als bei Schutzstufe D (hohes Risiko, besondere Kategorien von Daten gemäß Art. 9 DSGVO) und Schutzstufe E (sehr hohes Risiko) kann darauf verzichtet werden, die von der Schutzverletzung Betroffenen zu informieren.
In jedem Fall sollte eine erkannte Datenschutzverletzung dazu führen, sich die
Vorfälle näher anzusehen und
angemessene Maßnahmen zu treffen, damit sich die Panne nicht wiederholt.
Die Position und die Folgen
Klären Sie also zunächst,
welche Schutzstufe gilt für die Tatsache, dass namentlich genannte Personen zu Vorstellungsgesprächen für eine Stellenausschreibung eingeladen wurden, diese sich also erstens beworben haben und zweitens in die engere Auswahl gekommen sind.
Berücksichtigen Sie, um welche Position es sich bei der ausgeschriebenen Stelle handelt und welche
Folgen
es für jemanden haben kann, wenn seine
Ablehnung bekannt wird. Dann entscheiden Sie, ob Sie den Vorfall melden. Nach Erkennen der Schutzverletzung haben Sie dafür 72 Stunden Zeit.
Geht es um die
Besetzung einer Führungsposition, wird in vielen Fällen eine Meldepflicht vorliegen. Denn: Wird hier eine Ablehnung bekannt, hat das in aller Regel einen negativen Beigeschmack. Zumal ja bekannt wird, wer eingestellt, also bevorzugt wurde.
Privacy-Tipp
Wenn Namen in Terminen im Kalender genannt werden müssen,
kennzeichnen Sie diese Termine als „privat“. Details sehen dann nur die Eingeladenen. Und: Alle sollten sich bei Kalendereinträgen jederzeit bewusst sein, dass unter Umständen andere den Kalender einsehen können.
Tipps für DSGVO-gerecht gepflegte Kalender
Wie lassen sich Datenpannen im Kalender vermeiden? Hier kommen 7 Tipps.
Tipp Nr. 1:
Kalenderberechtigungen festlegen
Stellen Sie sicher, dass nur befugte Personen Zugriff auf Ihren Kalender haben, indem Sie die entsprechenden
Berechtigungen festlegen. Das tun Sie, indem Sie die Einstellungen für Ihren Kalender in Outlook anpassen und die Benutzer oder Gruppen auswählen, die Zugriff auf Ihren Kalender haben sollen.
Tipp Nr. 2:
Private Termine markieren
Markieren Sie Termine als "privat", damit Unbefugte keine Inhalte sehen..
Tipp Nr. 3: Nur freie/geschäftliche Zeit anzeigen
Möglicherweise kann der Kalender so eingestellt werden, dass anstatt Namen und Details von Terminen nur angezeigt wird,
ob Zeit frei oder belegt ist. So verhindern Sie, dass vertrauliche Informationen nach draußen dringen.
Tipp Nr. 4: Kalenderansichten anpassen
Ändern Sie wenn möglich die Kalenderansichten, um bestimmte Details auszublenden. Sie können beispielsweise die Anzeige von Kalendereinträgen für bestimmte Kategorien oder Benutzer einschränken.
Tipp Nr. 5:
Verschlüsselung verwenden
Wenn möglich,
nutzen Sie Verschlüsselung, um vertrauliche Infos in Ihrem Kalender zu schützen.
Tipp Nr. 6:
Als Schutzverletzung behandeln
Nehmen Sie
Schutzverletzungen im Zusammenhang mit Namen in Kalendern in die Liste der Vorfälle auf, bei denen interne Meldung mit anschließender Prüfung der Meldepflicht an die Datenschutz-Aufsichtsbehörde zu erfolgen hat.
Tipp Nr. 7:
Unterweisen
Machen Sie das Thema gegebenenfalls zum Inhalt einer
Schulung oder Unterweisung zum datenschutzkonformen Umgang mit Kalendern. Machen Sie den Nutzenden von Kalendern klar, dass andere den Kalender einsehen können und mit Terminen datenschutzkonform umzugehen ist.
Und die Kernfrage: Haben Sie sichergestellt, dass bei der Nutzung von Kalendern Datenpannen wegen Namen in Terminen verhindert werden?
Viel Erfolg bei Terminvereinbarungen ohne Datenleck!
Bei Datenschutz-Fragen Team Datenschutz fragen.
Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!
Team Datenschutz
Langjährige Erfahrung. Zielgerichtete Lösungen. Zufriedene Kunden. In Deutschland. In Europa. Weltweit. Willkommen bei
Team
Datenschutz.
Kontakt
Wir sind für Sie da.
Am Hagelsrech 14
66806 Ensdorf
+49 6831 7689 777
Tipps & News
Praxistipps, Events, Aktuelles & mehr
Newsletter
Immer up to date im Datenschutz.
Copyright © 2024 Team Datenschutz