Zum Inhalt springen

Datenschutz?


Thanks-and-Goodbye

Empfohlene Beiträge

Moin.

Ich hatte eben eine Diskussion mit meinen Kollegen, wie weit Datenschutz geht.

Gegeben ist:

Ich bin bei einem Dienstleister beschäftigt, der Kundennetze aufbaut und auch administriert. Ich habe in einem Kundennetz Domänen-Admin-Rechte mit Wissen und Einverständnis des Auftraggebers.

Auftraggeber ist eine Anwaltskanzlei, Dr. Müller, Meyer und Schulze (Namen geändert). Dr. Müller kennt sich gut mit Windows aus und nimmt viel im Netzwerk selber vor. Er ist mein Ansprechpartner vor Ort und direkter Auftraggeber.

Der in der Kanzlei gleichberechtigte Anwalt Meyer hat einen neuen PC erhalten, dieser wird von mir ins Netz eingebunden. Bei der Datenübernahme vom alten PC fällt mir seltsames Windows-Verhalten des alten PC´s auf, der immer noch im Netzwerk, jetzt aber auf dem Arbeitsplatz einer Kanzleiangestellten steht. Dadurch misstrauisch geworden (auch weil die Kanzlei bisher immer zu geizig war einen Virenscanner einzusetzen), schaue ich etwas tiefer in das System hinein und entdecke ohne viel zu suchen auf Anhieb etwa ein Dutzend Dialer, diverse Pornoseiten, Spyware, die sich über Registry-Keys festgesetzt hat und ähnliches.

Da die Kanzlei über AVM Ken! ISDN ins Internet geht, ist auf dem Rechner eine funktionierende ISDN-CAPI installiert. Der Rechner könnte sich also mit einem Dialer ins Internet einwählen.

Anwalt Meyer ist nicht im Haus, als ich das entdecke, nur mein Ansprechpartner und Auftraggeber Dr. Müller. Diesen Ansprechpartner hole ich mir an den alten PC von Anwalt Meyer und zeige ihm die Dialer, die ich gefunden habe und weise ihn auf die Gefahren hin, installiere Spybot S&D um die Spyware vom Rechner zu bekommen. Dies geschieht alles mit Einverständnis des Dr. Müller.

Jetzt meine Frage: Meine Kollegen meinen, allein Meyer darf über seinen Rechner entscheiden und was er darauf installiert, und wenn es auch Dialer sind. Auch wenn er auf Sex-Seiten rumsurft (weiss Dr. Müller schon durch die Logs des AVM KEN, der da einen Grossteil schon blockt) ist das nach Meinung meiner Kollegen die Sache von Meyer, Dr. Müller dürfte ich über die gefundenen Dialer und Pornoseiten nicht informieren.

Ich stehe auf dem Standpunkt, dass ich aus Gefahrenabwehr (Dialerkosten, Virengefahr) auf jeden Fall meinen direkten Auftraggeber und damit den vor Ort Verantwortlichen informieren muss.

Wie sind eure Meinungen? Die Diskussion ist eröffnet.

Dieser Fall hat sich in den letzten Tagen bei mir wirklich so ergeben, allein die Namen sind verfälscht.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hm, was ich getan hätte:

was aber nicht unbedingt richtig sein muss..., gesetzlich weiss ich sehr wenig über eine solche Konstellation..

Ich hätte den Rechner des "schuldhaften" Herrn in Quarantäne genommen, sprich: so wie Du alles runtergeschmissen und erstmal sicher gemacht, das Ganze.

Jetzt kommt natürlich die Kalamität: Wem sag ichs?

Nun, eigentlich hat Dein Arbeitgeber meiner Auffassung nach schon ein Recht darauf, wenn und jetzt kommt ja der Casus Knacktus: seine Angestellten Mist bauen. Aber der gewisse Herr ist ja gleichberechtigter Kollege und nicht angestellt. Insofern ist zu klären, ob Dein Auftraggeber auch Dein Auftraggeber ist, und nicht nur Dein Ansprechpartner in der Kanzlei, und die Kanzlei Dein Auftraggeber ist.

-> Im Fall 1 (Angestellter) ist ja alles klar.

-> Im Fall 2 (Auftraggeber) ....: Hm.

-> Im Fall 3 (Ansprechpartner) ist auch klar: er brauchts/darfs etc. nicht wissen.

Fall 2 (ders ja auch wahrscheinlich ist): die eloganteste Methode wäre natürlich gewesen, den Rechner wegen "Problemen" (*murmel* Sch*** Festplatte! Grosse Verflixung! */murmel*) zu plätten, und damit ist alles gut. Vielleicht hätte man ja noch ein paar Daten retten können... (-> Korrespondenz etc.) :D

Nexte Möglichkeit: den guten Herrn unter 4 Augen zur Rede stellen und Ihm höflich aber bestimmt zu sagen, dass du beim nächsten Mal einer solch sinnlosen "Datengefährdung" seinen Kompangion, der ja schliesslich das Netzwerk betreut, informieren musst.

Dritte Möglichkeit: Deinen AG informieren (was Du ja getan hast), und die beiden das selber auskaspern lassen... Hat halt den Nachteil, das man sich mitten in die Nesseln setzt...

-> Man liebt den Verrat, aber nicht den Verräter....

Wenn ich rechtzeitig drangedacht hätte,hätte ich wahrscheinlich #1 genommen (plätten)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wie stehen die drei Anwälte rein rechtlich im Verhältnis?

Haben sie eine GbR (auch ohne Ihr Wissen) gegründet, wobei jeder gleichen Anteil hat, dann ist IMO auch die Auftragsgabe eines Geschäftsführers (sofern nicht anders vereinbart und immer alle drei gemeinsam entscheiden müssen) maßgeblich.

Teilen Sie sich hingegen das Büro unter inem Namen und sind rechtlich selbständig (was ich Anwälten durchaus zutrauen würde :D - und davon gehe ich im RechtsInnenVerhältnis einmal aus), dann benötigst du das Einverständnis aller Anwälte für deinen Auftrag (und bekommst auch, sofern kein Kombiangebot, dreifach bezahlt ;)). IMO darfst du dann ohne Einverständnis des entsprchenden Anwaltes gar nix tun.

Also Vertrag geschnappt, gelesen und uns Informiert.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Also ich hätte erst mal den Rechner komplett abgeschottet, sprich ISDN-Leitung und Netzwerk ab und dann gewartet bis der Besitzer zurück kommt und das Thema diskret mit ihm abgeklärt. Vermutlich hätte ich nur die Spyware angesprochen und Dialer und Pornoseiten ausgelassen, damit er sich nicht in die Enge getrieben fühlt.

Danach hätte ich allerdings noch mal mit Nachdruck darauf gedrängt, dass eine Antiviren-Software zum Einsatz kommt und gewarnt was alles passieren kann...

Den Rest von wegen Pornoseiten usw. ist ja schon bekannt und müsste in der Firma geregelt werden (Nutzung des Internet nur zu Recherchezwecken usw.), da würde ich mich raushalten.

Ziemlich diplomatisch, oder? :D

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wir haben folgende Konstellation:

Unsere Kunden sind über VPN-Leitungen an unser RZ angebunden. Die Mitarbeiter können über diese Leitung surfen. Auf jedem PC ist ein Virenscanner installiert, der zentral bei uns verwaltet wird. Außerdem kommen die Rechner nur über einen Proxy nach draußen.

Wenn bei uns Mitarbeiter auffällig werden, weil sie z.B. 20% (!, wir haben 500 User) des Internet-Traffic verursachen oder immer wieder versuchen Viren herunterzuladen, wird zuerst ein Gespräch mit dem jeweiligen Mitarbeiter gesucht. Dabei wird er aber auch darauf aufmerksam gemacht, dass bei Wiederholung der Vorgesetzte informiert wird.

Von dieser Vorgehensweise gab es bisher nur eine Ausnahme, da ging es um einen Straftatbestand. Hier wurde sofort der Vorgesetzt informiert.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Kommt drauf an, wie es beim Kunden innerbetrieblich geregelt ist. Ausschlaggebend sind diese Fragen:

Darf der PC auch fuer private Zwecke verwendet werden?

Wie sind die Befugnisse (inkl. Haftung bei Schaeden am/im Firmennetzwerk) des betreffenden Benutzers geregelt?

Wird Software fest (durch Softwareverteilung) vorgegeben oder darf Software auch vom Benutzer installiert werden?

Und zum Schluss:

Wie treten die drei Anwaelte Dir gegenueber im Vertrag auf (einzeln, als Gemeinschaftskanzlei, ...)?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hui... Danke für die Antworten. :)

Zur rechtlichen Stellung der Kanzlei bzw der Anwälte untereinander: Gute Frage, nächste Frage. Ich weiss es nicht.

Zu meiner Auftragslage:

Dr. Müller beauftragt mich im Namen der gesamten Kanzlei, für die gesamte Kanzlei tätig zu werden.

Somit sehe ich Dr. Müller, als befugter Vertreter der Kanzlei, als meinen Vertragspartner an.

Problem ist dann, wenn Anwalt Meyer nicht im Haus ist, er aber darüber informiert ist, dass sein Rechner getauscht werden soll und ich den Auftrag zur Datenübernahme erhalten habe, ich implizit davon ausgehe, dass ich an die Daten herandarf. Dass ich gerade bei Anwälten einer Verpflichtung zur Verschwiegenheit unterliege, ist mir klar.

Nur sehe ich auch für mich auch eine Beratungs- und Hinweispflicht gegenüber meinem Auftraggeber, der in diesem Fall Dr. Müller ist, der mir gegenüber für die gesamte Kanzlei auftritt. Es ist ja nicht nur ein technisch-juristisches Problem, was hier diskutiert werden soll, sondern vielmehr auch ethisch, denn es besteht ja auch die Gefahr, dass das Verhalten von Meyer, was dem Dr. Müller schon länger bekannt ist, Gefahr für die Kanzlei bedeuten kann.

Was wiegt also schwerer, das etwaige Datenschutzbedürfnis des Meyer (der halt auch mal mit seinem Arbeitsplatz-PC auf Pornoseiten surft und sich durch Unwissenheit oder Ignoranz Dialer und Viren einfangen kann) oder die Gefahrenabwehr von der Kanzlei, denn ich möchte nicht dafür geradestehen, wenn durch einen Virus eine Backdoor in das Kanzleinetz infiltriert wird und sensible Daten ausgespäht werden.

BTW und zur Beruhigung Aller: die Kanzlei hat durch Dr. Müller jetzt eine netzwerkweite Virenschutzlösung bestellt.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Chief Wiggum

Zu meiner Auftragslage:

Dr. Müller beauftragt mich im Namen der gesamten Kanzlei, für die gesamte Kanzlei tätig zu werden.

Somit sehe ich Dr. Müller als meinen Vertragspartner an.

Damit dürfte für dich alles klar sein. Den Rest regeln die Anwälte unter sich. :D (Bitte um Spanner - Info's).

Du bist deinem Ansprechpartner und Auftraggeber verpflichtet, der im Namen aller Spricht. Du hast ihn auf potentielle Gefährdungspunkte hinzuweisen.

Wer da wann meine Liebslingss.. äh die Pornoseiten durchstöbert, ist ******* egal für dich und wahrscheinlich auch für Herrn Dr. Müller.

Du kannst ihn nur auf die Gefahren aufmerksam machen und eventuell bei seiner Zustimmung (er ist und bleibt dein einziger Ansprechpartner) auch dicht machen. Alles andere haben die Herren unter sich zu regeln.

PS: Das birgt natürlich die Gefahr eine Spielballes zwischen den Fronten zu werden. ich hoffe, du weisst dich davor zu schützen und entsprechend zu agieren. ;)

=====================

Edit : Man da habe ich doch tatsächlich irgendsoein Sternchenwort (und das bei Anwälten) genutzt. :floet:

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von Der Kleine

Damit dürfte für dich alles klar sein. Den Rest regeln die Anwälte unter sich. :D (Bitte um Spanner - Info's).

Mal sehen, ich werde da demnächst einen Virenschutz installieren. ;)

Auf Anweisung von Dr. Müller hat der Meyer auch keine lokalen Admin-Rechte mehr auf seinem Rechner. :D

Original geschrieben von Der Kleine

PS: Das birgt natürlich die Gefahr eine Spielballes zwischen den Fronten zu werden. ich hoffe, du weisst dich davor zu schützen und entsprechend zu agieren.

Tja, vielleicht sollte ich noch nebenbei erwähnen, dass etwa 75 % meiner festen Kunden Anwälte sind. Habe mich halt seit fast vier Jahren auf diesen Bereich spezialisiert. Somit weiss ich schon, wie mit Anwälten umzugehen ist. ;)
Link zu diesem Kommentar
Auf anderen Seiten teilen

Also mal ganz davon abgesehen, was vorher gesagt wurde und wie weit das Thema ist....

War mir nicht mal so, das es da son Thema gibt, das irgendwie mit Beeinträchtigung und Gefährdung der Firmenleistung zu tun hat ?

Will sagen, egal was der eine tut, er darf es doch nur so weit tun, ohne das er dabei die Kanzlei in irgendwelche Gefahren bringt, oder ? Egal ob Chef oder nicht.

Wenn ich der Firma nen riesigen Kostenberg durch so nen Spaß wie Dialer verursache kann ich lockerflockig gekündigt werden.

Und ich denke mal, wenn einer der drei Anwälte so ähnlich handelt, ob nun bewusst oder unbewusst, gibt es da doch mit Sicherheit ähnliche Bestimmungen, oder ?

Bin da nun in der Rechtslage nicht hundertprozentig bewandert, aber die Position in einem Unternehmen, ob nun Kanzlei oder Betrieb ist bei sowas doch egal, hm ?

Allein schon wegen der Geschichte mit den Kundendaten... wenn der Mensch sich Viren und Trojaner fängt und die über seinen PC munter fröhlich ins gesamte Netz der Kanzlei bläst und somit ja unter Umständen die Daten dort gefährdet, das ist doch schon ne grob fahrlässige Sache und sollte eigentlich geahndet werden dürfen.

Wegen der Sache mit dem Datenschutzrecht dazu, Ich denke kaum, das man sowas den anderen Anwälten verheimlichen muss, nur weil angeblich jeder allein entscheiden darf, was auf seinem PC ist. Es geht da ja um die GESAMTE Kanzlei und nicht um einen Rechner, der aussen vor ist.

Von daher sollten die anderen durchaus informiert werden dürfen. Das ist ja ein riesen Sicherheitsrisiko für ihr Unternehmen.

Wenn ich irgendwo falsch liege, korrigiere man mich bitte, aber soweit arbeitet zumindest mein halbwegs gesunder Menschenverstand.

So far,

der PHME

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...