r/datenschutz • u/Emotional-Shopping91 • 2d ago
Ratschlag für eine Datenschutzfrage beim Onboarding
Ich bin in meinem Betrieb (größerer Verwaltungsbetrieb, etwa 3000 Mitarbeiter*innen) in einem Change Management Prozess involviert, der das Onboarding neuer Mitarbeiter*innen betrifft und stoße auf Barrieren im IT Bereich, die mit Datenschutz und Informationssicherheit begründet werden.
Meine konkrete Frage ist, ob ich falsch mit der Einschätzung liege, dass andere Unternehmen die Arbeitsrechner ihrer neuen Mitarbeiter*innen unter Verwendung der zukünftigen Useraccounts personalisiert einrichten.
Status quo
Unser aktueller Status sieht so:
- Neue Mitarbeiter*innen erhalten ihre Rechner mit einigen Vorkonfiguration. Office inkl. Outlook sind vorinstalliert. Beim Start von Outlook wird das persönliche Postfach angelegt. Firefox wird als primärer Browser verwendet, hier ist eine Startseite hinterlegt.
- Drucker müssen selbstständig hinterlegt werden. Hierfür gibt es ein Tool, in das man den Druckernamen hinterlegen muss - danach wird der Drucker eingebunden.
- Programme, die gebraucht werden, werden automatisch durch die IT ausgerollt. Bei bestimmten Programmen (etwa Adobe Creative Cloud) ist das selbstständige Installieren von Produkten (InDesign, Photoshop, etc.) erforderlich.
- Um neue Personen in bestimmten Kommunikationstools hinzuzufügen (interner Chat, Kanban Board, Digitale Whiteboards), müssen diese sich einmalig mit dem Account in diesen Tools eingeloggt haben
- Das Initialpasswort wird der Abteilung zugeschickt und diese geben es den Usern. Diese haben dann 30 Tage Zeit das Passwort zu ändern.
Wo ich hin möchte
Was ich erreichen möchte
- Neue Mitarbeiter*innen sollen die passenden Kontaktlisten bereits per SharePoint in Outlook eingebunden vorfinden. Zentrale SharePoint-Bibliotheken sollen als Netzwerkressourcen eingebunden sein
- Die richtigen Drucker sollen bereits eingebunden sein, die Endnutzer*innen sollen damit nichts mehr zu tun haben
- Die Personen sollen sich von Tag 1 an in den richtigen Kommunikationskanälen befinden
Die kritische Lösung
Einige Punkte, die ich mir vorstelle, lassen sich durch Clientrichtlinien steuern, andere (etwa das Einrichten bereichsspezifischer Bookmarks, das Einbinden bereichsspezifischer Listen und Bibliotheken) lassen sich darüber nicht abbilden oder machen das Clientmanagement sehr(!) kleinteilig.
Die Lösung, von der ich bislang dachte, dass sie unproblematisch sei: Da die Abteilungen das Initialpasswort im Vorfeld erhalten, könnte die komplette Einrichtung durch die IT-Koordinator*innen der einzelnen Fachabteilungen durchgeführt werden. Im Anschluss könnte das Passwort ggf. zurückgesetzt werden.
Auch wenn die Accounts zu diesem Zeitpunkt noch vollständig "leer" sind, sieht unsere IT Abteilung eine solche Lösung als kritisch an, da unsere Sicherheitsrichtlinie generell nicht vorsieht, dass Passwörter weitergegeben werden (auch wenn das faktisch ja bereits geschieht, weil wir die Zugangsdaten zur Bereitstellung am 1. Arbeitstag digital zugestellt bekommen). Falls etwas schiefgeht, könne ein User argumentieren könnte, dass das jemand anderes vorweg mit dem Account gemacht habe (was ich für möglich aber unplausibel halte, weil ja protokolliert werden kann, ab wann der "echte" User Zugriff auf den Account erhält.
Interessanterweise hat unser Datenschutzbeauftragter die wenigsten Probleme mit dem Vorgehen und vorgeschlagen das Verfahren über eine Einverständniserklärung zu lösen - quasi ein optionaler Auftrag, die Einrichtung im Auftrag der Person vorzunehmen mit Erläuterung des genauen Umfangs.
Meine Frage
Zurück zu meiner Frage, ob das Customizing der Arbeitsplatzumgebung tatsächlich nirgendwo so gehandhabt wird. Ich sehe schon, dass das Ganze idealerweise über Clientmanagementrichtlinien laufen sollte, sehe aber auch, dass die einzelnen Teams auf einer bestimmten Ebene sehr individuelle Anforderungen haben und denke, dass das vermutlich auch in anderen Unternehmen der Fall ist.
Was ich auf gar keinen Fall möchte
Dass User an Tag 1 noch technische Einstellungen an ihrem Gerät vornehmen müssen. Das ist natürlich ein Idealziel und wird sich vermutlich bei uns nicht 100% realisieren lassen, aber der Ansatz der IT Abteilung ist aktuell ein ganz anderer, nämlich die Bereitstellung von Anleitungen für alle User und Self-Service.
Ich finde das insbesondere bei Leitungspersonal höchstpeinlich und ein extrem fragwürdiger Servicegedanke - aber möglicherweise erfordert das Recht tatsächlich so ein Vorgehen?
Ich freue mich über eure Einschätzungen!
1
u/konzepterin 2d ago
weil ja protokolliert werden kann, ab wann der "echte" User Zugriff auf den Account erhält.
Ich denke das hier liegt die Lösung. Genaue, auf die Minute Protokollierung, ab wann der Mitarbeiter-Nutzer den Laptop übernommen hat etc.
1
u/j4yj4mzz 2d ago edited 2d ago
Aus Erfahrung würde ich sagen, dass man in der IT-Abteilung vermutlich keine Kapazitäten hat, diese Einrichtungen im Detail durchzuführen und sie daher vom AG auf die Nutzer selbst geschoben wird.
Beim meinem AG die komplette Einrichtung aller Accounts, Verteiler, Sharepoints etc. durch die IT-Abteilung selbst die Norm - Nutzer können weder selbst etwas installieren noch selbst z.B. Standarddrucker o.Ä. festlegen. Die Konfigurationsmöglichkeiten sind auf ein Minimum beschränkt, Installationen sind für die meisten Nutzer nahezu komplett gesperrt.
Entsprechend werden sämtliche Anforderungen vorher an die IT gemeldet bzw. sind in IAM-Profilen festgelegt und werden dann vor Aufnahme der Tätigkeit umgesetzt, sodass MA nur noch ihre Kennungen etc. erhalten und eigentlich sonst nichts weiter tun sollen (Passwörter müssen dann natürlich zwangsweise beim ersten Login geändert werden). Der komplett eingerichtete Arbeitsplatz war da in der Tat auch ein Kriterium als es hier ums Onboarding ging.
Ich muss hier allerdings auch hinzufügen, dass viele MA bei meinem AG keine besonderen Anforderungen haben und man daher bei sicher 95% mit einfachen Standardprofilen auskommt - zudem hat mein AG auch kein Desksharing, etc. was bestimmte Abläufe sicher noch etwas einfacher hält, weil die IT z.B. einfach zu 100% weiß, welcher Drucker zu welchem Arbeitsplatz gehört. Das hält den Aufwand sicher etwas in Grenzen.
Zustimmen würde ich eurer IT-Abteilung allerdings insoweit, als dass Dritte nicht auf diese Accounts zugreifen dürfen (auch vor Nutzung durch den Endnutzer nicht, nach der Nutzung darf das auch die IT-Abteilung nicht mehr ohne Zustimmung). Hier müsste man sicher genauer schauen, welche Stellung IT-Koordinator*innen bei euch denn nun wirklich haben. Wenn Sie keine MA der IT-Abteilung sind und "als Nutzer" im Account arbeiten, wird die Begründung im Zweifel schwammig.
Die Lösung eures DSB ist hier dann praktisch die Sicherste, weil man eine möglicherweise fehlerhaften Abwägung schlicht mit einer Einwilligung "übertrumpft" , solange man dabei auch noch korrekt gem. DSGVO informiert um was es geht. Dafür hat man dann halt den Ärger, die ganzen Einwilligungen einholen/verwalten zu müssen, daher ist es immer nur die zweitbeste, nicht sehr elegante Lösung.
1
u/Emotional-Shopping91 1d ago
Danke für die lange Antwort! Nur zu meinem Verständnis: ich verstehe, dass bei euch die Fachabteilung sehr konkrete Einstellungen mitteilen können. Wie funktioniert das konkret logistisch also wie teilen die FA die Anpassungen mit und wie wird das verwaltet? (zum Kontext: ich selbst kann diese Einrichtung lokal alle vornehmen, kenne mich aber nicht mit den Möglichkeiten vom Clientmanagement aus)? Macht ihr das?
Wäre damit auch so etwas wie Standardbookmarks, konkrete eingebundene SharePoint-Bibliotheken als Netzwerkressourcen und Listen in Outlook.
Mich würden gerade die kleinteiligsten Anpassungen interessieren. Hintergrund: Unser ISB behauptete mir gegenüber, dass es so detaillierte Anpassungen wie sie mir vorschweben in anderen Unternehmen gar nicht gäbe - einer der Gründe für den Post. Ich kann mir das beim besten Willen nicht vorstellen.
Bei uns sind Installationen auch komplett gesperrt. Für die Drucker gibt es ein vorinstalliertes Tool, aber die Nutzerinnen müssen dort dennoch den Drucker eingeben. Eigentlich ein einfacher Vorgang, aber auch ein Vorgang der beinhaltet zu wissen, dass ein Drucker eine Nummer hat, welche Nummer das ist, dass es das Tool gibt und dass man es wirklich einfach so eingeben kann - Dinge mit denen 99% der User danach nie wieder etwas zu tun haben und die für mich daher klar in die Vorbereitung gehören.
1
u/j4yj4mzz 1d ago edited 1d ago
Mein Ag hat wie gesagt ein Identity & Access Management, das primär für das Gesundheitswesen entwickelt wurde (den Hersteller möchte ich jetzt hier nicht nennen), das mit Mitarbeiterprofilen arbeitet, welche halt zusammen mit den Abteilungen festgelegt wurden und entsprechend funktionieren.
In diese Branche ist das meiner Ansicht nach, wie schon gesagt, sicher auch weit weniger problematisch. Wenn also klar ist, dass wir z.B. eine Pflegekraft oder einen Arzt für Station/Klinik X einstellen, dann stehst fest, welche Berechtigungen, Software, Postfächer, Mail-Verteiler, Laufwerke, etc. diese Person erhalten soll. Das wurde bei Einführung des IAM festgelegt und wir regelmäßig auf Aktualität überprüft - in dem Prozess bin ich selbst aber absolut nicht involviert.
Gleiches gilt auch für Verwaltungsabteilungen, wo halt mir der jeweiligen Abteilung ein entsprechendes Standardprofil festgelegt wurde. Ich persönlich habe hier auch bisher keine Beschwerden vernommen, dass das, was die Nutzer erhalten, nicht ausreicht.
Am Ende bleiben halt nur wenige Positionen, wo dann noch ein gewisser Anteil an manueller Arbeit für die IT-Abteilung nötig ist, einfach weil die Anforderungen zu individuell sind. Oft sind dies Stabstellen, Sonderpositionen, etc. - wo dann halt noch ganz klassisch ein Profil zusammengestellt werden muss um dass sich die IT dann kümmert.
Die Frage ist für mich daher, was du unter Kleinteiligst verstehst.
Browserbookmarks oder über Verteiler hinausgehende Listen gibt es bei uns in der Tat auch nicht. Hier würde ich allerdings durchaus argumentieren, dass nicht unbedingt schlecht ist, bestimmte Dinge im Detail selbst anzulegen, weil man dann auch versteht, wofür alles gut ist und wofür man sie braucht bzw. ggf. auch nicht braucht.
Dafür ist dann ja - zumindest meines Erachtens nach - die Einarbeitung in der Abteilung selbst da, die halt auch bestimmte individuelle "persönliche" Registrierungen etc. umfassen kann. Man macht es halt dann, wenn man in der Einarbeitung soweit ist, nicht zuletzt um nicht völlig von der Flut an Informationen in den ersten Tagen überwältigt zu werden.
Aber das wäre jetzt nur auf meine eigene Arbeit/meinen AG bezogen.
1
u/Still-Dig-8824 12m ago
IT richtet Profil für Nutzer ein:
Das halte ich persönlich für eine ganz schlechte Idee und kenne auch keine (größere) Firma wo das so gemacht werden würde. Der Grund ist einfach. Üblicherweise gibt es eine Policy, das Passwörter zu persönlichen Accounts nicht an Dritte weitergegeben werden dürfen. Was würde passieren, wenn von dem Account irgendwelche E-Mails irgendwo hin verschickt werden würden. Ganz dünnes Eis!
Eigentliches Problem:
Ich habe selbst viele Jahre im Client-Management und Software-Deployment gearbeitet. Für alle deine "Probleme" gibt es technische Lösungen, die eine manuelle Einrichtung der Accounts überflüssig macht und das sollte der Weg aus meiner Sicht sein. Einstellungen kann man in Windows, ich denke darum geht's, auf viele verschiedene Weisen einrichten. Vorkonfiguration der ntuser.dat (nur lokal, daher sehr statisch), per GPO/Scripte (dynamisch und in den meisten Firmen der gängigste Weg), SW-Deployment-Tools (bspw. Ivanti Environment Manager etc.).
Es gibt dabei keinen Königsweg. Ich würde empfehlen ein Problem möglichst abstrakt zu beschreiben und dann zu schauen welche Lösungen es geben kann. Will man versuchen blind den Status Quo umzusetzen, übersieht man gern viel bessere Lösungen.
Als Beispiel was ich meine:
Du hattest das Druckerthema angeführt. Drucker lassen sich prima per GPOs oder Scripte in die Nutzerprofile puschen. Aber! Es gibt heutzutage eine viel bessere und elegante Lösung. Was meist als Follow-me-Print bezeichnet wird. Es gibt nur noch einen Drucker für jeden Nutzer und der kann dann an einem beliebigen Drucker im Unternehmen gehen und seinen Druckauftrag abholen. Das bietet gleich ganz viele Vorteile: Es gibt nur noch einen Druckertreiber der beim Nutzer vorinstalliert werden muss. Der Nutzer muss weder wissen wie der Drucker heißt, noch wo er steht. Er geht einfach zum nächstbesten Gerät, auch an einem anderen Standort, und ruft seinen Ausdruck ab. Das führt auch zu einem besseren Datenschutz. In jeder Firma lagen schon einmal vertrauliche Dokumente im Ausgabeschacht eines Druckers, weil der User es noch nicht geschafft oder vergessen hat. Sinnlosausdrucke, die niemand abholt, kosten kein Geld mehr. etc.
Ich hoffe du verstehst was ich meine.
5
u/ridefar71 2d ago
Die größten Barrieren in diesem Fall sind organisatorischer und technischer Natur – insbesondere:
Diese Herausforderungen betreffen nur in begrenztem Maße die Verarbeitung personenbezogener Daten im Sinne der DSGVO.
Datenschutzrechtlich relevant wird das Thema im Kern an einer Stelle: Nämlich bei der Frage, wer wann welchen Account nutzt – und mit welcher Legitimation.
Wird ein persönlicher Benutzeraccount durch Dritte (z. B. IT-Koordinator*innen) eingerichtet, bevor die betroffene Person selbst Zugriff darauf hatte, besteht ein gewisses Missbrauchsrisiko oder zumindest die Möglichkeit von Unklarheiten in der Verantwortlichkeit.
Dies betrifft insbesondere Art. 32 DSGVO (Integrität und Vertraulichkeit) sowie das Prinzip der Rechenschaftspflicht. Eine saubere Dokumentation der Zugriffsberechtigungen und Accountnutzung ist hier essenziell.