Immer wieder werden wir gefragt, ob die gemeinsame Nutzung von Nutzerkonten („shared Accounts“) zulässig ist oder ob es datenschutzrechtliche Einwände gibt. Die Antwort ist: JA, die gibt es.
Grundsätzlich sind gemeinsam genutzte Accounts in Unternehmen durchaus üblich, allerdings sind die Gründe dafür regelmäßig vordergründige Kosteneffizienz (weniger Lizenzen) oder Vereinfachung des Arbeitsablaufs (weniger An- und Abmeldungen). Im Speziellen sind jedoch Shared Accounts nur im Ausnahmefall zu nutzen, denn sie bergen wesentlich mehr Risiken denn Vorteile.
Eines der wesentlichen Schutzziele der DSGVO ist die Integrität und Vertraulichkeit bei der Verarbeitung personenbezogener Daten. Damit ist gemeint, dass die personenbezogenen Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung oder Schädigung, Verlust oder Zerstörung.
Wenn daher Mitarbeiter personenbezogene Daten verarbeiten, muss der Verantwortliche in der Lage sein, die Verarbeitung nachzuvollziehen und Tätigkeiten einem Benutzer (bzw. seinem Account im Verarbeitungssystem) rückblickend zuordnen zu können. Nutzen mehrere Personen jedoch einen Account, ist das nicht möglich, zumal dabei auch die Sicherung des Accounts nicht mehr möglich sein wird, da das Passwort allgemein bekannt sein wird. Auch wenn es eine Pflicht zur Geheimhaltung des Passworts gäbe, könnte man nicht eine Person für das Bekanntwerden verantwortlich machen.
Art. 32 DSGVO verpflichtet den Verantwortlichen dazu, die Sicherheit der personenbezogenen Daten zu gewährleisten. Das soll und darf geschehen unter Berücksichtigung des Stands der Technik, des Umfangs, der Umstände und der Kosten in Verbindung mit Eintrittswahrscheinlichkeit und Schwere des Risikos. Interpretiert bedeutet das in der Regel, dass die technische Möglichkeit durch Hinzufügen weiterer Benutzer existiert, es meist nur wenige Benutzer betrifft, der Umfang überschaubar ist, die Anpassungen einfach durchzuführen wären und die Kosten überschaubar sind. Zumindest im Vergleich zum Bußgeldrisiko bei Nachweis eines Verstosses.
Da über einen Shared Account somit gewollte oder ungewollte Manipulationen an personenbezogenen Daten vereinfacht werden, die Integrität nicht gewährleistet werden kann und vor allem auch die Nachweispflicht des Verantwortlichen, also der Geschäftsführung, nicht erfüllt werden kann, raten wir dringend von der Nutzung dieser Art von Zugangsberechtigungen ab.
(Die rechtlichen Grundlagen dazu finden sich in Art. 5 Abs 1 lit. f, Art. 32 Abs. 1 lit. b und in Art. 5 Abs. 2 DSGVO.)
Haben auch Sie Fragen zum Datenschutz oder suchen einen externen Datenschutzbeauftragten für Ihr Unternehmen? Wir sind Experten für betrieblichen Datenschutz und beraten Sie von Einzelfragen bis hin zur Überprüfung oder Neueinführung Ihres Datenschutzmanagementsystems.