Sehr geehrter Fragesteller,
auf Grundlage der durch Sie mitgeteilten Informationen beantworte ich Ihre Frage wie folgt:
Ihre Frage berührt nach meiner Einschätzung verschiedene rechtliche Ebenen.
Die von Ihnen bereits erwähnten §§ 202 a ff. StGB
sind dabei nur einer von verschiedenen relevanten Aspekten.
Je nach Ausgestaltung der Nutzung durch Ihre Mitarbeiter sind u. U. auch private Daten der Mitarbeiter ausgelesen worden.
Die Verpflichtung der Mitarbeiter des Supportdienstleisters zur Verschwiegenheit ist eine Minimalmaßnahme, die auch unabhängig von der Arbeit mit personenbezogenen Daten oder gar Passwörtern üblicherweise zu ergreifen ist.
Insgesamt ist keine Rechtsgrundlage für das Auslesen der Passwörter ersichtlich, insbesondere auch eine Einwilligung scheidet aus, da nicht nur das gewünschte Paaswort sondern auch weitere Passwörter ausgelesen worden sind. Vertraglich vereinbart oder aus vertraglichen Gründen geboten war diese Vorgehensweise ebenfalls nicht.
Deshalb können Sie nach meiner Einschätzung den Vertrag nach Maßgabe von § 626 BGB
fristlos aus wichtigem Grund kündigen.
Sie sollten außerdem prüfen, ob Sie Ihre Mitarbeiter darüber informieren müssen, dass gegebenenfalls ihre Passwörter ausgelesen wurden.
Mit freundlichen Grüßen
Antwort
vonRechtsanwältin Sonja Stadler
Wichlinghauser Markt 5
42277 Wuppertal
Tel: 0202 697 599 16
Web: https://www.frag-einen-anwalt.de/anwalt/Rechtsanwaeltin-Sonja-Stadler-__l108484.html
E-Mail:
Sehr geehrte Frau Stadler,
vielen Dank für die schnelle und kompetente Antwort.
Verstehe ich Sie also richtig, dass das Auslesen der Passwörter nahezu verboten ist, weil es staatliche Handlungsanweisungen gibt, die den Umgang mit vergessenen Passwörtern regeln und das Auslesen von Passwörtern eben keiner Rechtsnorm entspricht?
Beste Grüße
Sehr geehrter Fragesteller,
sehr gerne beantworte ich auch Ihre Nachfrage.
Das Datenschutzrecht ist geprägt durch ein sogenanntes "Verbot mit Erlaubnisvorbehalt". Das bedeutet, dass die Verarbeitung personenbezogener Daten nur dann zulässig ist, wenn für die konkrete Verarbeitung ein Erlaubnistatbestand vorliegt. Das ist beispielsweise der Fall, wenn eine Einwilligung vorliegt, im Rahmen der Durchführung eines Vertrages die Verarbeitung personenbezogener Daten erforderlich ist oder wenn ein berechtigtes Interesse an der Datenverarbeitung besteht. Vgl. Art. 6 Abs 1
und Art. 9 DSGVO
.
Nach dem von Ihnen mitgeteilten Sachverhalt liegt eine solche Rechtsgrundlage für die Verarbeitung nicht vor.
Mir erscheint auch das Auslesen eines Passworts im Klartext über ein Tool für den Browser tatsächlich unsachgemäß, wenn das als IT Supportleistung anstelle eines Zurücksetzen des jeweiligen Passwortes angeboten wird.
Das wäre noch zusätzlich problematisch, soweit für die konkrete Wartungsleistung keine entsprechenden Vereinbarungen und Vorkehrungen zur Verarbeitung personenbezogener Daten durch den Dienstleister getroffen wurden.
Insoweit sollte auch darüber nachgedacht werden, ob gegebenenfalls nach Art. 33 DSGVO
aufgrund des unberechtigten Zugriffs auf die Passwörter eine Meldung gegenüber der zuständigen Aufsichtsbehörde erfolgen muss. Darin könnte auch eine Datenschutzverletzung liegen, da der Dienstleister sich unbefugt Zugriff verschafft hat
Dazu wäre allerdings der Sachverhalt näher zu konkretisieren und bezüglich des Risikos für die betroffenen Personen zu bewerten. Diesbezüglich gibt es eine sehr kurze Frist von 72 Stunden ab Entdeckung einer etwaigen Datenschutzverletzung. Der von Ihnen mitgeteilte Sachverhalt lässt jedenfalls eine solche Prüfung und Bewertung des Sachverhalts geboten erscheinen, ist allerdings nicht umfassend genug um eine solche im Rahmen dieser Erstberatung vorzunehmen.
Für eine weitere gerichtliche und außergerichtliche Vertretung stehe ich Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen
