Frage zu Ausspähen von Daten § 202a StGB, wenn jemand sein Kennwort übergibt

[Nico_B]

Hallo.

Ich habe gestern auf der Arbeit mitbekommen, wie ein Kollege einem anderen sein Windows-Kennwort aufgeschrieben hat, damit dieser am Montag schon mal die Windows-Updates einleiten kann. Der Kollege ist schon älter und versteht vermutlich nicht, dass mit single sign on der andere Kollege auf alles zugreifen könnte.

Sollte ich mit den Kollegen darüber sprechen oder muss ich das ggf. dem Datenschutzbeauftragten melden?

Ist mit der Übergabe eines Kennworts schon der Straftatbestand nach 202a erfüllt oder erst wenn der andere Kollege mehr macht als nur die Windows-Updates? Mache ich mich ggf. nur durch die Kenntnis des ganzen schon zum Mittäter (Großraumbüro)?

 

[Trimipramin]

Lohnt es sich denn mit dem Kollegen zu sprechen und ihn dafür zu sensibilisieren? Ist er für konstruktive Kritik empfänglich? Wenn ja, so würde ich zunächst mit ihm sprechen und ihm klar machen, dass das nichts triviales ist und je nach bearbeitender Daten ins richtig krasse Fehlverhalten gehen kann.

ich würde nicht gleich die vollen Kanonen ausfahren, wenn ihm das vielleicht wirklich nicht so bewusst war.

 

[Millkaa]

@Nico_B
Eine Rechtsberatung kann dir im Forum nicht gegeben werden.

1. Darf dir nur jemand eine rechtsgültige Auskunft geben, der in diesem Beruf arbeitet. Hier kann bzw. darf das keiner (außer es ist der richtige Rahmen und das richtige Personal).
2. Kontaktiere einen Rechtsanwalt bspw. der kann dir das sicher sagen, kann/wird aber vllt. was kosten. Ob du das so machen willst bleibt dir überlassen.
3. Macht es sicherlich Sinn jemand auf einen augenscheinlichen Fehler hinzuweisen.
Unabhängig vom rechtlichen Rahmen, den ich dir wie gesagt, nicht sagen kann. Solltest du auf jeden Fall denjenigen einfach mal ansprechen. Vielleicht weiß dieser nicht einmal was er da tut. Falsch machen wirst du mit dieser Ansprache nichts. Wenn dir mulmig bei der Sache ist kannst du dich an die zuständigen Stellen in deinem Betrieb wenden, sofern ihr welche habt. Vertrauensperson, MAV oder ähnliches.

Aber wie @Trimipramin schon sagt musst du nicht sofort die Geschütze ausfahren.

 

[gymfan]

Ich hätte da ja eher Bedenken, gegen meinen Arbeitsvertrag zu verstoßen und damit eine fristlose Kündigung zu riskieren.

ich würde nicht gleich die vollen Kanonen ausfahren, wenn ihm das vielleicht wirklich nicht so bewusst war.

Die Einstellung kann ich zwar teilen. Aber wenn auf dem Gerät sensibele Daten liegen oder mit dem User-Account zugreifbar sind, dann muss die Firma wohl auch entsprechende Vorschriften und Schulungen haben.

Die (sowieso nicht zulässige) Rechtsberatung "darf" jemand anderes durchführen.

 

[BFF]

Ich denk mal, dass der 202a StGB nicht wirklich passend ist.
Ist denn ueberhaupt so "Wichtiges Geheimes" nur auf diesem einen PC das der andere Kollege aus dem Grossraumbuero nicht wissen darf?

Anyway.
Wenn es bei Euch da wirklich notwendig ist, das sich wer anmelden muss um Updates zu fahren, wuerde ich mit den Verantwortlichen fuer die IT reden. Die sollen sich kuemmern das Udates ohne Aufsicht laufen koennen. Damit waere das Weitergeben von Accountdaten obsolet. Und die koennen auch mit dem Kollegen reden, dass man seine Anmeldedaten mal fuer sich behaelt.

 

[Redundanz]

202a käme ja nur in betracht für einen unbefugten eindringling "überwindung der zugangssicherung"...
das passwort wurde herausgegeben, damit sich der empfänger des passworts einloggen kann/soll.
es wurden keine besonderen befugnisse mündlich geregelt.
strafbar hat sich hier niemand gemacht.

gegen firmenpolicy hat vllt der herausgeber des PW verstoßen. kommt jetzt drauf an was in firmenpolicy steht und ob er das mal unterschrieben hat

 

[Radde]

Ich erkläre meinen Kollegen immer, was man mit dem Zugriff alles machen kann. Je nach KollegIn ziehen überraschenderweise komplett unterschiedliche Argumente.
Manchmal ist es das „was wird wohl der Chef sagen, wenn du alle Daten von einem Projekt löschst?“, manchmal funktioniert auch „im Mitarbeiterportal kann ich mit dem Passwort ganz einfach deine Kontonummer ändern!“.

Ich habe aber glücklicherweise auch die Möglichkeit KollegInnen zur Vergabe eines neuen, sicheren Passworts zu zwingen.

 

[Serana]

Wie kommst du überhaupt auf die Idee, daß hier §202a StGb berührt ist?

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

https://www.gesetze-im-internet.de/stgb/__202a.html

Wichtig ist hier die Formulierung "unter Überwindung der Zugangssicherung". Der Kollege hat das Passwort aus freien Stücken übergeben. Sobald dein Kollege das Passwort übergeben hatte, hatte er die Sicherung gegen den unbefugten Zugang selbst quasi abgeschaltet. Aus diesem Grund kommt meiner Ansicht nach §202a StGb gar nicht zum tragen.

Ob sich für dich irgendwelche rechtlichen Konsequenzen ergeben kann dir von uns natürlich niemand sagen. Nicht nur weil hier eher keine Juristen mitlesen, sondern auch weil es da natürlich auch z.B. auf betriebliche Vereinbarungen ankommt die von uns natürlich keiner kennen kann.

Ich selbst würde in dem Fall nur mit dem Kollegen mal reden und versuchen ihn für die Problematik zu sensibilisieren. Was der dann damit macht liegt nicht in deinem Einfluß. Unabhängig davon kannst du dich natürlich noch an den Datenschutzbeautragten oder Betriebsrat wenden. Die Frage ist aber, ob du dir selbst einen Gefallen damit tust wenn du hier bei einem Vorkommnis das du zufällig mitbekommen hast gleich den Katastrophenfall ausrufst.

 

[Trimipramin]

Stimmt, dass mit den Updates sollte wirklich auch ohne Kennwort gehen.

Und ohne irgendwas gutheißen zu wollen, aber man sollte immer auch (wenigstens einen kurzen) Blick darauf werfen, warum sich jemand so verhalten hat. Denn mitunter zeigt es ja nur Sachverhalte auf, welche relativ leicht beseitigt werden können.

Bei uns zum Beispiel wird das mittels Citrix vor Kennworteingabe gemacht. Gut, in der VM ist das natürlich ein anderes Thema..

 

[Smartin]

das als Straftat zu bewerten, fällt mir eher schwer. Da gäbe es eine Reihe von Tatbestandsmerkmale, die erst noch erfüllt werden müssten. "unbefugt", "Überwinden von Sicherheitsmaßnahmen", etc. Dass PW wurde ja sogar freiwillig rausgegeben. So schnell ist man nicht im Strafrechtlichen Bereich.
Ich würde auch eher dazu tendieren, mit dem Kollegen zu sprechen und ihn zu sensibilisieren. Denkbar ist, dass er gegen Vorgabe des AG verstößt, weil man wahrscheinlich nicht einfach sein PW rausgeben darf (selbst das ist nicht mal sicher, da es sich ja um Kollegen handelt). Aber trotzdem weiß man nie, wie das ausgeht und weitergeht. Deswegen sachlich und freundlich sensibilisieren.

 

[SilenceIsGolden]

Ich würde das überhaupt nicht zu meinem Problem machen, d.h. ich würde das ignorieren. Es ist auch übertrieben hier gleich eine Katastrophe an die Wand zu malen, wenn Kollege 2 jetzt mit dem Passwort von Kollege 1 einfach die Windowsupdates auf dem Rechner von Kollege 1 einspielt und weiter gar nichts passiert, was mit Abstand das wahrscheinlichste Szenario ist.
Wenn du selber irgendwen damit konfrontierst, wirst du von den anderen vermutlich Denunziant gesehen, zumindest wird das nicht ohne Spannungen ablaufen. Die Leute werden das weiter so machen und in Zukunft nur darauf achten, dass du es nicht zufällig mitbekommst.
Nur mal um das von zwischenmenschlicher und nicht aus technischer Sicht zu betrachten.

 

[Radde]

@SilenceIsGolden
passender Benutzername

ansprechen würde ich den Kollegen persönlich schon. Wahrsche hat er sich gar nichts dabei gedacht und ist sich keines Fehlers bewusst. Man lernt nie aus.

 

[Erzherzog]

Wenn es bei Euch da wirklich notwendig ist, das sich wer anmelden muss um Updates zu fahren, wuerde ich mit den Verantwortlichen fuer die IT reden. Die sollen sich kuemmern das Udates ohne Aufsicht laufen koennen. Damit waere das Weitergeben von Accountdaten obsolet.

Man muss sich in der Regel in der Domäne anmelden. Wir wissen nicht welche Freigaberechte der User hat. Normalerweise kann derjenige gar keine Updates anstoßen, da es zentral gesteuert wird und normale User keinen Zugriff auf solche Dinge haben (geht vom Server aus) das riecht mir nach einer unseriösen Betriebsführung, weswegen die hier aufgefahrenen Geschütze mit Anwalt, Straftat, etc... wohl auch eher lächerlich sind. Ich kenne das so das es entweder den Leuten total egal ist oder strikte Regeln herrschen. Wenn hier irgendein Mitarbeiter mit einem normalen User-Passwort Updates fahren kann / soll, stimmt hinten und vorne schon mal gar nichts. Ist weder seine Aufgabe, noch sollte ein User darauf überhaupt Zugriff haben.

Unbefugt ist schon mal eh nix daran wenn das PW weitergegeben wird. Je nachdem was man dann aber im Namen des anderen (theoretisch) anstellen kann, wird es erst problematisch. Jemand mit niedrigen Freigabrechten dürfte sich so nicht einen Zugang mit höheren Rechten besorgen. Wenn das nicht vorliegt ist das z.B. nicht weiter schlimm.

Ich würde das überhaupt nicht zu meinem Problem machen, d.h. ich würde das ignorieren.

Würde ich auch so machen, wenn man involviert wird ist man hinterher oft sogar der blöde, je nach dem wie das Unternehmen überhaupt geführt wird. In der Regel ist man selbst der gearschte wenn man auf so etwas hinweist, sowohl beim Vorgesetzten, als auch beim Kollegen.

 

[Thaxll'ssillyia]

Manchmal ist es das „was wird wohl der Chef sagen, wenn du alle Daten von einem Projekt löschst?“

Wenn jemand mit PW-Zugriff ein Projekt dauerhaft löschen kann, dann sollte man sich über andere Sachen Gedanken machen (Stichwort Backup, Redundanz, Berechtigungen)...Sowas kann auch mal durch nen Hack entstehen.

 

[Schlaflos]

Unbedingt melden, damit der Zugang gesperrt wird.
Und hier ist eindeutig Schulungsbedarf vorhanden.

 

[UNDERESTIMATED]

oder muss ich das ggf. dem Datenschutzbeauftragten melden?

Steht in deinem Arbeitsvertrag oder den dafür im Nachgang unterzeichneten Zusatzvereinbarungen aufgrund von Gesetzen. Wenn nicht, dann nicht.

Ob du nun konjungtiviertes Verhalten (habe glaube ich gehört was wann wer wo wem) an den Tag legen möchtest darfst du entscheiden; für dich - gerade hier - niemand.

Ergänzung (14. August 2021)

Und hier ist eindeutig Schulungsbedarf vorhanden.

Nö. Wenn der ALTE Kollege keinerlei Datenschutzbestimmungen irgendwann mal schriftlich bestätigt hat, kann er dafür gar nichts. Dann ist kein Schulungsbedarf vorhanden, sondern eine Schule.

(Stichwort Backup, Redundanz, Berechtigungen)

Hat man schon, sind aber auch nicht Nanosekundengenau immer gespiegelt. Im Zweifel verliert ein Werk wie BMW einen kompletten Arbeitstag wegen solchem Unfug, denn: Letzter mit SICHERHEIT korrekter Status ist nicht gleichzusetzem mit dem letzten Backup. Das kann also schon sehr schnell sehr sehr teuer werden.

Wenn hier irgendein Mitarbeiter mit einem normalen User-Passwort Updates fahren kann / soll, stimmt hinten und vorne schon mal gar nichts. Ist weder seine Aufgabe, noch sollte ein User darauf überhaupt Zugriff haben.

Die Domänenanmeldung steuert was Windows angeht aber leider eben doch wieder der User der sich anmeldet, die Windows Updates laufen dann via Enterprise Clienten am angemeldeten PC natürlich via Remote "einfach so" - dennoch: Viele Betriebe teilen sich effizienterweise natürlich PC's unter den MA und wenn eben Updates gefahren werden müssen muss die Kiste halt anbleiben, ob du nun da bist oder nicht.

Einen Innerbetrieblichen IT-Service, der nachts daherkommt und alle Rechner anwirft um sich selbst anzumelden damit das Update losfährt gibt es nicht (Habe jedenfalls noch nie sowas gesehen) - ebenso wie es eben offenbar unmöglich für manche ist die PC's "irgendwann" mal via POL zu starten damit die Ihre Updates selbst fahren.

 

[Schlaflos]

@das_mav ich finde schon das hier eine Schulung zur Sensibilisierung zum Thema IT-Sicherheit vorliegt.

 

[UNDERESTIMATED]

ich finde schon das hier eine Schulung zur Sensibilisierung zum Thema IT-Sicherheit vorliegt.

Wenn die Firma sowas überhaupt anbietet, darauf wollte ich hinaus. Und wenn: Ob sie es denn jedem angeboten hat und wenn ja, ob denn jeder daran teilnehmen MUSS. Wenn nicht, dann braucht es eben eine Schule und die hieße dann Landesdatenschutzbeauftragter respektive Erfüllungsgehilfen die bei einer Betriebsprüfung schon mal fragen dürfen warum soviele PC's angemeldeterweise ohne Benutzer davor im Betrieb herumstehen, oder aber stichprobenartig halt schauen ob der Firmenausweis zum Benutzer am PC passt. Alles erlaubt, macht nur keiner - würde die Industrie ja bremsen.


@Nico_B Alles in allem: Hör' zu wenn dir einer sagt, dass du besser weghören solltest. Informationen, auch die Metas aus dem Betrieb in ein öffentliches Forum zu tragen kann auch nach hinten losgehen. Informationen die nicht für einen bestimmt sind darf man wohl verarbeiten, aber eben nicht gleichher in jedem Fall damit arbeiten.

Ist manchmal einfach gesünder, jedenfalls in dem Berufsstand in dem ich vermute, dass du arbeitest, denn sonst würdest du sowas gar nicht erst ins Wochenende tragen und hier fragen. Dennoch gut, dass du fragst finde ich.

 

[Ost-Ösi]

Natürlich stimmt da etwas in der Organisation der EDV nicht. Aber was hast du damit zu schaffen, bist du sein Freund oder Betriebsrat. Andernfalls ist es seine Sache und Verantwortung. Oder bist du erfreut, wenn ein Kollege zum Chef geht und vermeldet, dass du heute gar über 5 Minuten auf der Toilette verbracht hast.

 

[mathiasla]

Wenn überhaupt fällt das Thema unter Organisationsversagen, wieso braucht die IT das persönliche Passwort um Updates zu installieren. Andere dürften es eh nicht.

Hier besteht für beide Kollegen Schulungsbedarf, der eine darf nicht nach dem PW fragen, der andere darfs nicht geben.

Das Passwort weitergeben ist jedenfalls kein Datenschutzverstoss dazu müssten weiteren Verlauf personenbezogene Daten verarbeitet werden.