Hallo Herr Reimers,
eines vorweg, ich bin kein Jurist und daher ist diese Aussage nicht rechtsverbindlich und es gibt keine Gewähr auf juristische und inhaltliche Vollständigkeit. Dazu fehlen mir auch viel detailliertere Angaben. Jedoch liegt der Schwerpunkt meiner Tätigkeiten unter anderem darin, Prozesse hinsichtlich datenschutz- und informationssicherheitsrelevanter Aspekte zu prüfen.
Aber ich antworte einmal wie folgt: „Kommt drauf an...“
Grundsätzlich gilt der Artikel 32 DSGVO. Aus meiner Erfahrung heraus konkurriert in produzierenden Unternehmen jedoch die Geschwindigkeit der Anmeldung und Erfassung von z.B. Betriebsdaten immer mit den Anforderungen der Informationssicherheit und auch des Datenschutzes. Gesetz dem Fall, sie verarbeiten mit dem System, auf welches sich die Mitarbeiter anmelden, in keiner Weise personenbezogene oder personenbeziehbare Daten spräche aus Sicht des Datenschutzes einem Mehrbenutzer-Account erst einmal Nichts entgegen.
Dann stellt sich jedoch die Frage, warum überhaupt anmelden?
Aber Vorsicht! Meist ist dies in vielerlei Hinsicht ein Fallstrick.
1.) Thema Arbeitssicherheit: Ich weiß nicht, ob das von Ihn benannte System ggf. Maschinen steuert. Aber ich möchte den Aspekt der Arbeitssicherheit in die Einschätzung mit einbeziehen. Es könnte sein, dass aus Gründen der Arbeitssicherheit, der Versicherung und der Haftung sichergestellt sein muss, dass nur befugte Bediener auf ein System zugreifen können. Auch denn wären Sammel-Accounts unzulässig. Da Sie nicht sicherstellen könnten, dass ausschließlich zugelassene Personen das System Bedienen. Außerdem wären sie damit wieder im Bereich des Datenschutzes gem. Artikel 32 DSGVO da die Verifizierung einer Person, die zur Bedienung des Systems berechtigt ist, automatisch personenbezogene oder z.M. personenbeziehbare Daten bedeutet.
2.) Datenschutz allgemein: In der Regel handelt es sich bei solchen Systemen um Softwaresysteme, in denen nicht ausschließlich Betriebsdaten erfasst werden. Oft werden an anderer Stelle (z.B. der Verwaltung) in diesen Systemen personenbezogene oder personenbeziehbare Daten erfasst. Zum Beispiel Kundendaten mit Ansprechpartner, Mitarbeiterdaten, usw..
Damit gilt der Grundsatz „Das Gesamtsystem ist entsprechend zu schützen!“ Wir kommen wieder in den Bereich des Artikel 32 DSGVO und weiterer Datenschutznormen. Dies tatsächlich unabhängig davon, ob der Mitarbeiter der Produktion, das Recht hat diese Daten auch wirklich zuzugreifen. Man könnte noch viele weitere Beispiele heranziehen. Sie sehen aber, dass es in vielerlei Hinsicht sehr schwierig ist, einen geringen Schutzzweck zu Argumentieren. Die berechtigten Interessen des Unternehmens müssten in jedem Falle weit schwerer wiegen, als der Schutzzweck und die Anforderungen an den Schutz des Systems.
Einen solchen Fall hatte ich bereits in der Praxis und ein Denkansatz dazu wäre folgender: Eine Einzelanmeldung wäre ratsam. Suchen Sie jedoch probate technische Lösungen, um den Anmeldeprozess der Einzelanmeldung zu vereinfachen. Fallbeispiel aus der Erfahrung eines produzierenden Unternehmens: An den entsprechenden PCs wurde ein Chipkartenleser installiert. Der Mitarbeiter fügt seine persönliche Chipkarte ein und tippt einen 4-Stelligen Code ein. Das System meldet sich automatisch auf Betriebssystemebene an (in diesem Fall Windows) und das entsprechende Programm automatisch an.
Die Art der Umsetzung hängt natürlich von der technischen Umsetzung und der Rechteverwaltung ab. In dem von mir geschilderten Fall erfolgt die Benutzer- und Rechteverwaltung der gesamten IT-Landschaft durch einen Domaincontroller und Active Directory. In diesem Fall konnten wir die Anmeldezeit (vom Anmelden am Betriebssystem bis auf Programmebene) trotz Einzelbenutzeranmeldung um 80% des ursprünglichen Wertes verringern.
Ziel ist ja in jedem Fall, dass die Mitarbeiter möglichst wenig Zeit mit dem „unproduktiven“ Warten beim Anmelden verbringen. Auch wenn meine Antwort vielleicht nicht den gewünschten Inhalt hat, hoffe ich doch, dass ich Ihnen weiterhelfen und einige Ideenansätze liefern konnte.
Mit freundlichen Grüßen
Sascha Pade
