Springe direkt zu Inhalt

Selfservice – alles sicher oder was?

Stimmen aus der Belegschaft

News vom 20.08.2019

Der Gesamtpersonalrat (GPR) hat Sie per Mail über die Problematik des sog. „Selfservice Beschäftigte“ informiert, insbesondere über den seines Erachtens unzureichenden Schutz Ihrer persönlichen Daten (s.a. https://www.fu-berlin.de/sites/gpr/news/20190807_selfservice.html).

 

Der GPR freut sich über das vielfältige Feedback und dankt allen, die geschrieben haben. Einige Kolleginnen und Kollegen schrieben, dass sie den bequemen elektronischen Zugang zu ihren Entgeltnachweisen sehr schätzen und keine Abschaltung wollen. In diesem Zusammenhang möchte der GPR betonen, dass er einen solchen Zugang keinesfalls „verbieten“ oder abschaffen will, es aber für unabdingbar hält:

1. den erforderlichen Datenschutz,

2. eine sichere, dem Schutzbedarf entsprechende Authentifizierung und

3. die Freiwilligkeit der notwendigen Zustimmung zur Freischaltung zu gewährleisten.

 

Nichts davon ist nach Auffassung des GPR der Fall.

 

Die meisten – v.a. auch in IT-Angelegenheiten kompetenten – Kolleginnen und Kollegen, die geschrieben haben, teilen hingegen die Bedenken des GPR. Hier Zitate aus einigen Mails (natürlich anonym!):

  • „so unterstützenswert wie ... Bestrebungen [der Kanzlerin] nach Umweltschutz und Nachhaltigkeit auch sind, so wichtig muss auch der Schutz sensibler Daten sein. Ein Onlineportal, welches lediglich durch ein Passwort geschützt wird, kann meiner Ansicht nach diesen Schutz nicht gewährleisten. ... Es gibt leider genügend kriminelle Energie, die es als Herausforderung ansehen sämtliche Ports zu öffnen und Codes zu entschlüsseln, um mit den ausgespähten Daten dann ihr Unwesen zu treiben. ...
    Ich möchte nicht, das meine persönlichen Daten dem weltweiten Zugriff so leichtfertig zur Verfügung gestellt werden und bitte darum diese Daten nur auf elektronischen Systemen abzuspeichern, die in keiner Weise mit einer Onlineplattform verbunden sind. Meine Entgeltnachweise usw. hätte ich gerne weiterhin schriftlich in einem verschlossenen Briefumschlag persönlich an mich adressiert.“
  • „Danke auch, dass Ihr so gut über unsere Rechte wacht!“
  • „gut, dass der Personalrat das Datenschutzproblem so kritisch betrachtet. ... Ich würde mir eine Zwei-Faktor-Authentifizierung für alle am ZEDAT Account hängenden Dienste wünschen, weil die Zahl dieser Dienste und damit das Missbrauchspotential in den letzten Jahren extrem gestiegen ist!“
  • „als Erstes möchte ich mich für diese Informationen bedanken und Ihnen meine volle Unterstützung aussprechen!“
  • „danke für Ihre Mail und die Beantragung der Abschaltung. Ich finde zumindest, wie bei paypal oder anderen Diensten, dass man eine Telefonnummer hinterlegen können sollen müsste, über die dann beim Einloggen ein Zugangscode empfangen werden kann. Also so eine Art doppelte Identifizierung. Auch müsste jedes Einloggen von einem neuen Gerät per Mail versandt werden, damit man tätig werden kann, falls das nicht ein eigenes Gerät ist.“
  • „vielen Dank für diese Maßnahme ... Ich teile die Einschätzung, dass die Authentifizierung für diese Anwendung nicht ausreichend sicher ist und die Daten nicht ausreichend geschützt sind! Neben diesem technischen Aspekt finde ich auch, dass das Vorgehen der Verantwortlichen in der Personalverwaltung in dieser Angelegenheit falsche Maßstäbe setzt und die Korrekturaufforderung durch den GPR wichtig ist.
    Also findet diese Maßnahme meine Anerkennung und Unterstützung!“
  • „Vielen Dank, dass Sie in dieser Angelegenheit aktiv sind. Ich stimme absolut zu, dass diese personenbezogenen Daten besser geschützt werden müssen. Dass diese Daten automatisch freigeschaltet worden sind finde ich trotz vorheriger Information an die Beschäftigten sehr problematisch. Es hätte umgekehrt sein sollen, dass Beschäftigte aktiv freischalten.
    Dass es praktisch sein kann, Gehaltsnachweise auszudrucken ist ja noch einsehbar.
    Dass hochsensible Daten wie im Profil aber insbesondere in der Datenauskunft online und damit weltweit über simple Authentifizierung zugänglich sind ist ein Unding und öffnet Identitätsklau Tor und Tür. Solange kein angemessener Schutz für diese Daten gesorgt wird, sollte auf den Online-Zugang verzichtet werden.“
  • „haben Sie herzlichen Dank, dass Sie sich so gewissenhaft um die Belange des Beschäftigten der FU kümmern!“
  • „besten Dank für die Info und die klare Positionierung, das geht so ja gar nicht!“
  • „Es ist tatsächlich sehr bedenklich, dass andere Personen, denen ich zeige, wie der Bereich funktioniert, oder auch Externe (und das kann im Sekretariat sehr häufig und ganz kurzfristig nebenbei vorkommen) meine persönlichen Daten - wenn vielleicht auch nur kurz - sehen könnten.“
  • „Auch ich finde es nicht verantworlich, meine höchst privaten persönlichen Daten so schwach abgesichert im Netz zugänglich zu machen. Ich lege höchsten Wert auf meine digitale Privatsphäre und wie man anhand der in letzter Zeit publik gewordenen Datenschutzskandale sehen kann ist eine einfache Absicherung der Serverzugänge mittels Passwort nicht ausreichend.“

Ein Kollege fragt ganz zu Recht:

  • „wenn man aus der FU-Berlin ausscheidet verliert man doch seinen ZEDAT-Account und damit den Zugang zu den Self Services, damit bestünde dann keinerlei Zugangsmöglichkeit mehr um auf die elektronische Entgeltnachweisen zugreifen zu können. Gibt es eine alternative Möglichkeit auf die Entgeltnachweise zuzugreifen oder bleibt der Zugang zu den Self Services zeitlebens erhalten? Falls nicht müssten die Entgeltnachweise sicherheitshalber von allen Beschäftigten zu hause ausgedruckt werden. In diesem Falls stellt sich dann aber die Frage, worin der ökologische Vorteil des elektronischen Entgeltnachweises besteht. Zusätzlich zum ohnehin nötigen Ausdrucken kommt im diesem Fall noch der ökologische Footprint der des Server die den elektronischen Entgeltnachweises bereitstellen.“

Aber wir wollen auch eine negative Reaktion nicht verschweigen:

  • „wieder eine weitere E-Mail von Ihnen, welche nicht nur unnötig, sondern auch absoluter Schwachsinn ist! Langsam fühle ich mich als Beschäftigter von Ihren E-Mails dieser Art belästigt und stufe Ihre E-Mails als Spam ein! … Das Elsa-Portal ist hinreichend geschützt und die Mehrzahl der Beschäftigten ist froh auf diese Art und Weise seine Informationen schnell und unbürokratisch einsehen zu können. …
    Der Gesamtpersonalrat scheint nur noch auf Krawall gebürstet zu sein und macht sich mit solchen E-Mails einfach nur noch lächerlich!“

Nun, urteilen Sie selbst!

10 / 43