Hatten wir es bislang in unserer Reihe vorrangig mit Anfragen unserer Kunden und sonstigen Meldungen aus der „Außenwelt“ zu tun, möchten wir Ihnen, liebe Leser, hier und heute einen weiteren kleinen Einblick in die Interna von datenschutz nord geben. Das in unseren Stellenanzeigen und auf unserem Karriere-Portal so wortreich propagierte gute Betriebsklima äußert sich (zum Glück nicht ausschließlich, aber eben unter anderem) auch darin, dass die Getränke zur täglichen Verpflegung frei sind.

Fällt eine Kaffeemaschine unter die KRITIS-Verordnung?

Dass dies auch heutzutage nicht unbedingt eine Selbstverständlichkeit ist, kennen wir aus eigener Erfahrung. Denn gerade in vielen öffentlichen Stellen müssen die Angestellten bzw. Beamten ihren Kaffee immer noch selber zahlen. Aus diesem Grund ist es keine Seltenheit, dass sich Mitarbeiter einer Dienststelle zusammenschließen und eine Gemeinschaftskasse bilden.

An dieser Stelle nun wollen wir einen gedanklichen Schwenk zu unserem eigenen Kaffeetresen unternehmen, der auch traditionell beliebter Treffpunkt zum kurzen Meinungsaustausch ist. Eines Morgens entwickelte sich ein kleiner Dialog um die verschiedenen Möglichkeiten der Kaffeezubereitung im Allgemeinen und deren herausragende Bedeutung im Umfeld von modernen Beratungshäusern im Speziellen. So kam denn auch die Frage auf, ob eine Kaffeemaschine als kritische Infrastruktur anzusehen sei. Dies wurde spontan von einem herzueilenden Kollegen unter emsigem Einsatz der Extra-Milchschaum-Funktion bejaht. „Und da wir nicht nur im Datenschutz, sondern auch zu Compliance und Informationssicherheit beraten, ist die eben auch redundant ausgelegt“, so seine augenzwinkernde wie sachlich zutreffende Ergänzung.

Fantasien eines Datenschützers

Aus Anlass der eingangs geschilderten Umstände um die Kostenpflichtigkeit dieser wichtigen Ressource andernorts wurde – mittlerweile um eine vierte Person ergänzt – im kleinen Kreise fabuliert: Damit es hierbei möglichst fair zugehe, könne doch von einer eigens beauftragten Person eine sog. „Kaffeeliste“ geführt werden, so der Einwurf, die alle beteiligten Personen aufführt und eine korrekte sowie transparente Kostenverteilung schafft. So würde hier präzise eingetragen, ob die Kollegin oder der Kollege anwesend oder abwesend war. Zur vollständigen Transparenz, so die weitere Ausformung des Gedankenkonstrukts, sollten dann auch Urlaubs- wie Krankheitstage und insbesondere die Elternzeiten akribisch genau gepflegt werden, damit auch ja kein Cent zu wenig bezahlt werde.

Ein eigens betroffener Kollege wandte ein: „Und wer auf Grund von einer Laktoseintoleranz die teurere Milch trinkt, zahlt ohnehin pro Woche 50 Cent mehr. Und wer schwanger ist, oh je … Kurz und knapp: Es werden also auch noch Gesundheitsdaten verarbeitet!“ „Oh ja“, krähte es von der anderen Seite, „diese Liste wird natürlich über Jahre penibel gepflegt, bis der „Kaffeemanager“ irgendwann das geballte Wissen der Personalabteilung innehat und bestimmte persönliche Informationen schon eher erfährt als die Geschäftsleitung.“

Doch Vorsicht ist angebracht. Eine weitere Kollegin, die sich – verwundert ob der schmunzelnden Mimen hier und da – zu einem spontanen Verweilen hatte hinreißen lassen, gab folgendes zu bedenken: Da die Kaffeeliste mit sämtlichen Angaben der betroffenen Mitarbeiter streng genommen eine Verarbeitungstätigkeit im Sinne der DSGVO darstelle, sei sie doch wohl im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO zu führen. Und freilich müssten auch die Info-Pflichten aus Art. 13 DSGVO umgesetzt werden. Nun, wer kennt sie nicht, die berüchtigten Kaffeelisten-Datenschutzhinweise? Und was ist erst mit den technischen und organisatorischen Maßnahmen? Noch dazu, wenn die Listen als Excel-Datei elektronisch geführt und auf dem Arbeitsgerät des hierfür beauftragten Angestellten verarbeitet, bei Abwesenheiten gar von dessen bevollmächtigter Vertretung eingesehen würden – freilich, so ist es.

Problem(aus)löser?

Da wir in unserer Tätigkeit vorwiegend praktisch beraten wollen, dazu ein kleiner Tipp: Wenn die Kaffeeliste darüber hinaus noch sinnvoller genutzt werden soll, bietet es sich sogar an, dort auch noch die Geburtstage und Dienst-Jubiläen einzufügen – damit beispielsweise der Angestellte an seinem Geburtstag den Kaffee geschenkt bekommt. Wenn schon, denn schon!

Spätestens an diesem Punkt aber sollte der gemeine Datenschützer im Büro des Betriebsrates mal auf einen Kaffee vorbeikommen. Immerhin gälte es wichtige Eckpunkte zur Dokumentation und zur ordnungsgemäßen Gewährleistung der Mitbestimmungsrechte abzuklären. Schließlich soll die DSGVO ja kein Papiertiger bleiben, nicht wahr? Aber bevor es so weit kommt, halten wir fest: Datenschutz ohne Kaffee geht nicht. Umgekehrt aber sehr wohl.