Hatten wir es bislang in unserer Reihe vorrangig mit Anfragen unserer Kunden und sonstigen Meldungen aus der „Außenwelt“ zu tun, möchten wir Ihnen, liebe Leser, hier und heute einen weiteren kleinen Einblick in die Interna von datenschutz nord geben. Das in unseren Stellenanzeigen und auf unserem Karriere-Portal so wortreich propagierte gute Betriebsklima äußert sich (zum Glück nicht ausschließlich, aber eben unter anderem) auch darin, dass die Getränke zur täglichen Verpflegung frei sind.
Fällt eine Kaffeemaschine unter die KRITIS-Verordnung?
Dass dies auch heutzutage nicht unbedingt eine Selbstverständlichkeit ist, kennen wir aus eigener Erfahrung. Denn gerade in vielen öffentlichen Stellen müssen die Angestellten bzw. Beamten ihren Kaffee immer noch selber zahlen. Aus diesem Grund ist es keine Seltenheit, dass sich Mitarbeiter einer Dienststelle zusammenschließen und eine Gemeinschaftskasse bilden.
An dieser Stelle nun wollen wir einen gedanklichen Schwenk zu unserem eigenen Kaffeetresen unternehmen, der auch traditionell beliebter Treffpunkt zum kurzen Meinungsaustausch ist. Eines Morgens entwickelte sich ein kleiner Dialog um die verschiedenen Möglichkeiten der Kaffeezubereitung im Allgemeinen und deren herausragende Bedeutung im Umfeld von modernen Beratungshäusern im Speziellen. So kam denn auch die Frage auf, ob eine Kaffeemaschine als kritische Infrastruktur anzusehen sei. Dies wurde spontan von einem herzueilenden Kollegen unter emsigem Einsatz der Extra-Milchschaum-Funktion bejaht. „Und da wir nicht nur im Datenschutz, sondern auch zu Compliance und Informationssicherheit beraten, ist die eben auch redundant ausgelegt“, so seine augenzwinkernde wie sachlich zutreffende Ergänzung.
Fantasien eines Datenschützers
Aus Anlass der eingangs geschilderten Umstände um die Kostenpflichtigkeit dieser wichtigen Ressource andernorts wurde – mittlerweile um eine vierte Person ergänzt – im kleinen Kreise fabuliert: Damit es hierbei möglichst fair zugehe, könne doch von einer eigens beauftragten Person eine sog. „Kaffeeliste“ geführt werden, so der Einwurf, die alle beteiligten Personen aufführt und eine korrekte sowie transparente Kostenverteilung schafft. So würde hier präzise eingetragen, ob die Kollegin oder der Kollege anwesend oder abwesend war. Zur vollständigen Transparenz, so die weitere Ausformung des Gedankenkonstrukts, sollten dann auch Urlaubs- wie Krankheitstage und insbesondere die Elternzeiten akribisch genau gepflegt werden, damit auch ja kein Cent zu wenig bezahlt werde.
Ein eigens betroffener Kollege wandte ein: „Und wer auf Grund von einer Laktoseintoleranz die teurere Milch trinkt, zahlt ohnehin pro Woche 50 Cent mehr. Und wer schwanger ist, oh je … Kurz und knapp: Es werden also auch noch Gesundheitsdaten verarbeitet!“ „Oh ja“, krähte es von der anderen Seite, „diese Liste wird natürlich über Jahre penibel gepflegt, bis der „Kaffeemanager“ irgendwann das geballte Wissen der Personalabteilung innehat und bestimmte persönliche Informationen schon eher erfährt als die Geschäftsleitung.“
Doch Vorsicht ist angebracht. Eine weitere Kollegin, die sich – verwundert ob der schmunzelnden Mimen hier und da – zu einem spontanen Verweilen hatte hinreißen lassen, gab folgendes zu bedenken: Da die Kaffeeliste mit sämtlichen Angaben der betroffenen Mitarbeiter streng genommen eine Verarbeitungstätigkeit im Sinne der DSGVO darstelle, sei sie doch wohl im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO zu führen. Und freilich müssten auch die Info-Pflichten aus Art. 13 DSGVO umgesetzt werden. Nun, wer kennt sie nicht, die berüchtigten Kaffeelisten-Datenschutzhinweise? Und was ist erst mit den technischen und organisatorischen Maßnahmen? Noch dazu, wenn die Listen als Excel-Datei elektronisch geführt und auf dem Arbeitsgerät des hierfür beauftragten Angestellten verarbeitet, bei Abwesenheiten gar von dessen bevollmächtigter Vertretung eingesehen würden – freilich, so ist es.
Problem(aus)löser?
Da wir in unserer Tätigkeit vorwiegend praktisch beraten wollen, dazu ein kleiner Tipp: Wenn die Kaffeeliste darüber hinaus noch sinnvoller genutzt werden soll, bietet es sich sogar an, dort auch noch die Geburtstage und Dienst-Jubiläen einzufügen – damit beispielsweise der Angestellte an seinem Geburtstag den Kaffee geschenkt bekommt. Wenn schon, denn schon!
Spätestens an diesem Punkt aber sollte der gemeine Datenschützer im Büro des Betriebsrates mal auf einen Kaffee vorbeikommen. Immerhin gälte es wichtige Eckpunkte zur Dokumentation und zur ordnungsgemäßen Gewährleistung der Mitbestimmungsrechte abzuklären. Schließlich soll die DSGVO ja kein Papiertiger bleiben, nicht wahr? Aber bevor es so weit kommt, halten wir fest: Datenschutz ohne Kaffee geht nicht. Umgekehrt aber sehr wohl.
Lars
6. Dezember 2021 @ 10:34
Hallo!
Ich bin über den herrlich geschriebenen Artikel gestoßen, als ich versucht habe auf die Frage nach dem Datenschutz beim Kaffee (und Getränke-) Konsum eine ernst Antwort zu finden. Ich führe seit Jahren intern eine Excelliste, die ich am Monatsende an alle Kollegen verschicke, damit sie ihre Getränkeschulden bei mir begleichen können. Leider sind Getränke bei uns nicht kostenlos. Da nun bei uns aber neu die E-Akte eingeführt wurde, ist das Excel momentan abteilungsübergreifend einsehbar. Das rief gleich einige selbsternannte Datenschützer auf den Plan. Meine Frage ist daher: Fällt der Getränkekonsum tatsächlich unter Datenschutz? Meine Liste enthält Namen, Konsum und Kosten.
Viele Grüße, Lars
Conrad Conrad
9. Dezember 2021 @ 15:24
Hallo,
vielen Dank für Ihr Feedback. Auch wenn der Text natürlich etwas humorvoll geschrieben ist, so ist was Wahres dran: Eine solche Liste kann auch dem Datenschutzrecht unterliegen, auch wenn die Information über den Kaffeeverbrauch (1 Tasse pro Tag oder 5 Tassen pro Tag) sicherlich weniger sensible ist. Wenn man am Anfang aber sich als zuständige Person für eine solche „Liste“ vorstellt und abstimmt, wäre da wohl eine konkludente Zustimmung gegeben.
Kristina
12. August 2020 @ 9:29
Wieder einmal: HERRLICH! So kennen wir unsere Kolleg/Innen! 🙂
Danke!
Ein bisschen Spaß muss einfach sein!
🙂
AR
3. August 2020 @ 13:16
Wundervoll, unterhaltsam, sehr amüsant – ich habe herzlich gelacht, das Bild der Mitarbeiter von datenschutz nord dabei vor Augen – und bedanke mich bei den Autoren für diese erfreuliche Unterbrechung meines Arbeitsalltags. Einmal mehr kann ich nur sagen: bitte weiter so!