Datenschutz beim Kopieren und Scannen

Kopieren und Scannen – es sind Vorgänge, die in unserem Zeitalter zum Alltag gehören. An den Datenschutz beim Kopieren und Scannen denken Nutzer im ersten Moment eventuell gar nicht: Man legt ein Dokument in das Scan-/Kopierfach und es wird anschließend eine Kopie oder ein digitales Produkt des Dokumentes erstellt. Das vervielfachte Dokument nimmt der Nutzer aus dem jeweiligen Fach heraus und geht von dannen. Ja, aber …

Personenbezogene Daten beim Kopieren und Scannen

Nun ist es natürlich nicht zwangsläufig der Fall, dass beim Kopieren und Scannen personenbezogene Daten verarbeitet werden. Aufgrund des technischen und digitalen Fortschritts heutzutage, ist es dennoch wahrscheinlich. So kann es schon damit beginnen, dass das jeweilige Dokument, welches vervielfacht wird, personenbezogene Daten enthält. Auch bei dem Kopier- oder Scan-Befehl kann es zur Verarbeitung von personenbezogenen Daten kommen. Es ist u. a. möglich, einzusehen, wer wann den Vervielfältigungsbefehl für das jeweilige Dokument gegeben hat. Dies bedeutet also, dass die DSGVO auch bei solchen scheinbar trivialen Vorgängen zu beachten ist.

Maßnahmen zum Schutz und zur Sicherheit

Auch beim Kopieren und Scannen gibt es technische und organisatorische Maßnahmen, die ein Verantwortlicher zum Schutz und zur Sicherheit personenbezogener Daten implementieren kann:

1)     Abruf des kopierten Dokumentes erst nach Passwort- oder PIN-Eingabe,

2)    Aufstellen des Scan-/Kopiergeräts in einer Weise, dass unbefugte Personen keinen Einblick erhalten können,

3)    sofortiges Entfernen des analogen Dokuments mit den Daten, um zu vermeiden, dass es in die Hände unbefugter Dritter gelangen kann,

4)    Änderung der voreingestellten (Standard-)Passwörter/PIN-Nummern, da diese oftmals in den Anleitungen auffindbar sind und heutzutage auch im Internet recherchiert werden können,

5)    „Rückstellung“/“Ausschalten“ o. Ä. des Gerätes bei Beenden des Vorganges, um zu vermeiden, dass Unbefugte bspw. wiederum das eingegebene Passwort zum Verarbeiten der Dokumente nutzen,

6)    ggf. Einrichtung einer Funktion, die den Druck von Dokumenten nur ermöglicht, sofern die jeweilige befugte Person physisch vor dem Gerät steht, um das Dokument sofort entgegen zu nehmen,

7)    verschlüsselte Speicherung/Ablage etc. des Dokumentes,

8)    Sperrung der Fernwartungsmöglichkeit, wenn nicht benötigt,

9)    regelmäßige Wartung und Überprüfung nach eventuellen Fehleinstellungen,

10)  Löschung aller auf einem Faxgerät gespeicherter Daten, wenn nicht mehr benötigt,

11)   Deaktivierung nicht benötigter Dienste.

Auch hier handelt es sich nicht um eine abschließende Liste von Maßnahmen. Die Möglichkeiten umsetzbarer Schritte gehen weit darüber hinaus. Die jeweils einzuführenden Maßnahmen hängen allerdings auch vom Stand der Technik, den Kosten etc. ab (siehe Art. 32 Abs. 1 S. 1 DSGVO).

Weitere Maßnahmen als Bestandteil des Datenschutz-Management-Systems

Zusätzlich ist zu beachten, ob eventuell Auftragsverarbeitungsverträge abgeschlossen werden müssen. Sie sollten auch sichergehen, dass sie diese Vorgänge im Verzeichnis von Verarbeitungstätigkeiten dokumentieren.

Veröffentlichungen der Datenschutzaufsichtsbehörden

Auch die Datenschutzaufsichtsbehörden der einzelnen Bundesländer haben sich zu diesem Thema geäußert. So finden Interessenten auf der Webseite der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen die Veröffentlichung „Fotokopierer: Die angreifbare Datenstation“. Beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit sind zwei Publikationen zu finden, die sich mit diesem Thema auseinandersetzen: Zum einen im „10. Tätigkeitsbericht zum Datenschutz: Öffentlicher Bereich 2012/2013“. Auf Seite 241 unter Punkt 14.7 geht er darin auf das Multifunktionsgerät zum Kopieren, Scannen etc. ein. Dazu gibt es auch eine Pressemitteilung „Multifunktionsgerät: Das unbekannte Speichermedium!“.

Fazit

So alltäglich die Tätigkeit des Kopierens und Scannens ist, so alltäglich sollte auch die Einhaltung des Datenschutzes und der -sicherheit bei dieser sein. Auch hier drohen sonst Bußgelder, Abmahnungen oder Schadenersatzansprüche im Zusammenhang mit dem Kopieren und Scannen.

Als Bestandteil der Implementation eines kompletten Datenschutz-Management-Systems oder separat können wir Sie auch im Bereich des datenschutzkonformen Einsatzes von Kopier- und/oder Scan-Geräten beraten. Kontaktieren Sie uns gern hierzu.