Datenschutz und Daten auf Reisen

Der Aktenordner mit zu betreuenden Fällen wird im Zug vergessen. Die Patientenakte liegt auf dem Beifahrersitz. Die Notizen mit Dokumenten bezüglich der Beschäftigten sind im Beutel am Einkaufswagen. Nun fragen Sie sich vielleicht, worauf wir mit diesem Beitrag hinauswollen. Wir lösen auf: Sie alle haben eins gemeinsam, nämlich den Datenschutz und Daten auf Reisen. Mit Reisen meinen wir übrigens beispielsweise die Wege vom Büro nach Hause mit einem Umweg, z. B. durch die Gemüseabteilung im nächstgelegenen Markt oder den von einem Geschäftstermin ins Büro.

Gefahren beim Transport von Dokumenten

Auf dem Weg vom Büro ins Homeoffice oder beim mobilen Arbeiten gibt es mehrere Szenarien, die einen unbefugten Zugriff und damit eine unbefugte Verarbeitung dieser Daten nach sich ziehen kann.

Verlust der Dokumente

Häufig erfahren wir vom Verlust von Dokumenten. Ein Paradebeispiel ist wohl der Aktenordner, der soeben auf dem Autodach abgelegt und dort vergessen wird, um eventuelle Taschen o. Ä. im Auto zu verstauen. Auch nicht unüblich ist das Verlorengehen von Dokumenten nach einem Gespräch mit einem Geschäftspartner in einem Restaurant. Arbeitet eine Person im Zug, ist es leider nicht abwegig, dass Dokumente im Zug vergessen werden – eventuell, nachdem sie versehentlich und unbemerkt auf den Boden gefallen sind. Möglicherweise ragt ein Blatt Papier etwas aus dem offenen Transportbeutel heraus. Eine neugierige Person zieht es vielleicht im Vorbeigehen heraus und entwendet es. Ein USB-Stick, der sich in der Hosen- oder Handtasche befindet, fällt beim Bezahlen möglicherweise unbemerkt raus.

Unbefugtes Einsehen

Nun kann es sein, dass es beim Transport des USB-Sticks für andere Personen nicht möglich ist, die Daten einzusehen. Geht er aber verloren, siegt vielleicht die Neugier des Finders und er versucht, die Daten einzusehen. Wenn die Daten nicht verschlüsselt und somit nicht vor unbefugtem Zugriff gesichert sind, gelingt es dem Finder auch. Möglicherweise kopiert der Finder die Daten auch, veröffentlicht diese o. A.

Der Verlust der Dokumente und das unbefugte Einsehen von Dokumenten sind wohl die häufigsten Vorkommnisse beim Transport von Dokumenten etc. Es gilt auch das Einsehen der Dokumente durch den Finder, der aus eigentlich aufrichtigen Gründen versucht, ausfindig zu machen, wer sie verloren hat, um sie zurückzugeben, als unbefugten Zugriff. Dann gibt es natürlich auch solche Gefahren, die wir wohl meist aus der Fiktion kennen: das Vertauschen von Dokumenten oder Datenträgern. Man nehme aber an, es handelt sich um die Daten eines Unternehmens, was hochinnovative Produkte entwickelt. Dann gehen eventuell nicht nur personenbezogene Daten – ein Datenschutzvorfall gem. Art. 4 Nr. 12 DSGVO – verloren, sondern auch Geschäftsgeheimnisse.

Maßnahmen zum Datenschutz und zur Datensicherheit

Jeder Verantwortliche, der personenbezogene Daten in seinem Unternehmen, seiner Arztpraxis, seiner Behörde etc. verarbeitet, hat gemäß Artt. 24 Abs. 1 i. V. m. 32 Abs. 1 DSGVO die Pflicht, jene Daten vor unbefugter Verarbeitung zu schützen. Eben diese Pflicht trifft den Verantwortlichen auch, wenn der Beschäftigte auf dem Weg vom Büro ins Homeoffice ist.

Sensibilisierung der Beschäftigten zum Datenschutz und zur -sicherheit

Sofern ein Verantwortlicher den Beschäftigten erlaubt, auch im Homeoffice – oder sogar mobil – zu arbeiten, ist es eventuell unvermeidlich, dass die Beschäftigten Informationen, Notizen, Akten etc. ins Homeoffice nehmen. Darunter können sich dann auch personenbezogene Daten befinden. Also auch hier ist es wichtig, sie zum Datenschutz und zur -sicherheit zu sensibilisieren. – Hierzu auch mehr in unserem Beitrag „Datenschutz im Homeoffice meistern“. – Folglich sollte ein Arbeitgeber den Beschäftigten die Bedeutung der DSGVO näherbringen. Im Zuge dessen kann es auch hilfreich sein, auf weitere speziell auf diese Situation zugeschnittene Datenschutzmaßnahmen aufmerksam zu machen.

Firmeneigene Datenträger für Beschäftigte

Notizen und Unterlagen werde nicht ausschließlich in Papierform transportiert. Um Platz zu sparen, speichert ein Beschäftigter Daten, u. a. personenbezogene, für die mobile Arbeit oder für das Homeoffice auf einem USB-Stick. Idealerweise stellt der Arbeitgeber unternehmenseigene USB-Sticks zur Verfügung. So kann er vermeiden, dass eine private Speicherkarte o. Ä. genutzt wird, auf der sich eventuell Schad-Software, ein Virus o. Ä. befindet, was auf diese Weise einen Weg in das Firmennetzwerk und die -IT finden kann.

Verschlüsselung von Datenträgern

Des Weiteren ist auch darauf zu achten, dass Beschäftigte die Daten auf den Datenträgern verschlüsseln. Das ist nicht nur wichtig, wenn sie diese transportieren. USB-Sticks sind klein. Sie lassen sich also sehr gut im Stiftableger o. Ä. aufbewahren, wo beispielsweise Reinigungskräfte, Hausmeister oder Besucher mit entsprechender Technik (z. B. Laptop o. Ä. zuhause) Zugang zu diesen Daten erhalten könnten. Sind die Daten dagegen effizient verschlüsselt oder mit Passwörtern geschützt, kann ein Verantwortlicher einen unbefugten Zugriff vermeiden. – Mehr zur Erstellung möglichst wirksamer Passwörter finden Sie in unserem Beitrag hier. –

Datenschutzkonformer Transport von Papierdokumenten

Auch wenn Papierdokumente, Akten, Notizen o. Ä. außerhalb der Büroräumlichkeiten genutzt werden, ist unbedingt darauf zu achten, dass unbefugte Personen keinen Einblick in die Dokumente erhalten können. Umwege mit den Dokumenten sind möglichst zu vermeiden. Auch beim Transport selbst ist darauf zu achten, die Dokumente in einem verschließbaren Behälter zu transportieren. Dabei kann es sich um einen entsprechenden Dokumentenkoffer handeln. Demnach ist der offene Einkaufsbeutel, den ein Beschäftigter gerade in der Tasche hat, unpassend. Genauso unangemessen ist es, die Dokumente in der Hand zu tragen. Schließlich können eventuell unbemerkte lose Blätter verlorengehen.

Aufbewahrung der Dokumente auf dem Firmenlaufwerk

Der Transport der Dokumente erübrigt sich, wenn ein Beschäftigter weiß, dass er die benötigten Informationen auch auf dem Firmenlaufwerk findet. Anhand von Arbeits- oder Betriebsanweisungen kann ein Verantwortlicher die Beschäftigten darauf aufmerksam machen, jegliche Erarbeitungen auf dem jeweiligen Firmenlaufwerk abzulegen. Ist dies in einem Fall nicht möglich, wäre es dann auch in Ordnung, die Notizen etc. bei nächstmöglicher Gelegenheit zur Aufbewahrung auf dem Firmenlaufwerk zu digitalisieren.

Weitere Maßnahmen zum Datenschutz

All die technischen und organisatorischen Maßnahmen zum Datenschutz und zur -sicherheit sind zu dokumentieren. So können Beschäftigte die einzuhaltenden Vorgaben bei Bedarf nachlesen. Des Weiteren erfüllt der Verantwortliche seine Nachweispflicht nach Art. 5 Abs. 2 DSGVO. Auch sollte es Prozesse geben, sofern es tatsächlich zu solch einen Vorfall kommt, um möglichst schnell notwendige Maßnahmen ergreifen zu können, damit ein Verantwortlicher weitere Schäden vermeiden kann. Ein Beispiel, sofern technisch auf dem Gerät möglich, wäre das Löschen von Daten auf dem Speicherträger, ohne dass der Verantwortliche den Speicherträger bei sich haben muss. Des Weiteren ist bei einem Vorfall zu untersuchen, ob es sich um einen meldepflichtigen Vorfall gemäß Art. 33 Abs. 1 DSGVO handelt. Eventuell sind dann auch die betroffenen Personen von diesem Datenschutzvorfall zu unterrichten (Art. 34 Abs. 1 DSGVO).

Berichte der Datenschutzaufsichtsbehörden

Auch die Datenschutzaufsichtsbehörden scheinen regelmäßig über den Verlust von Dokumenten, Datenträgern, Akten o. A. zu berichten – im Folgenden ein paar Beispiele, die keinesfalls abschließend sind:

Brandenburg

In ihrem Tätigkeitsbericht Datenschutz 2021 schreibt die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg vom berühmten Fall der Akten auf dem Autodach (siehe Punkt 7, Seite 95). Hierbei handelte es sich um u. a. besonders sensible personenbezogene Daten nach Art. 9 Abs. 1 DSGVO aufgrund der Personalausweiskopie, die sich neben anderen wichtigen Daten in der Akte befand.

Bayern

Auch schon im 6. Tätigkeitsbereich für die Jahre 2013 und 2014  des Bayerischen Landesamtes für Datenschutzaufsicht (Punkt 21.2, Seite 154) lesen wir von häufigen Vorfällen, bei denen personenbezogene Daten auf dem Transportweg abhandenkamen. Auf Seite 153 erkennt man von 2012 bis 2014 eine Zunahme solcher Vorfälle. In Zeiten des mobilen Arbeitens und des Homeoffices dürfte die Zahl weitaus mehr angestiegen sein.

Der Bayerische Landesbeauftragte für den Datenschutz berichtet in seinem 30. Tätigkeitsbericht von einem Fall einer Person, die bei einer Kommune arbeitete (Punkt 10.9,). Vor ihrer Fahrt vom Büro ins Homeoffice verstaute sie die benötigten Dokumente lose in ihrem Fahrradkorb. Als es während der Fahrt zu einem heftigen Windstoß kam, geschah leider das Unglück und ein paar Dokumente flogen herum, konnte mithilfe von Passanten, die wahrscheinlich unbefugten Einblick in die Dokumente erhielten, aufgesammelt werden. Andere lose Seiten, die in die Donau flogen, wurden wohl eventuell irgendwann an ein Ufer gespült.

Berlin

Die Berliner Beauftragter für Datenschutz und Informationsfreiheit informiert in ihrem Tätigkeitsbericht 2012 von einem Fall entwendeter arbeitsmedizinischer Untersuchungen (Punkt 15.2, Seite 154). In diesem Fall wurden von dem Angreifer u. a. die Papierakten mit personenbezogenen Daten entwendet, während sie sich im Auto – wenn auch abgeschlossen – befanden.

Thüringen

Auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit erwähnt in seinem 3. Tätigkeitsbericht zum Datenschutz 13 nach der DS-GVO 2020 von mehreren Ereignissen, bei denen Akten oder Papierdokumente versehentlich oder durch Diebstahl abhandengekommen sind (Punk 1.2, Seite 14).

Fazit

Der Verlust von Dokumenten stellt ein Risiko dar: Hierbei handelt es sich nicht immer „nur“ um einen Datenschutzvorfall, der eventuell der Datenschutzaufsichtsbehörde zu melden ist. Es kann sich hierbei auch um einen Verstoß gegen die Berufsgeheimhaltungspflicht nach § 203 StGB handeln. Oder eventuell werden dabei auch besonders wichtige Geschäftsgeheimnisse offenbart. Es können Schadensersatzansprüche, Abmahnungen oder auch Bußgelder drohen. Darüber hinaus kann es aber auch zu Umsatzeinbußen, Vertragsstrafen oder Ansehensverlust kommen.

All die Fälle zeigen, wie wichtig die Sensibilisierung der Beschäftigten zum Datenschutz und auch zur -sicherheit ist. Dabei können wir Sie unterstützen. Nicht nur das. Gern beraten wir Sie auch zum Datenschutz und stellen einen externen Datenschutzbeauftragten. Kontaktieren Sie uns noch heute.