Datenschutz ist auch Dokumentenschutz

Foto: © vchalup - stock.adobe.com

Seit dem 25.05.2018 ist in Europa die DSGVO (Datenschutzgrundverordnung) in Kraft und hat für einige Aufregung besonders im Bereich des Online-Business gesorgt. Die Datenschutzvorschriften sind strenger und die Bußgelder höher geworden. Viele Unternehmen geben sich jedoch dem Trugschluss hin, dass die DSGVO nur für elektronische Daten gilt. Das ist nur die halbe Wahrheit, denn die DSGVO ist technologieneutral formuliert. Datenschutz betrifft jedes Unternehmen, denn schon der Name des Ansprechpartners oder eines Kunden in Verbindung mit einer Telefonnummer oder einer Email-Adresse sind personenbezogene Daten. Auch wenn man so weit wie möglich auf elektronische Datenspeicherung verzichtet und mit Papier arbeitet, unterliegt man daher der DSGVO.

Um hier die rechtlichen Anforderungen zu erfüllen, sollte man folgen Hinweise beachten:

1. Auffindbarkeit der Informationen

Betroffene, also beispielsweise Kunden, Mitarbeiter (auch ehemalige), Lieferanten etc. haben ein Recht auf Löschung ihrer personenbezogenen Daten. Das beinhaltet natürlich, dass die Daten auffindbar sind. Bei einer elektronischen Ablage mag das noch relativ einfach und mit der Suchfunktion schnell zu bewerkstelligen sein, aber bei einer papierbasierten Aktenablage wird es schon schwieriger. Sofern nicht bereits vorhanden, sollte man entsprechende einheitliche Prozesse und Ablagesysteme implementieren, um möglichen Auskunfts- und Löschanfragen nachkommen zu können.

2. Zugriffssicherung

Dass personenbezogene Daten nicht jedermann zugänglich sein sollten, ist eigentlich eine Selbstverständlichkeit. Dennoch kommt es häufig vor, dass sensible Unterlagen frei zugänglich auf Schreibtischen oder am Drucker ausliegen und so in falsche Hände gelangen können. Abschließbare Dokumentenschränke und Dokumententresore bieten dagegen Sicherheit. Es gibt unterschiedlich große Modellen, so dass man selbst etliche Meter an DIN A4-Ordnern bequem und sicher aufbewahren kann.

Beim Drucker sollte man auf vorhandene Sicherungsmechanismen zurückgreifen. So können Unterlagen bei bestimmten Modellen an Drucker geschickt werden, aber der Ausdruck selbst kann nur mit einem individuellen PIN-Code ausgelöst werden. So wird sichergestellt, dass nur berechtigten Personen den Druck des Dokuments veranlassen können und dann auch gleich mitnehmen.

3. Vernichtung

Industriespionage beschränkt sich nicht nur auf das Hacken von IT-Systemen, sondern umfasst auch das Durchsuchen des Abfalls. Oft sind Mitarbeiter nicht gut genug sensibilisiert oder einfach auch zu bequem, die Dokumente zu schreddern oder sie in einer verplombten Tonne zu entsorgen. Diese steht häufig an einem zentralen Ort und eben nicht direkt am Schreibtisch wie ein Papiereimer. Häufig werden daher Unterlagen mit wichtigen Informationen oder personenbezogenen Daten nicht datenschutzkonform entsorgt. Ganze Personalakten wurden in der Vergangenheit schon im Abfall gefunden, genauso wie vertrauliche Unternehmensdaten.

Hier helfen entsprechende Schulungen und auch ein Verbot der Papiereimer am Schreibtisch, so dass die Mitarbeiter zu einer zentralen Stelle gehen müssen, um Unterlagen wegzuwerfen.

Lässt man die vertraulichen Unterlagen von einer Firma fachgerecht vernichten, sollte man in jedem Fall daran denken, eine entsprechende Vereinbarung abzuschließen. Dieser Auftragsverarbeitungs-Vertrag sollte den Anforderungen der DSGVO Rechnung tragen. Dennoch bleibt man als Unternehmen verantwortlich und muss sich überzeugen, dass der Dienstleister tatsächlich datenschutzkonform arbeitet.

Ist man sich immer nicht ganz sicher, ob man DSGVO-konform ist, sollte man einen Anwalt oder Datenschutzbeauftragten konsultieren.

Autor: I. Drobek