Was hat die Putzhilfe mit der DSGVO zu tun?

Kommt bei Ihnen auch regelmäßig eine Putzhilfe und säubert die Büros? Haben Sie darüber schon nachgedacht, welche Informationen Sie in Ihrem Unternehmen zu sehen bekommt? Unterlagen auf dem Schreibtisch, offene Aktenschränke? Papierkörbe, in die personenbezogene Daten und Firmeninterna entsorgt werden?

Dies alles kann dazu führen, das Informationen aus dem Unternehmen in falsche Hände geraten.

Hier gibt es zwei Lösungen:

1. Die Putzhilfe bekommt eine Geheimhaltungsverpflichtung.
Sie hat Einsicht (beabsichtigt oder zufällig spielt hierbei keine Rolle) in firmeninterne Unterlagen und eventuell sogar personenbezogene Daten. Somit ist Sie als Person genauso im Umgang mit sensiblen Daten zu unterrichten. Wenn Sie von einer Reinigungsfirma Ihre Büroräume gesäubert bekommen, dann sollte Ihnen das Unternehmen bereits entsprechende Verträge und Erklärungen vorgelegt haben.

2. Die Dateneinsicht minimieren.
Aktenschränke sind abzuschließen und Unterlagen auf dem Schreibtisch gehören nach Feierabend in das abschließbare Schubfach. In den Papierkorb gehören überhaupt keine sensiblen Daten. Diese werden im Aktenvernichter geschreddert. PCs sind mit Passwörtern geschützt. Alles was personenbezogene oder sensible Daten beinhaltet, liegt nicht offen herum.

Siehe hierzu auch meinen Beitrag Altpapier ist gefährlich.

IT-Sicherheit

offen zugänglicher Server
So sollte der Server nicht zugänglich sein.

Server, Router und andere Netzwerke sind vor Zugang zu schützen. Der Server hat nicht in der Abstellkammer oder dem Putzraum zu suchen. Wenn überhaupt, ist er dort in einem entsprechenden Schrank unter Verschluss. Kommt die Reinigungskraft nach Feierabend, hat sie in der Regel Zugang zu den Büros und kann sich frei im Unternehmen bewegen. Stellen sie sicher, dass die IT nicht zugänglich ist. Das Bundesamt für Informationssicherheit BSI gibt hierzu eine Reihe an Empfehlungen.

Der Datenschutzbeauftragte hilft

Bei der Besichtigung eines Unternehmens unterweise ich die Mitarbeiter auf Risiken und Vorsichtsmaßnahmen  im Umgang mit sensiblen Daten. Wenn gewünscht, wird in regelmäßigen Audits die Umsetzung und Einhaltung der DSGVO geprüft.

Videokonferenzen: Was Organisierende und Teilnehmer beachten müssen

Videokonferenzen sind seit Corona eines der am meisten genutzten Kommunikationsmittel. Sie bieten eine zeit- und kostensparende Möglichkeit, Informationen visuell und persönlich auszutauschen.

Bedingt durch Homeoffice will man die Kollegen mal wieder sehen. Telefonie geht meistens nur zu zweit, durch Anbieter von Video-Meeting-Software ist eine Teambesprechung kein Problem mehr. Das dabei auch personenbezogene Daten und die Sicherheit eine Rolle spielen, sollte nicht vernachlässigt werden.

Derzeit wird man mit Informationen um die Sicherheit und den Datenschutz rund um diese Tools erschlagen. Fast täglich kommen Nachrichten zu Sicherheitsrisiken einzelner Anbieter auf den Tisch. Dabei gilt es erstmal, nur ein paar einfache Regeln in der Auswahl der Software zu beachten.

Auswahl der Software

Die meisten Anbieter bieten inzwischen diese notwendigen Einstellungen:

  • Das Meeting kann nur mit einem Passwort betreten werden
  • Ein Warteraum, bevor der Teilnehmer in die Meetingraum durch den Organisator erlaubt wird
  • Eine Sperrung des Meetings für neue Teilnehmer nach einer gewissen Zeit

Sind diese Voraussetzungen durch die Software gegeben, sind die wichtigsten Hürden für die Auswahl der Software überwunden. Es gibt weitere Vorgaben, die aber dann individuell auf den Einzelfall zu prüfen sind.

Was Organisierende beachten sollten

In Bezug auf die DSGVO sind datenschutzrechtliche Voraussetzungen für die Teilnehmer von Video-Meeting zu erfüllen. Insbesondere bei Meetings, die nicht innerhalb des Unternehmens geführt werden, sind besondere Kriterien zu beachten. Werden personenbezogene Daten für die Durchführung der Meetings an die Eingeladenen verteilt, müssen die Betroffenenrechte nach Art. 15-22 DSGVO berücksichtigt werden.

Es geht also zum Beispiel nicht, Namen und andere persönliche Informationen ohne Erlaubnis an alle Teilnehmer zu versenden. Dies muss vorher schriftlich mit Zusage des Teilnehmers geklärt werden.

Wird das Meeting oder Teile davon aufgezeichnet, so müssen die Teilnehmer dem vorher zugestimmt haben. Dies gilt in allen Bereichen!

Hinweise für Teilnehmer

Für die Meetings gilt: Setzen Sie sich vor einen neutralen Hintergrund. Büroschränke, in denen beschriftete Ordner stehen, sind zu vermeiden. Sorgen Sie für eine ruhige Atmosphäre. Achten Sie auf die Geheimhaltung im Raum, das gilt auch für Familienangehörige. Ist Ihre IT entsprechend sicher? Siehe hierzu auch mein Beitrag zu Sicherheit im Homeoffice.

Weitere Unterstützung

Für die Durchführung von Videokonferenzen stehe ich als Datenschutzbeauftragter gerne zur Verfügung. Wer sich durch den Dschungel an Informationen kämpfen möchte, dem stehen nachfolgende Links mit vielen weiteren Hinweisen zur Verfügung.

Kompendium Videokonferenzsysteme
Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Stand: April 2020, 173 Seiten, PDF

Praxishilfe Videokonferenzen und Datenschutz
Gesellschaft für Datenschutz und Datensicherheit e.V.
Stand: April 202, 17 Seiten, PDF

Nutzung von Messenger- und Videokonferenzdiensten in Zeiten der Corona-Pandemie
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Stand: April 2020

Leitfragen zur Beurteilung von Angeboten
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Stand: April 2020