Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
24. Januar 2017

Datenschutzfallen im Büro

DP+
Datenschutzfallen im Büro
Bild: cherezoff / iStock / Thinkstock
4,00 (1)
Clean Desk ist gut – Clean Office ist besser
Wo gehobelt wird, da fallen Späne – und wo ein Büro ist, da fallen Daten an. Bei der täglichen Arbeit im Büro gibt es viele kleine und große Datenschutzfallen. Das Gemeine dabei ist, dass sie den dort tagtäglich Arbeitenden kaum auffallen. Besuchern dagegen schon. Beschäftigen Sie sich als Datenschutzbeauftragter also auch mit den kleinen Datenschutzfallen im Büro.

In vielen Büros gilt es als Zeichen der Transparenz: Die Tür zum Büro ist selbstverständlich offen. Nur wenn Besprechungen stattfinden, bei denen voraussichtlich auch Vertrauliches auf den Tisch kommt, schließen die Mitarbeiter die Tür.

Tage der offenen Tür – immer, nur manchmal oder nie?

Die gut gemeinte Offenheit kann aber erhebliche Nachteile haben.

Das gilt beispielsweise bei Telefonaten, bei denen die Beteiligten vertrauliche Informationen austauschen. Steht jetzt die Tür offen, kann jeder, der sich auf dem Gang befindet, einen guten Teil des eigentlich vertraulichen Austauschs mithören – und sich den Rest möglicherweise zusammenreimen.

Das können Sie als Datenschutzbeauftragter dagegen tun:

  • Um ein Mithören zu vermeiden, empfehlen Sie den Mitarbeitern, einfach eine kurze Unterbrechung des Gesprächs einzuleiten („Moment, ich schließe nur rasch die Tür.“) und dann weiterzutelefonieren.
  • Arbeiten im Büro mehrere Personen, prüfen Sie, ob alle Anwesenden die vertraulichen Inhalte mithören dürfen. Ist das nicht so, suchen Sie zusammen mit den Beschäftigten und deren Vorgesetzten bei einer Ortsbesichtigung nach Lösungen für vertrauliche Telefonate. Möglicherweise lässt sich für solche Gespräche ein kleiner Besprechungsraum verwenden.

Glastüren oder gläserne Seitenstreifen – und die Vertraulichkeit?

In neueren Bürogebäuden finden sich oft Glastüren oder gläserne Seitenstreifen neben der Tür. Hintergrund ist, dass Besucher bei geschlossener Tür sehen können, ob gerade eine Besprechung stattfindet. Das kann kontraproduktiv sein: Führt etwa der Datenschutzbeauftragte in seinem derart eingerichteten Büro eine Besprechung mit einem Beschäftigten, der sich vertraulich an ihn wenden möchte, ist diese Vertraulichkeit nicht mehr gewahrt.

Freier Blick auf die Bildschirme?

Bildschirme sind in kleinen Büros häufig so aufgestellt, dass sie von der Tür aus einsehbar sind. Oft lässt sich das im Raum nicht anders gestalten, v.a. wenn mehrere Personen dort arbeiten. Da auf allen Büro-Bildschirmen mehr oder weniger personenbezogene Daten zu sehen sind, müssen Lösungen her.

  • Denkbar sind Folien auf der Glastür oder in Augenhöhe auf den gläsernen Seitenstreifen, die einen Milchglaseffekt erzeugen.
  • Je nach möglichem Blickwinkel auf die Bildschirme können Polarisationsfilter auf den Monitoren für mehr Diskretion sorgen.
  • Auch Pflanzen, in der richtigen Größe geschickt aufgestellt, können Abhilfe schaffen.

Clean Desk Policy – leere Schreibtische sind keine Schikane!

Nicht nur bei der Arbeitseffizienz haben „Leertischler“ die besseren Karten. Auch beim Datenschutz sind aufgeräumte Schreibtische das Ziel. Was nicht offen herumliegt, lässt sich schlicht nicht ohne Weiteres unbefugt einsehen.

Ein Clean Desk ist v.a. bei Abwesenheit und nach Feierabend anzustreben. Voraussetzung ist, dass es verschließbare Schränke und/oder Bürocontainer gibt, in denen die Mitarbeiter Unterlagen mit Personenbezug wegschließen können.

Weitere Vorteile: Hat der Mitarbeiter Feierabend, ist ein leerer Schreibtisch beruhigender als ein Stapel von Akten. Und die Reinigungskräfte können den Schreibtisch sauber halten.

Sorgen Sie aber für eine verlässliche Stellvertreter-Regelung. Der Stellvertreter muss berechtigt sein, auf die Unterlagen zuzugreifen, sollte ein Mitarbeiter unvorhergesehen ausfallen.

Haben Sie als Datenschutzbeauftragter Akten-Chaoten in der Belegschaft, suchen Sie das Gespräch mit den Betreffenden. Denn der Datenschutz lässt sich sonst nicht gewährleisten.

Wichtige Fragen zum Datenschutz im Büro im Überblick
  • Wie handhaben die Mitarbeiter vertrauliche Gespräche?
  • Sind Bürotüren transparent? Wenn ja, ist dafür gesorgt, dass trotzdem neugierige Blicke draußen bleiben?
  • Sind Bildschirme so aufgestellt, dass niemand unberechtigt einen Blick darauf werfen kann?
  • Sind Bildschirmsperren aktiviert?
  • Sperren die Mitarbeiter mobile Geräte, wenn sie den Raum verlassen?
  • Sind die Schreibtische aufgeräumt?
  • Sind die Schränke verschlossen?
  • Nutzen die Mitarbeiter Schreibunterlagen nicht als Ablage für vertrauliche Informationen?
  • Was geben Telefonanlagen preis?
  • Werden personenbezogene und andere sensible Informationen von Whiteboards und Pinnwänden entfernt?
  • Entsorgen die Mitarbeiter Unterlagen korrekt?
  • Verraten Aktenrücken nicht mehr, als sie dürfen?
  • Sind Datenträger sicher aufbewahrt?
  • Sind Fenster in Pausen und nach Feierabend geschlossen?

 Nicht verschlossene Schränke

In die gleiche Richtung geht das Thema „nicht verschlossene Schränke“. Nach Feierabend oder bei Abwesenheit der Beschäftigten können durchaus Dritte in die Büros kommen. Das kann geschehen, wenn die Räume nicht abgeschlossen werden, aber auch wenn Handwerker, Reinigungskräfte und andere Dienstleister wie Hausmeisterservice u.Ä. im Haus unterwegs sind. Liegen dann personenbezogene Unterlagen in unverschlossenen Schränken, könnten unbefugte Personen diese Daten zur Kenntnis nehmen.

Prüfen Sie bei Ortsbegehungen daher, ob Schränke verschließbar sind, Mitarbeiter personenbezogene Unterlagen bei Abwesenheit dort hineinlegen und v.a., ob sie die Schränke dann auch wirklich verschließen.

Die Schreibunterlage als „geheime“ Informationsquelle

Schreibtischunterlagen sind in vielen Büros nicht wegzudenken und ein beliebtes Werbegeschenk. Bei Telefonaten dienen sie nicht selten als Notizblock. Doch Vorsicht: Auch kleine Notizen können in den Händen von Unbefugten verhängnisvoll sein. Wie leicht lassen sich heute mit jedem Smartphone solche Informationsquellen abfotografieren!

Verwenden Mitarbeiter Schreibunterlagen, um sich Notizen zu machen, müssen sie entweder die Blätter regelmäßig vernichten. Oder die Blätter dürfen keine personenbezogenen Angaben enthalten.

Nehmen Sie als Datenschutzbeauftragter bei Ortsbegehungen die Schreibtischunterlagen näher unter die Lupe. Befinden sich dort Notizen mit personenbezogenen Daten, sprechen Sie die Beschäftigten darauf an. Sie sind sich der Risiken für den Datenschutz oft nicht bewusst.

Das Telefon als Verräter

Ein modernes Telefon hat ein gutes Gedächtnis. Es merkt sich die Nummern der zuletzt Angerufenen und Anrufenden. Außerdem kann es einen Anrufbeantworter haben, der nicht immer so geschützt ist, dass ihn Unbefugte nicht abhören könnten. Das gilt für fest installierte Geräte und mobile Festnetz-Telefone (nicht Handys) gleichermaßen.

Haben Unbefugte unkontrolliert Zugang zum Telefon, können sie diese Daten abrufen und missbrauchen.

  • Klären Sie, wie viele der zuletzt eingegangenen oder getätigten Anrufe wirklich gespeichert sein müssen. Bei handelsüblichen Telefonanlagen lässt sich das individuell für jede Nebenstelle einrichten. Gleiches gilt für die Funktion des Anrufbeantworters.
  • Verlassen Mitarbeiter das Büro, dürfen sie Smartphones und Tablets nicht einfach ohne Zugriffsschutz liegen lassen.

Nicht gesperrte Bildschirme

Halten Mitarbeiter Daten zur Einsicht bereit, zählt das laut Bundesdatenschutzgesetz (BDSG) zur Datenverarbeitung. Kommen interne oder externe Besucher ins Büro, müssen Daten auf Bildschirmen daher vor unbefugter Einsichtnahme geschützt sein.

  • Ideal ist es, wenn Monitore so stehen, dass andere sie nicht einsehen können.
  • Geht das nicht, sollten die Mitarbeiter den Bildschirm sperren. Bei Betriebssystemen von Microsoft (Windows) lassen sich Bildschirme normalerweise mit Drücken der Tastenkombination „Windows“-Taste und „L“ sperren. Klären Sie am besten mit der Administration, welche Tastenkombination die Beschäftigten für das Sperren der Bildschirme verwenden können.
  • Achten Sie bei Ortsbegehungen darauf, dass die Mitarbeiter die Bildschirmschoner einschalten, wenn sie abwesend sind oder wenn Besucher den Monitor einsehen könnten.

Vertrauliches auf Whiteboards und Pinnwänden

Mal eben die Urlaubsplanung für den Unternehmensbereich mit den Kollegen an der Wandtafel festgehalten? Die geplanten Vertriebsumsätze auf dem Flipchart notiert? Die Ideen für die Neuausrichtung der Produktionsstrategie angepinnt?

In vielen Büros oder Besprechungsräumen finden sich weiße Wandtafeln (Whiteboards), Flipcharts oder Pinnwände. Sie leisten bei Besprechungen oft gute Dienste. Allerdings sollten die Mitarbeiter darauf achten, personenbezogene Daten nach Ende der Besprechung, spätestens nach Abschluss der Dokumentation des Gesprächsergebnisses, unkenntlich zu machen.

  • Legen Sie als Datenschutzbeauftragter ein besonderes Augenmerk auf diese nützlichen Bürohilfen und sensibilisieren Sie die Beteiligten. Wer täglich in diesem Umfeld arbeitet, übersieht oft solche vertraulichen Informationen.
  • Vorsicht bei Fotos per Smartphone, die Mitarbeiter von solchen Ergebnissen anfertigen:
    • Erstens sollten sie das nicht mit dem privaten Smartphone tun. Denn das entzieht die Daten dem Einfluss des Unternehmens.
    • Zweitens macht jede weitere elektronische Kopie es unwahrscheinlicher, dass Datenschutzvorgaben wie beispielsweise die vorgesehenen Löschfristen eingehalten werden.

Datenschutzkonformes Verhalten bei Publikumsverkehr

Eine der wichtigsten Fragen des Datenschutzbeauftragten bei Ortsbegehungen von Büros ist die nach der Häufigkeit des Publikumsverkehrs. Dazu gehören sowohl interne als auch externe Besuche.

Dass Unterlagen mit personenbezogenen Daten so weggeräumt werden müssen, dass Unbefugte sie nicht einsehen können, ergibt sich aus den vorangegangenen Punkten. Eine gleiche Behandlung gilt für Bildschirme. Aber was ist mit Telefonaten, die Mitarbeiter in Anwesenheit von Besuchern führen bzw. entgegennehmen?

  • Bei eingehenden Gesprächen sind die Anrufer auf anwesende Dritte hinzuweisen. Im Idealfall vereinbart der Mitarbeiter einen späteren Gesprächstermin.
  • Ist ein Gespräch unaufschiebbar, können die Mitarbeiter die Besucher unter Hinweis auf die Dringlichkeit des Telefonats höflich auffordern, das Büro doch bitte vorübergehend zu verlassen.

Manchmal hilft nur der Verweis auf das Fernmeldegeheimnis

Fragen Sie vor Ort, wie die Mitarbeiter in solchen Fällen verfahren. Ist die erforderliche Sensibilität noch nicht vorhanden, können Sie das bei dieser Gelegenheit nachholen.

Stoßen Sie in wenigen Fällen auf Uneinsichtigkeit, hilft auch einmal ein Hinweis auf das Fernmeldegeheimnis und auf mögliche Strafverfolgung, wenn jemand dieses wichtige Grundrecht missachtet.

Datenschutz an Besprechungstischen

Entweder als Verlängerung des Schreibtischs oder als eigenständiger Tisch mit mehreren Stühlen – Besprechungen mit einer kleineren Personenzahl finden immer öfter im Büro statt.

Dann müssen die Beschäftigten aber darauf achten,

  • dass zum einen die Besprechungstische „sauber“ sind und keine Unterlagen mit personenbezogenen Daten aus einer der letzten Besprechungen offen daliegen und
  • dass zum anderen vom Besprechungstisch aus keine entsprechenden Unterlagen oder Bildschirme einsehbar sind.

Post-its sind praktisch, aber oft auch verräterisch

Post-its sind kleine farbige Klebezettel, die Mitarbeiter gern als Gedächtnisstütze verwenden. Der Klassiker, der glücklicherweise immer seltener vorkommt: Das aktuelle Passwort klebt auf einem solchen Post-it für jeden lesbar am Bildschirm. Meistens enthalten die Zettel jedoch Telefonnummern, Termine oder andere Stichwörter zu aktuellen Arbeitsabläufen.

Für einen aufmerksamen Dritten können derartige Post-its eine hervorragende Informationsquelle sein. Für Datenschutzbeauftragte sind sie eher ein mögliches Informationsleck im Unternehmen. Achten Sie also bei Ihren Begehungen auf Post-its mit personenbezogenen Daten.

Wohin mit zu entsorgenden Unterlagen?

Unterlagen mit personenbezogenen Daten sollten in keinem Fall in den normalen Abfallkreislauf gelangen. Der Papierkorb ist daher für die Entsorgung dieser Unterlagen tabu.

  • Prüfen Sie, ob in jedem Büro entweder ein Schredder mit der nach DIN 66399 richtigen Zerkleinerungsmechanik aufgestellt ist oder sich in zumutbarer Entfernung eine Datentonne befindet.
  • Oft werden Sie in Büros Kisten oder Postkörbe entdecken, in denen personenbezogene Unterlagen so lange lagern, bis entweder eine beauftragte Person sie abholt oder der Beschäftigte sie selbst zur Datenschutztonne oder zur Vernichtung bringt. Schauen Sie sich die konkrete Situation vor Ort genau an. Entscheiden Sie erst dann, ob Sie diese Praxis unter Gesichtspunkten des Datenschutzes tolerieren können oder ob sie geändert werden sollte.
  • Lassen Sie sich den Weg zur Datentonne zeigen. So können Sie sich selbst ein Bild machen.

Verräterische Aktenrücken

Besonders in Büros von freiberuflich Tätigen wie Rechtsanwälten, Steuer-beratern usw., aber auch in vielen anderen Branchen sollten die Kunden für Dritte nicht erkennbar bzw. nicht identifizierbar sein.

Daher dürfen Aktenrücken keine Namen von Patienten oder Mandanten enthalten. Schon die Tatsache, dass ein Patientenverhältnis oder eine Mandantschaft vorliegt, fällt unter die berufliche Schweigeverpflichtung (Privatgeheimnis nach § 203 Strafgesetzbuch – StGB).

Da die Beschäftigten jedoch gewohnt sind, unter dem Patienten- oder Mandantennamen zu suchen, kann das v.a. in der Umstellungsphase immer wieder zu menschlich verständlichen, aber aus Datenschutzgründen nicht tolerierbaren Vorkommnissen führen: So hat beispielsweise eine Steuerkanzlei auf den Aktenrücken die Klarnamen durch Nummern ersetzt. Findige Mitarbeiter schrieben daraufhin mit Bleistift die Klarnamen zwar klein, aber eben doch noch lesbar auf die Aktenrücken.

USB-Sticks, Smartphones und Papier – Datenträger sicher aufbewahren

Gelegenheit macht Diebe – leider gilt das auch für Büros. Ist das schon bei Geldbeträgen und anderen Wertgegenständen mehr als ärgerlich, so kann das bei Datenträgern richtigen Ärger geben.

Ein unverschlüsselter USB-Stick, auf dem sich z.B. Patientendaten befinden und der abhandenkommt, löst die Informationspflicht gegenüber der Aufsichtsbehörde und den Betroffenen nach § 42a Bundesdatenschutzgesetz aus. Daher sind Datenträger besonders sicher zu verwahren.

Klären Sie bei Begehungen über diese Themen auf. Das gilt für USB-Sticks, SD-Karten mit Bildern der neuesten Entwicklungen des Unternehmens, Flash-Speicher, CDs, DVDs – kurz für alle Geräte und Datenträger, auf denen die Mitarbeiter personenbezogene Daten speichern.

Fenster als Datenschutzfalle

Gerade in der warmen Jahreszeit können Fenster zur Datenschutzfalle werden. Geöffnete Fenster im Erdgeschoss, womöglich noch zu Bereichen hin, die öffentlich zugänglich sind, können zum Einbrechen geradezu animieren. Das gilt erst recht zu Zeiten, in denen niemand im Büro ist, sei es in der allgemeinen Mittagspause oder nach Feierabend.

Auch während der Bürozeiten sollten daher Fenster, die sich leicht von außen zum Einsteigen nutzen lassen, niemals offen bleiben, wenn das Büro nicht besetzt ist. Nach Feierabend ist sicherzustellen, dass noch einmal kontrolliert wird, ob die Fenster tatsächlich alle geschlossen sind.

Achten Sie als Datenschutzbeauftragter darauf, dass entsprechende Regelungen vorhanden sind und regelmäßig kontrolliert werden.

Am besten gemeinsam mit allen Beteiligten nach Lösungen suchen

Der vorliegende Beitrag hat die wichtigsten Datenschutzfallen im Büro angesprochen. Daneben können natürlich weitere, hier nicht behandelte Fallen auftauchen. Nutzen Sie als Datenschutzbeauftragter Ihre Ortsbegehungen dazu, Gefährdungen zu identifizieren, und suchen Sie gemeinsam mit den Beschäftigten nach Lösungen.

Wenn Sie die Mitarbeiter beteiligen, sichern Sie sich das Ideenpotenzial der Menschen und haben größere Chancen, dass sie die vereinbarten Maßnahmen einhalten.

Viel Erfolg beim Aufspüren und Beseitigen von größeren oder kleineren Datenschutzfallen in Büros!

Eberhard Häcker

Eberhard Häcker
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Eberhard Häcker
Eberhard Häcker
Eberhard Häcker ist seit vielen Jahren als externer Datenschutz­beauftragter tätig. Seit 2005 ist Eberhard Häcker selbstständig mit Schwerpunkt Datenschutzberatung.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.