Gratis
24. August 2013 - Im Posteingang landen nicht nur Briefe!

Datenschutz in der Poststelle: Das müssen Sie regeln

Für die betriebliche Poststelle reicht es nicht, den datenschutzgerechten Umgang mit Briefen und Fax-Sendungen zu regeln. Auch eingehende E-Mails und Nachrichten über soziale Netzwerke wollen berücksichtigt sein.

Organisation der betrieblichen Poststelle
Neben den „Klassikern“ auf Papier müssen im Datenschutzkonzept für die Poststelle auch die elektronischen Kommunikationswege berücksichtigt sein (Bild: Thinkstock)

Schriftliche Mitteilungen, die verschlossen verschickt oder anderweitig gegen unbefugte Kenntnisnahme gesichert werden, unterliegen dem Briefgeheimnis. In der Unternehmenspraxis regeln deshalb meist interne Vereinbarungen, dass eine Poststelle bis auf bestimmte Ausnahmen die Postsendungen öffnet, mit einem Eingangsstempel versieht und danach an die zuständige Abteilung weiterleitet.

Datenschutzpannen bei der Poststelle

Dieser interne Service einer Poststelle kann aber ins Auge gehen: Zum einen müssen alle Mitarbeiter in der Poststelle – dazu gehören auch die Urlaubs- und Krankheitsvertretungen – genau wissen, was nach der Betriebsvereinbarung in der Postverteilung erlaubt ist und was nicht.

Grundsätzlich werden z.B. schriftliche Mitteilungen, die einen Vermerk „Persönlich“, „Eigenhändig“ oder „Vertraulich“ tragen, von der Erlaubnis, Briefe zentral zu öffnen, ausgenommen sein. Gleiches gilt für Privatpost, die entsprechend gekennzeichnet ist und an die Arbeitsstätte des Empfängers geschickt wird.

Ohne Überblick kann viel schiefgehen

Doch die Einschränkungen für eine Poststelle gehen noch weiter: So könnte die interne Postordnung vorsehen, dass die Poststelle Sendungen, bei denen der Name des Empfängers vor dem Namen des Unternehmens oder aber nur der Name des Empfängers ohne Unternehmensbezeichnung genannt wird, ebenfalls nicht öffnen darf. Das aber muss die Poststelle wissen und trotz der meist massenhaft eintreffenden Postsendungen beachten.

Öffnen und Lesen ist ein Unterschied

Es sind aber noch weitere Fehlerquellen in einer Poststelle möglich: So unterliegen auch die geöffneten Briefe und Mitteilungen der Vertraulichkeit.

Die Beschäftigten in der Poststelle dürfen somit nicht etwa alle geöffneten Briefe lesen, weil diese ja nun offen sind. Die Mitarbeiter dürfen den Inhalt einer schriftlichen Mitteilung nur so weit zur Kenntnis nehmen, wie es zur Erbringungen der Postverteilung erforderlich ist.

Mitarbeiter auf Daten- und das Postgeheimnis verpflichten

Auch dies muss den Zuständigen und Vertretern der Poststelle in einer Unterweisung deutlich gemacht werden. Dabei sollten die betreffenden Beschäftigten zugleich auf das Datengeheimnis und auf das Postgeheimnis verpflichtet werden.

Vorsicht bei sensiblen Inhalten

Schriftliche Mitteilungen an

  • die Personalabteilung,
  • den Betriebsrat,
  • die Schwerbehindertenvertretung oder
  • den Betriebsarzt

enthalten in der Regel sensible Daten, die für die Poststelle nicht zugänglich sein dürfen. Deshalb müssen Ihre Unterweisung und die Betriebsvereinbarung entsprechende Hinweise für das richtige Verhalten der Poststelle geben, für den Fall, dass Post für Stellen eintrifft, die einer besonderen Geheimhaltungspflicht unterliegen.

Briefpost ist nicht alles

Die Regelungen, die für eingehende Briefsendungen aufgestellt werden, sollten auch für Paketsendungen und Päckchen gelten.

Ebenfalls zu den klassischen Formen der Eingangspost zählen die Fax-Nachrichten. Sie enthalten neben der gewählten Fax-Nummer in der Regel auch ein Adressfeld, das Informationen wie „Persönlich“ oder „Privat“ enthalten kann, wie es von der Briefpost bekannt ist. Als wesentlicher Unterschied zwischen Fax-Sendungen und Briefpost oder Paketpost ist zu nennen, dass es bei einer Fax-Sendung mitunter ein zusätzliches Deckblatt vor der eigentlichen Mitteilung gibt. Einen Umschlag kennen Fax-Sendungen aber natürlich nicht.

Die Vertraulichkeit muss auch ohne Umschlag gewahrt bleiben

Die Mitglieder der betrieblichen Poststelle müssen wissen, dass die zulässige Kenntnisnahme des Inhalts einer Fax-Mitteilung ebenfalls stark eingeschränkt ist. Nur die Informationen, die für die Arbeit der Poststelle, also in der Regel für die Verteilung der eingehenden Fax-Nachrichten, notwendig sind, dürfen eingesehen werden.

Zudem müssen die eingesehenen Informationen vertraulich behandelt werden. Dazu zählen auch Informationen darüber, wer im Unternehmen von wem eine Fax-Mitteilung bekommen hat.

Fax-Geräte sicher positionieren

Auch wenn Sicherheitsempfehlungen besagen, vertrauliche Daten besser nicht per Fax zu versenden, kann ein Unternehmen als Empfänger dies kaum verhindern.

Deshalb sollten Fax-Mitteilungen, die nicht an eine definierte Nebenstelle, sondern an die zentrale Poststelle gehen, besonders vor unbefugter Kenntnisnahme geschützt werden. Wegen des offenen Versands sollte das Fax-Gerät im Bereich der Poststelle so aufgebaut werden, dass es für Passanten und andere Unbefugte nicht möglich ist, im Vorbeigehen eine Fax-Nachricht an sich zu nehmen.

Fax-Geräte sicher nutzen

Für den Fax-Versand über die Poststelle ist festzulegen, ob es mehrere Benutzer geben soll, die die Berechtigung zum Fax-Versand und ein entsprechendes Passwort haben. Alternativ kann auch die Poststelle alle Fax-Mitteilungen zentral versenden. In diesem Fall müssen die Mitglieder der Poststelle wissen, dass die Fax-Aufträge und die Fax-Protokolle vertraulich zu behandeln sind. Festzulegen ist zudem, wer die Fax-Mitteilungen archiviert und was mit den Fax-Vorlagen jeweils zu geschehen hat.

Da Fax-Geräte auch Nachrichten, Verbindungsdaten und Adressbücher speichern können, müssen Sie darauf achten, dass Dritte den Fax-Speicher nicht auslesen können. Dazu gehört zum einen der Verschluss des Raums, in dem das Fax-Gerät steht, wenn die Poststelle einmal nicht besetzt ist. Dazu gehört aber auch, im Fall von Leasing-Geräten oder bei Ausmusterung der Fax-Geräte den Speicher sicher zu löschen.

Archivierung des Posteingangs und ersetzendes Scannen

Einen Sonderfall stellt es dar, wenn in Papierform eingehende Mitteilungen digitalisiert werden sollen, um sie elektronisch weiterzuleiten bzw. um sie in einem Dokumentenmanagementsystem (DMS) zu speichern und zu archivieren. In diesem Fall muss das digitale Abbild ebenso vor unbefugtem Zugriff geschützt werden wie das Original.

Technische Richtlinie des BSI

Soll das papiergebundene Original durch das digitale Abbild ersetzt werden („ersetzendes Scannen“), sind weitere Vorgaben zu beachten. Hier sei auf die Technische Richtlinie des BSI zum ersetzenden Scannen (TR-Resiscan-TR 03138) verwiesen.

Die Poststelle ist mehr als ein internes Briefverteilzentrum

Es zeigt sich, dass der Blick auf die interne Poststelle neu geschärft werden sollte, um den Schutz personenbezogener Daten besser zu gewährleisten. Dazu gehört zum einen die Einsicht, dass unter Umständen sämtliche Formen der schriftlichen Kommunikation über die Poststelle laufen und daher Regelungen getroffen werden müssen, um Briefgeheimnis, Postgeheimnis und Fernmeldegeheimnis zu wahren.

Eine zentrale Poststelle kann die Datensicherheit erhöhen

Gleichzeitig bietet die moderne Poststelle aber auch die Möglichkeit, für eine höhere Datensicherheit zu sorgen, indem dort für eine (zentrale) Verschlüsselung digitaler Nachrichten gesorgt wird, die die einzelnen Nutzer häufig nicht umsetzen. Ebenso kann eine Poststelle zentrale Aufgaben im Bereich digitale Signatur, digitale Zeitstempel sowie Suche nach Schadsoftware wahrnehmen, eine entsprechende Ausrüstung und Unterweisung der Poststelle sowie passende Betriebsvereinbarungen vorausgesetzt.

Dipl.-Phys. Oliver Schonschek
Dipl.-Phys. Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst sowie Herausgeber und Autor verschiedener WEKA-Werke zu Datenschutz und Datensicherheit.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln