Was ist passiert?
In vielen Unternehmen oder öffentlichen Einrichtungen werden Eingangspost und interne Schreiben noch in physische Postfächer gelegt – sei es für Abteilungen oder einzelne Mitarbeitende. Kommt es hier zu einer Fehlablage oder unbefugten Einsichtnahme, kann das schnell einen Datenschutzvorfall nach Art. 4 Nr. 12 DSGVO darstellen.
Beispiel:
Ein Brief mit sensiblen personenbezogenen Daten (z. B. Lohnabrechnungen, ärztliche Unterlagen oder Bewerbungsunterlagen) wird versehentlich in das falsche Postfach gelegt. Eine unbefugte Person liest den Inhalt – und schon liegt ein Datenschutzverstoß vor.
Warum ist das ein Datenschutzvorfall?
Die Datenschutz-Grundverordnung (DSGVO) schützt alle personenbezogenen Daten, unabhängig vom Medium – digital oder analog. Sobald jemand unbefugt Zugriff auf solche Daten erhält oder diese offengelegt werden, spricht man von einem Datenschutzvorfall.
Das gilt auch dann, wenn:
- keine digitale Speicherung stattfindet,
- der Zugriff nur kurzzeitig war, oder
- die Daten in Papierform vorlagen.
Meldepflicht nach DSGVO
Je nach Schwere des Vorfalls kann eine Meldung an die Datenschutzaufsichtsbehörde notwendig sein – innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO).
Eine Meldung ist insbesondere erforderlich, wenn:
- sensible oder vertrauliche Informationen betroffen sind,
- mehrere Personen betroffen sind, oder
- das Risiko für die Rechte und Freiheiten der Betroffenen als hoch einzustufen ist.
Zusätzlich sollten die betroffenen Personen informiert werden, wenn ihre Daten möglicherweise missbraucht oder unbefugt eingesehen wurden (Art. 34 DSGVO).
Prävention – wie sich analoge Datenschutzvorfälle vermeiden lassen
Auch wenn viele Prozesse digitalisiert werden, bleibt der Umgang mit Papierdokumenten in vielen Organisationen unvermeidbar. Deshalb gilt:
- Klare Postprozesse definieren: Wer darf Post entgegennehmen, sortieren und weiterleiten?
- Postfächer sichern: Nur autorisierte Personen sollten Zugang zu vertraulichen Fächern haben.
- Vertraulichkeitskennzeichnung nutzen: Briefe mit sensiblen Daten sollten deutlich als „Vertraulich“ oder „Nur persönlich öffnen“ gekennzeichnet werden.
- Regelmäßige Schulungen: Mitarbeitende sollten verstehen, dass auch Papierdaten unter die DSGVO fallen.
- Dokumentation: Jeder Vorfall – auch kleinere – sollte intern dokumentiert und bewertet werden.
Fazit
Datenschutz endet nicht an der digitalen Grenze. Auch ein versehentlich falsch zugestellter Brief kann rechtlich ein Datenschutzvorfall sein. Wer Datenschutz ernst nimmt, muss deshalb analoge Prozesse genauso sorgfältig absichern wie digitale Systeme.
Der Schutz personenbezogener Daten beginnt im Detail – und manchmal liegt er eben im richtigen Postfach.
(Autor: Datenschutz Frick mit Hilfe durch ChatGPT)
