Der Datenschutz soll uns vor „Gefahren der EDV“ bewahren – so hört man es häufig. Dabei gehen von Daten auf Papier oft viel größere Risiken für den Schutz personenbezogener Daten aus. Deshalb gilt die EU-Datenschutzgrundverordnung (DSGVO) auch für Daten auf Papier.
EDV = böse, Papier = harmlos?
Sie wollen nicht glauben, dass Daten auf Papier für den Datenschutz gar nicht so harmlos sind?
Dann stellen Sie sich einfach zwei Fragen:
Schützen Daten auf Papier vor den Pflichten der EU-DSGVO |
- Sehen Sie es Daten auf Papier an, ob jemand diese Daten gelesen hat?
- Sehen Sie es Daten auf Papier an, ob jemand das Papier kopiert hat?
Beide Fragen sind natürlich mit Nein zu beantworten. Wären die Daten statt auf Papier in elektronischer Form gespeichert, sähe das Ganze etwas anders aus. Lesezugriffe lassen sich genauso einfach protokollieren wie ein Download von Daten. Ob jemand erlaubt gehandelt hat oder nicht, kommt im Ernstfall daher schnell ans Licht.
Papier ist nicht „besser“!
Klar, lückenlos funktioniert auch das nicht. So könnte jemand, der dazu berechtigt ist, Daten am Bildschirm aufrufen. Dann könnte er mit seinem Smartphone ein Foto des Bildschirms machen. Und schon hätte er das Verbot, die Daten zu kopieren, umgangen. Dennoch ändern solche Ausnahmefälle nichts am Prinzip: Personenbezogene Daten auf Papier sind mindestens genauso gefährdet wie elektronische Daten, wenn nicht sogar noch viel stärker!
Schreiben als Speicherung von Daten
Die DSGVO hat daraus die nötigen Folgerungen gezogen. Sie gilt unabhängig davon, ob Daten auf Papier gespeichert sind oder in elektronischer Form. Sie haben richtig gelesen: Auch das Festhalten von Daten auf Papier, ob mit Bleistift oder Drucker, bezeichnet die EU-DSGVO als Speicherung von Daten! Das wirkt auf den ersten Blick ungewohnt. Aber wenn man kurz überlegt, ist das nur konsequent.
Schreiben als Verarbeitung von Daten
Haben Sie diese gedankliche Hürde genommen, fallen Ihnen einige andere Aspekte der EU-DSGVO nicht mehr schwer. Die DSGVO gilt ausdrücklich auch für die „nicht automatisierte Verarbeitung personenbezogener Daten“. So sagt es Art. 2 Abs. 1 EU-DSGVO. Eine Form der Verarbeitung ist die Speicherung. Das definiert Art. 4 Nr. 2 EU-DSGVO. Aus beidem zusammen folgt: Wer Daten auf Papier festhält, verarbeitet diese Daten, und zwar nicht automatisiert.
Notizzettel = „Dateisystem“?
Heißt das, man muss nun für jeden Notizzettel die EU-DSGVO beachten? So weit geht die EU-DSGVO nicht. Falls Daten nicht automatisiert verarbeitet werden, findet die EU-DSGVO nämlich nur Anwendung, wenn die Daten „in einem Dateisystem gespeichert sind.“ So sagt es Art. 2 Abs. 1 EU-DSGVO.
Sie verzweifeln allmählich etwas, weil das schon wieder ein neuer Begriff ist? Keine Sorge! Dieser Begriff ist klar definiert: Ein „Dateisystem“ ist jede strukturierte Sammlung personenbezogener Daten (Art. 4 Nr. 6 EU-DSGVO). Beispiele für solche strukturierten Sammlungen sind Karteien und Hängeregistraturen, aber auch alphabetisch sortierte Unterlagen in Ordnern. Ein ungeordneter Haufen mit Notizzetteln fällt also nicht unter die EU-DSGVO. Datenschutzgerecht entsorgen sollten Ihn bitte trotzdem!
Fazit
Auch wenn Sie Ihr Unternehmen jetzt ent-digitalisieren würden indem Sie statt mit elektronischen Dokumenten und Dokumentenmanagement (DMS) wieder mit Papierdokumenten und Schreibmachinen arbeiten, bietet dies keinen Schutz vor der Gültigkeit der EU-DSGVO.
Informieren Sie sich jetzt über den EU-DSGVO-konformen Einsatz eines Dokumenten-Managementsystems und setzen Sie jetzt mit uns auf die Vorteile eines Büro 4.0.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele