Kopierer als Datenschutzrisiko

Lesezeit: ca. 3 Minuten

Scanner und Kopierer sind nicht nur aus dem Arbeitsalltag nicht mehr wegzudenken, sondern auch für Behörden und Unternehmen ein Sicherheitsrisiko. Eine vergessene Kopie kann intern und auch extern eine Menge Ärger auslösen. Hinzu kommt, dass Kopiergeräte mittlerweile multifunktional sind und kopieren, drucken, scannen, faxen und per E-Mail versenden können. Diese Multifunktionsgeräte bergen somit verschiedene Risiken, wie vertrauliche Informationen an unberechtigte Dritte gelangen können.

Typische datenschutzrechtliche Risiken sind u. a. vergessene Kopien, ungeschützte USB-Zugänge oder auch öffentlich zugängliche Kopierer.

Eigenes Verzeichnis der Verarbeitungstätigkeiten

Aus datenschutzrechtlicher Sicht sollten daher Kopierer in einem eigenen Verzeichnis der Verarbeitungstätigkeiten datenschutzrechtlich bewertet werden. Auch ist aus datenschutzrechtlicher Sicht zu überlegen, wie Mitarbeiterinnen und Mitarbeiter für die datenschutzrechtlichen Risiken der Kopierer sensibilisiert werden.

Löschkonzept für Kopierer und Drucker notwendig

Viele Kopierer verfügen über große Speicherkapazitäten. Auf den Festplatten werden oft über sehr große Zeiträume, sprich Monate oder gar Jahre, Kopien gespeichert, sodass über eine USB-Schnittstelle oder einen anderen externen Zugriff, ohne Probleme, auf die angefertigten Kopien zugegriffen werden kann. Insbesondere Kopierer in sensiblen Abteilungen, beispielsweise in der Personalabteilung oder im Bereich Forschung und Entwicklung, sollten hier so konfiguriert werden, dass lange Speicherungen nicht erfolgen. So werden auch die Anforderungen der DSGVO umgesetzt, die Löschungen verlangen, wenn der Datenspeicherungszweck erfüllt ist. Es ist bei Kopierern nicht erkennbar, warum über den eigentlichen Kopiervorgang hinaus Daten gespeichert werden sollen.

Im Rahmen der datenschutzrechtlichen Bewertung, in einem Verzeichnis der Verarbeitungstätigkeiten, sollte daher auch ein besonderes Augenmerk auf die Löschung der Daten gelegt werden.

Löschung auch bei Entsorgung beachten

Dieser Aspekt ist auch bei der Entsorgung von Altgeräten von besonderer Bedeutung. Es sollte darauf geachtet werden, dass die Festplatten in Kopierern oder Multifunktionsgeräten nicht in unberechtigte Hände gelangen und so beispielsweise durch Dritte ausgelesen werden können.

Vermutlich möchte niemand, dass bei einer Bank, aus einem Multifunktionsgerät, die letzten Kreditverträge oder bei einer Personalabteilung die letzten Kopien der Arbeitsunfähigkeitsbescheinigungen ausgelesen werden können.

Zugriffsberechtigungen klären und festlegen

Weiterhin ist zu klären, welche Personen auf die Kopierer jeweils Zugriff haben.

Dies verknüpft sich mit dem Risikofaktor „Standort“. Es sollte verhindert werden, dass Unbefugte Zugang zu Multifunktionsgeräten und Kopierern haben. Kopierer und Multifunktionsgeräte in öffentlich zugänglichen Bereichen oder Fluren sind weder in Behörden noch bei Unternehmen eine datenschutzrechtlich brauchbare Idee.

Scannen und Datenschutz

Auch bei Multifunktionsgeräten ist das Scannen ein datenschutzrechtlich zu bewertender Vorgang. Eingescannte Unterlagen können gestohlen werden. Darüber hinaus sollte sichergestellt sein, dass eingescannte Unterlagen nicht an unberechtigte Dritte übermittelt werden.

Dabei ist auch zu bedenken, dass beispielsweise Personalausweise nur unter bestimmten Umständen kopiert werden dürfen. Hier bedarf es auch ausdrücklich der Einwilligung des Inhabers des Ausweises. Im Zweifel muss der Verantwortliche, sprich die Behörde oder das Unternehmen, nachweisen können, dass diese Einwilligung vorgelegen hat. Auch Unterlagen, die als „vertraulich“ gekennzeichnet sind, sollten nicht kopiert werden.

Sicherheitsrisiken und Datenschutzpannen

Kopierer und Multifunktionsgeräte sind also datenschutzrechtlich in mehrfacher Hinsicht interessant. Zum einen sollten die Sicherheitsrisiken Thema von Schulungen sein. Zum anderen sollte ausreichend in einem Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein, dass eine datenschutzrechtliche Bewertung der Kopierer und Multifunktionsgeräte erfolgte. Der Datenschutzbeauftragte hat die Einhaltung der entsprechenden datenschutzrechtlichen Regelungen zu überwachen, wie es die EU-Datenschutzgrundverordnung (DSGVO) vorsieht.

Datenschutzpannen, die sich aus einem Fehlversand, aus vergessenen Kopien oder anderen Sicherheitsrisiken ergeben, können darüber hinaus Bußgelder nach der DSGVO nach sich ziehen. Hier hat der Gesetzgeber formuliert, dass Bußgelder u. a. „abschreckend“ sein sollen. Daneben können Betroffene bei Datenschutzpannen einen Schadensersatz und ein Schmerzensgeld nach Art. 82 DSGVO geltend machen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen