So funktioniert Datenschutz in der externen Aktenlogistik

Veröffentlicht am 1. September 2015 in der Kategorie Recht & Gesetze von

Themen:

Datenschutz in der externen AktenlogistikDer Markt für das Outsourcen der Aktenlagerung wächst mit der zunehmenden Tendenz von Unternehmen zur organisatorischen Verschlankung und entsprechend steigt die Zahl der mehr oder weniger spezialisierten Anbieter. Die Spreu vom Weizen trennt sich bereits mit Blick auf die lückenlose Einhaltung der einschlägigen Datenschutzvorschriften. Daraus ergibt sich ein wertvoller Wettbewerbsvorteil.

Sicher aufbewahren und Zugriff ermöglichen

Unternehmen sind de lege zur revisionssicheren Ablage bestimmter Dokumente verpflichtet und haben entsprechende Fristen für die Aufbewahrung zu beachten. Die dadurch faktisch erforderliche Archivierung ist nicht zuletzt vor dem Hintergrund stetig komplexerer Transaktionen und wachsender Datenmengen branchenübergreifend immer herausfordernder geworden. Es gilt zum einen, die Archivalien gegen schädigende Einflüsse wie Feuer, Wasserschäden oder Einbruch, aber auch vor unbefugtem Zugriff zu sichern, zum anderen müssen sie natürlich bei Bedarf jederzeit lückenlos und schnell wiedergefunden werden.

Eine Alternative zur klassischen Lagerung von nicht mehr regelmäßig benötigten Dokumenten in eigenen Räumen stellt die Dienstleistung der externen Aktenarchivierung dar.

Umgang mit personenbezogenen Daten

In den Sicherheitsarchiven befinden sich jedoch nicht nur Dokumente über abgeschlossene Geschäftsvorgänge, die aufgrund handels- und steuerrechtlicher Vorgaben aufbewahrt werden müssen. Sie enthalten vielmehr auch personenbezogene Daten wie etwa Personalakten und die ausgelagerten Unterlagen von besonders sensiblen Kunden wie etwa Dienstleistern im Gesundheitswesen; hinzu kommt so sensibles Aktenmaterial wie beispielsweise das von Pharmaherstellern – entsprechend brisant ist das Thema Datenschutz.

Die Rahmenbedingungen des BDSG

Im Mittelpunkt aller Vorschriften und Auflagen steht das Bundesdatenschutzgesetz (BDSG). Seinen Maßgaben haben in Deutschland alle Unternehmen unabhängig von ihrer Ausrichtung zu folgen. Bei Verstößen drohen Sanktionen, die je nach Schwere der Fälle vom Bußgeld bis zur Freiheitsstrafe reichen. Daneben können privatrechtliche Ansprüche auf Schadensersatz entstehen oder gar Versicherungsdeckungen wegbrechen, ganz zu schweigen von dem Imageschaden, den das Bekanntwerden von Datenschutzmängeln meist nach sich zieht.

Anbieter externer Aktenlogistik nutzen in aller Regel dezidierte Software-Produkte zur Verwaltung der eingelagerten Dokumente, die zeitlich und inhaltlich vom Indexieren bis hin zum Aufbewahren und Ausliefern reicht. Ferner sind sie von ihrem Auftraggeber, der seinerseits personenbezogene Daten im Sinne des BDSG erhebt, verarbeitet und nutzt, auf das Datengeheimnis verpflichtet. Insofern unterliegen sie in mehrfacher Hinsicht als privatrechtliche Unternehmen in vollem Umfang den Bestimmungen des BDSG und haben entsprechende technische wie organisatorische Vorkehrungen zur Ausführung der Schutzvorschriften zu treffen.

Datenschutzrechtliche Auflagen und Kundeninteressen

Die externe Aktenlagerung lässt sich im Wesentlichen herunterbrechen auf:

  • Begutachten der zu archivierenden Dokumente im Rahmen der Angebotserstellung,
  • Labeln, Verpacken und Transportieren der Dokumente,
  • Erfassen und Indexieren der Dokumente,
  • Einlagerung und Aufbewahrung der Akten,
  • Recherche und Auslieferung der zur Wiedervorlage angeforderten Dokumente sowie
  • Aussortieren von nicht mehr benötigten Dokumenten zur datenschutzgerechten Vernichtung nach DIN 66399.

Da auf Seiten der Auftraggeber ein Interesse an wirksamen Maßnahmen gegen Verlust, Verfälschung, Zerstörung, Ausspähung und Missbrauch auch nicht personenbezogener Daten vorausgesetzt werden darf, lässt sich daraus ein wertvoller Wettbewerbsvorteil für all jene Anbieter ableiten, die in eine lückenlose und prozessgetreue Umsetzung der einschlägigen Datenschutzvorschriften investieren.

Technische und organisatorische Maßnahmen

Wie aber genau können solche technischen und organisatorischen Maßnahmen, die das BDSG nur wenig konkretisiert und vergleichsweise weit gefasst vorschreibt, in der externen Archivierung aussehen? Die wesentlichen Aspekte sind in der Anlage zu § 9, Satz 1 BDSG beschrieben – sie gliedern sich in Kontrolle von:

  • Zutritt,
  • Zugang,
  • Zugriff,
  • Weitergabe,
  • Eingabe,
  • Auftrag,
  • Verfügbarkeit und
  • Trennung nebst IT-Sicherheit mit Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Die Ausgestaltung obliegt den Unternehmen jeweils selbst.

Systematische Erfassung der Umstände

Um die Qualität des Lagerorts nachhaltig prüfen und dokumentieren zu können, ist die systematische Erfassung seiner wichtigsten Parameter im sogenannten Facility-Report angeraten. Mithilfe dieser Reports lassen sich insbesondere die Lagerrisiken (ergänzend zu den Forderungen des BDSG) in Bezug auf Objektschutz und -sicherheit realistisch einschätzen. Über die einhergehende Erhebung von Gebäudemerkmalen, beispielsweise Zustand, verwandte Materialien usw., lassen sich mögliche Schwächen in den betrieblichen Prozessen oder auch technische und bauliche Mängel erkennen, die dann jeweils kurz-, mittel- oder langfristig behoben werden können.

Die rechtlichen Aspekte in diesem Artikel wurden von Wolfgang Scharf erarbeitet, der sich als Sicherheits- und Brandschutzingenieur auf Datenschutz spezialisiert hat und im Auftrag seiner Mandanten als externer Datenschutzbeauftragter agiert.