Kategorien
Neueste Beiträge
Datenschutz und öffentliche Verkehrsmittel
Längere Fahrten in öffentlichen Verkehrsmitteln laden zu verschiedenen Aktivitäten ein, u. a. auch zum Arbeiten. Während ein Beschäftigter also die Zeit nutzt, um noch mal eine Präsentation zu erstellen, E-Mails zu beantworten, Verträge zu prüfen etc., können Sitznachbarn oder vorbeigehende Personen den Bildschirm einsehen. Im Folgenden gehen wir näher auf diese Thematik ein. Dabei betrachten wir, wie der Datenschutz und öffentliche Verkehrsmittel dennoch vereinbar sind und der Datenschutz eingehalten werden kann.
Mögliche unbefugte Verarbeitung
Die Hauptproblematik bei der Arbeit in öffentlichen Verkehrsmitteln liegt darin, dass unbefugte Personen Zugang in Form der unberechtigten Einsicht zu personenbezogenen Daten erhalten könnten. Zum einen ist es natürlich möglich, dass mitfahrende Personen sehen können, was auf dem Bildschirm des Arbeitsgerätes zu lesen ist und diese Information ggf. weitergeben, indem sie mit anderen Personen darüber sprechen, diese aufschreiben, mit dem Smartphone fotografieren o. A. Zum anderen besteht auch die Möglichkeit, dass Dokumente in Papierform einsehbar sind oder sie können runterfallen und verlorengehen. Eventuell werden Informationen auf einem USB-Stick bearbeitet, den eine Person unbemerkt mitnimmt, wenn der Besitzer – hier der Beschäftigte – sich auf andere Aspekte seiner Arbeit konzentriert. Es kann genauso vorkommen, dass der Beschäftigte das Notebook, einen USB-Stick, Unterlagen etc. unbeaufsichtigt am Sitzplatz zurücklässt, während er auf die Toilette geht oder auf dem Bahnsteig bei einem Halt raucht. Wenn also in öffentlichen Verkehrsmitteln etwas abhandenkommt, wird es jemand finden. Genau diese Person wird mit hoher Wahrscheinlichkeit nicht zur Einsicht der jeweiligen Informationen befugt sein.
Die möglichen Szenarien können vielfältig sein, aber sie haben eine Gemeinsamkeit: Sie können einen meldepflichtigen Datenschutzvorfall verursachen bzw. eine Datenpanne darstellen.
Meldepflicht bei einem Datenschutzvorfall
Ein Datenschutzvorfall ist schnell verursacht. Ob ein Datenschutzvorfall nun aber tatsächlich gegenüber der Datenschutzaufsichtsbehörde nach Art. 33 DSGVO meldepflichtig ist und in schwerwiegenden Fällen auch alle Betroffenen umgehend zu informieren sind (Art. 34 DSGVO), muss ein Verantwortlicher näher untersuchen. – Mehr zur Meldung eines Datenschutzvorfalls können Sie hier erfahren. – Dabei ist hilfreich, zu betrachten, um welche Art personenbezogener Daten von welcher Gruppe Betroffener es sich handelt. Wichtig bei der Einschätzung eines möglicherweise meldepflichtigen Datenschutzvorfalls sind auch die implementierten Datenschutz- und sicherheitsmaßnahmen. Dies hilft dann auch bei der Analyse des Risikos für die Rechte und Freiheiten der betroffenen Personen aufgrund der unbefugten Verarbeitung ihrer personenbezogenen Daten.
Übrigens: Falls Sie einen Datenschutzvorfall vermuten und Hilfe beim weiteren Vorgehen benötigen, können wir Sie gern hierzu beraten und unterstützen. Dabei zu beachten ist, dass im Fall eines Datenschutzvorfalls Eile geboten ist. Eine Datenpanne ist binnen 72 Stunden zu melden, falls sie meldepflichtig ist. Folglich kann eine verspätete Meldung mit einem empfindlichen Bußgeld geahndet werden.
Mögliche Datenschutzmaßnahmen
Die einfachste Maßnahme ist natürlich, nicht in öffentlichen Verkehrsmitteln zu arbeiten. So manche Person möchte die Zeit in den öffentlichen Verkehrsmitteln nun aber eventuell doch nutzen, um eine berufliche Aufgabe zu erledigen, einen Termin vor- oder nachzubereiten oder während der Abwesenheit aufgelaufene E-Mails zu bearbeiten. Mögliche Schutzmaßnahmen gegen unberechtigte Offenbarung durch Einsichtgewähren, Diebstahl oder Verlust können folgende sein:
1) Schutzfolie auf dem Bildschirm des jeweiligen Gerätes (z. B. Laptop), um zu verhindern, dass andere Personen die Informationen auf dem Bildschirm einsehen können.
2) Wahl eines bestimmten Sitzplatzes in den öffentlichen Verkehrsmitteln, um eine etwaige Einsicht durch unbefugte Dritte zu vermeiden.
3) Erledigung von Aufgaben, die keine personenbezogenen Daten, insbesondere keine mit erhöhtem Schutzbedarf (Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO) enthalten.
4) Vermeidung der Arbeit mit Papierdokumenten Hierbei kann es weitaus schwieriger sein, zu verhindern, dass eine unbefugte Person Einsicht nimmt oder vereinzelte Blätter herunterfallen und verloren gehen.
5) Verschlüsselung von Datenträgern, die bei der Arbeit in öffentlichen Verkehrsmitteln genutzt werden könnten.
6) Reist ein Beschäftigter mit beispielsweise Kollegen, ist auch zu beachten, dass in Gesprächen untereinander keine personenbezogenen Daten preisgegeben werden. Dies ist auch bei einem Telefongespräch zu beachten.
7) Wer allein reist, darf keine Dokumente, IT-Geräte oder Speichermedien unbeaufsichtigt liegen lassen. Das gilt auch, wenn er sich auch nur kurz vom Sitzplatz entfernt. Das heißt, es ist alles mitzunehmen.
Richtlinien und Dokumentation
Nicht zu vergessen ist die Dokumentation all dieser Maßnahmen, damit ein Verantwortlicher nachweisen kann, dass er seinen Pflichten gemäß der DSGVO nachkommt (Art. 5 Abs. 2 DSGVO, „Nachweispflicht eines Verantwortlichen“). Dies beinhaltet auch die Bereitstellung und Kommunikation relevanter Richtlinien bzw. Arbeitsanweisungen, sodass alle Beschäftigten wissen, was bei der Arbeit in öffentlichen Verkehrsmitteln zu beachten ist.
In den Richtlinien kann dann auch festgelegt werden, welche Art von Dokumenten in öffentlichen Verkehrsmitteln bearbeitet werden dürfen. Demnach ist es beispielsweise denkbar, Fachzeitschriften zu lesen, Präsentation, die keine Geschäftsgeheimnisse enthalten, zu bearbeiten, Beiträge zu schreiben etc.
Zusätzlich empfehlen wir, darauf „im Zuge“ der regelmäßigen Sensibilisierung („Schulung“) der Beschäftigten zum Datenschutz darauf hinzuweisen. So wissen sie, wie sie sich bei Dienstreisen datenschutzkonform verhalten können.
Fazit
Bei der Arbeit mit personenbezogenen Daten in öffentlichen Verkehrsmitteln ist die Einhaltung von Datensicherheitsmaßnahmen vielleicht nicht das Thema, welches einem Verantwortlichen oder dem Dienstreisenden als erstes einfällt. Wichtig ist es dennoch.
Wenn Sie beispielsweise Unterstützung bei der Umsetzung einer Richtlinie und weiteren Dokumentationen zum Datenschutz benötigen, kontaktieren Sie uns gern für ein kostenfreies Erstgespräch und ein unverbindliches Angebot.