In den vielen Unternehmen stellt das Backoffice einen zentralen Dreh- und Angelpunkt dar. Hier werden oft wichtige Verarbeitungen von personenbezogenen Daten durchgeführt. Welche dies sind und worauf zu achten ist.
Grundsätzlich sind die Mitarbeiter im Backoffice für die reibungslose Durchführung der Geschäftsabläufe des Unternehmens zuständig. Dies sind größtenteils organisatorische Tätigkeiten, wie z.B. die Zugangskontrolle oder der Postversand. Je nach Firmenstruktur können dies auch die Buchführung, Anfragenverwaltung oder die interne Kommunikation und Koordination verschiedener Abteilungen sein. Im Folgenden werden gängige Verarbeitungen von personenbezogenen Daten veranschaulicht und datenschutzrechtlich bewertet.
Besucherlisten
Um die Zugangskontrolle eines Unternehmens zu stärken, ist die Verwendung eines Besucherregisters eine gängige und geeignete Lösung, um sicherzustellen, dass unternehmensfremde Personen an einer zentralen Stelle aufgenommen werden. Hierbei werden diverse personenbezogene Daten erhoben, wie z.B. Name, Vorname, Ankunftszeit, Unternehmenszugehörigkeit, PKW-Kennzeichen, interner Ansprechpartner, Unterschrift und Uhrzeit beim Verlassen des Gebäudes.
Wichtig für jede Verarbeitung ist, dass die datenschutzrechtlichen Grundsätze gem. Art. 5 DSGVO eingehalten werden. Hervorzuheben ist, dass der Verantwortliche beim Erheben der personenbezogenen Daten darauf achten sollte, ausschließlich für den Zweck notwendige Daten zu erheben, um die Datenminimierung gem. Art. 5 Abs.1 lit. c DSGVO zu erfüllen.
Eine gängige Rechtsgrundlage stellt hierbei das berechtigte Interesse gem. Art. 6 Abs.1 S.1 lit. f DSGVO dar. Wichtig ist, dass das Interesse des Betroffenen nicht das Interesse des Verantwortlichen übersteigt. Dies ist in so einem Fall nicht anzunehmen, da das Interesse des Verantwortlichen die Sicherstellung der Zugangskontrolle ist.
Zuletzt ist die Löschung sowie die damit einhergehende Vernichtung der Besucherlisten nicht zu vernachlässigen. Die Besucherliste sollte unmittelbar vernichtet werden, soweit der Zweck erfüllt ist. Hierbei sind gesetzliche Aufbewahrungspflichten zu berücksichtigen.
Sichere Aufbewahrung und Vernichtung von Akten
Ein Großteil der Verarbeitungstätigkeiten erfolgt heutzutage über elektronische Systeme wie Computer oder mobile Endgeräte. Hierbei ist der technische Schutz personenbezogener Daten gem. Art. 32 DSGVO wichtig, der besagt, dass der Verantwortliche und der Auftragsverarbeiter, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Einige Verarbeitungen finden allerdings noch klassisch (analog) statt, so dass Listen, Nachweise oder Briefe abgeheftet und sicher verwahrt werden sollten. Es empfiehlt es sich, schutzwürdige Dokumente mit Personenbezug in verschließbaren Aktenschränken aufzubewahren, damit Dritten der Zugriff verwehrt bleibt. Zudem sollten Verantwortliche durch Datenschutzschulungen oder anderweitigen Schulungsmaßnahmen auf eine Clean-Desk Policy hinweisen.
Um Dokumente zu vernichten hat man früher vor allem Shredder genutzt. Doch hat sich in den letzten Jahren einiges getan, so dass Datentonnen ein praktisches Pendant darstellen. Der Unterschied zum Dokumenten-Shredder ist, dass hierbei eine zertifizierte Vernichtung der Dokumente gewährleistet werden kann. Auf jeden Fall ist mit dem Anbieter neben dem Dienstleistungsvertrag eine Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO abzuschließen.
Der Mensch als Schwachstelle
Hacker machen sich Schwachstellen zu eigen, um an Informationen zu gelangen oder Schad-Software einzuschleusen. Unterschätzt wird jedoch, dass der Mensch ebenfalls eine Schwachstelle darstellt, wenn er nicht ausreichend sensibilisiert ist und unbedacht handelt. Mittels „Social Engineering“ werden das Backoffice und die Buchhaltung oft zum Angriffsziel, da dort zentrale Prozesse im Unternehmen gesteuert werden. So versuchen Kriminelle mit öffentlich zugänglichen Informationen einen Kontakt zu Mitarbeitern herzustellen und eine Beziehung aufzubauen. Durch den wiederkehrenden Kontakt entsteht Vertrauen, so dass Kontoänderung oder andere, vergleichbare risikobehaftete Anfragen unauffällig bleiben und ohne weitere Prüfung durchgeführt werden.
Empfehlungen für den Verantwortlichen
- Alle Mitarbeiter hinsichtlich potenziell gefährlicher Phänomene schulen.
- Überprüfen und steuern, welche Informationen über das Unternehmen öffentlich sind.
- Zahlungsaufforderung von vermeintlichen Auftraggebern genau prüfen und verifizieren.
- Ungewöhnliche Zahlungsanweisungen mittels 4-Augen-Prinzip kontrollieren.
- Firmierung, Adressat und Bankinformationen von Zahlungsempfänger genau prüfen.
Die Sensibilisierung als Schutzschild
Durch gezielte Schulungen des Datenschutzbeauftragten lassen sich viele Verarbeitungen im Backoffice sicher gestalten. Die Sensibilisierung spielt hierbei eine zentrale Rolle, da sich ein Großteil der potenziellen Risikofaktoren so minimieren lässt und so die Grundsätze des Datenschutzes eingehalten werden können. Für alle anderen Verarbeitungen gilt es im Zweifelsfall immer den Datenschutzbeauftragten einzubeziehen.
Quelle: Datenschutzbeauftragter-info.de, Hamburg
Link: https://www.datenschutzbeauftragter-info.de/datenschutz-im-backoffice/
07.01.2020
Photo by Liam Tucker on Unsplash