Sie sind hier: Home » Markt » Hinweise & Tipps

Neues EU-Datenschutzgesetz gilt auch für Papier


Die Datenschutzreform wird das so genannte "Recht auf Vergessen" tief im Datenschutzrecht verankern, daher sollten Unternehmen auf Verbraucheranfragen zur Löschung personenbezogener Daten reagieren können
Orientierungshilfe für die oft vergessenen Papierakten

(23.02.16) - Ende letzten Jahres stimmten das Europäische Parlament und der Europäische Rat der neuen von der EU-Kommission vorgeschlagenen Datenschutzgrundverordnung zu. Die neuen Datenschutzbestimmungen treten Anhang 2018 in Kraft und stellen die größte Veränderung im europäischen Datenschutz seit den Anfängen des Internets dar. Sie betreffen jede Organisation auf der ganzen Welt, die mit Daten europäische Herkunft zu tun hat.

Das Gesetz bezieht sich auf alle gespeicherten Informationen, also auch auf Papierakten. Doch gerade beim Papier könnte es laut dem Iron Mountain zu Problemen kommen.

Um die neuen Regelungen auch hinsichtlich Papierakten zu erfüllen hat Iron Mountain die folgenden vier Ratschläge zusammengestellt:

1. Informationen müssen auffindbar bleiben
Die Datenschutzreform wird das so genannte ‚Recht auf Vergessen‘ tief im Datenschutzrecht verankern, daher sollten Unternehmen auf Verbraucheranfragen zur Löschung personenbezogener Daten reagieren können. Dies bedeutet jedoch: Bevor Informationen anonymisiert oder gelöscht werden, sollte man in der Lage sein, diese auch aufzufinden. Während das Löschen digitaler Daten relativ leicht von der Hand geht, gestaltet es sich bei Papierdokumenten viel schwieriger. Eine Iron Mountain-Studie zeigt, dass beinahe ein Viertel (22 Prozent) der Unternehmen keine Strategie hinsichtlich der Papierablage besitzt beziehungsweise Mitarbeiter selbst für sich entscheiden lassen. Infolgedessen hat in vielen Unternehmend niemand den kompletten Überblick, welche Informationen wo abgelegt sind. Selbst wenn man die benötigten Informationen ausfindig machen kann, müssen Arbeiten wie das Bearbeiten von Dokumenten oft per Hand erledigt werden.

Iron Mountain rät Unternehmen daher, Fachabteilungen und Bereiche zu identifizieren, die am ehesten für die Erstellung und Archivierung von Akten mit personenbezogenen Daten in Frage kommen und für die dortigen Akten geeignete Scanning und Archivierungslösungen – auch unter Zuhilfenahme eines externen Dienstleisters – einzurichten. Unternehmen sollten außerdem ein eindeutiges Ablage- und Identifikationssystem für alle Papierakten aufsetzen. Hierfür können Aktenordner oder Papierkartons mit ‚Tags‘ und ‚Metadaten‘ beschriftet werden, und klar definierte Zugriffsrechte oder Verantwortlichkeiten können darauf angegeben werden.

2. Papier "lebt" länger
Klar definierte Prozesse für die Verwaltung von Informationen – von der Erstellung bis zur Vernichtung – sind möglicherweise nicht ausreichend, denn Papier kann selbst die stringentesten Aufbewahrungsrichtlinien durchbrechen, in dem es einfach kopiert, ausgedruckt, achtlos liegen gelassen oder unsachgemäß entsorgt wird. Dem ‚Privacy and Security Enforcement Tracker‘ von PricewaterhouseCoopers (PwC) [1] zufolge sind Datensicherheitsvorfälle in Europa vorwiegend auf menschliche Fehler bei der Verwaltung von Papierakten zurück zu führen. Folglich existieren die Daten in den Schreibtischschubladen oder Home-Office-Umgebungen der Mitarbeiter einfach weiter, obwohl ein Unternehmen sich bemüht, den Datenlöschanforderungen in bester Absicht nachzukommen.

Iron Mountain rät Unternehmen daher, die im Informationsmanagement aufgesetzten Richtlinien und Prozesse durch regelmäßiges Mitarbeitertraining und gezielte Kommunikation zu ergänzen, um Mitarbeitern zu zeigen, wie man Informationen sicher verwaltet. Außerdem fördern solche Maßnahmen eine Unternehmenskultur, die Verantwortung für Informationen forciert. Jeder Mitarbeiter sollte verstehen, was private und vertrauliche Daten ausmacht und wie man damit umgeht.

3. Einbeziehung von Datenschutz in Papier-Prozesse.
Die Datenschutzverordnung erfordert, dass der Datenschutz vorbehaltlich bei der Erstellung, Verwaltung und Entsorgung von Informationen zur Anwendung kommt. Im Falle von Papier wird sich dabei alles um das Aufsetzen von geeigneten Archivierungsprozessen drehen.

Iron Mountain rät Unternehmen daher: es sollte schwierig, wenn nicht sogar unmöglich für unberechtigte Personen sein, auf Dokumente mit personenbezogenen Daten zuzugreifen. Daher sollten alle Prozesse zur Informationsspeicherung, Aufbewahrung und Vernichtung hinsichtlich der neuen Datenschutzanforderungen geprüft und gegebenenfalls angepasst werden. Auch für Papier-Dokumente muss gelten: nur wer zugreifen muss, darf auch zugreifen (klares und gelenktes Zugriffskonzept)

4. Papier kann nicht gehackt werden, oder doch?
Elemente der Datenschutzverordnung wie die Übertragbarkeit von Daten sind nur schwer auf Papierakten anwendbar. Die Forderung nach handfesten Cyber-Sicherheitsmaßnahmen scheint überflüssig, da Papier nicht gehackt werden kann. Doch wie steht es mit den Metadaten in einem Archivierungssystem, das nicht nur den Standort, sondern weitere Details über die Papierakte verrät? Iron Mountain rät daher, die gesamte Archivstruktur hinsichtlich der Einhaltung des Datenschutzes zu überprüfen und sich gegebenenfalls von einem Dienstleister beraten zu lassen.

"Es gibt eine Fülle von Unternehmens-Tipps, wie man sich auf die Datenschutzreform vorbereiten kann, aber fast alle konzentrieren sich auf elektronische Daten und IT-Sicherheit – das Papier wird hingegen weitgehend ignoriert", erklärt Hans-Günter Börgmann, Geschäftsführer der Iron Mountain Deutschland GmbH.

"Trotz Digitalisierung und der teilweisen Verdrängung von Papier durch Mobilgeräte werden Informationen tagtäglich ausgedruckt und es wird auf unerklärliche Weise unachtsam damit umgegangen, obwohl sich an der Tragweite einer möglichen Datenschutzverletzung nichts ändert. Egal ob es sich um digitale Daten oder papierbasierte Informationen handelt, die Datenschutzrichtlinie kennt in ihrer Wirksamkeit keinen Unterschied zwischen digitalen und papierbasierten Informationen.", so Börgmann weiter. (Iron Mountain: ra)

Iron Mountain: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Tipps für Security-Audits mit Mehrwert

    NIS2, die aktuelle Richtlinie zur Netzwerk- und Informationssicherheit, verfolgt das Ziel, EU-weit das Cybersicherheitsniveau zu steigern. Auf die betroffenen Unternehmen kommen infolgedessen neue Rechenschaftspflichten über ihre Sicherheitslage zu.

  • Wie werden Aktien und Fonds besteuert?

    Als Anlegerin oder Anleger sollten Sie bei Ihren Finanzentscheidungen auch steuerliche Aspekte berücksichtigen. Sie müssen aber nicht selbst aktiv werden: Die auf Kapitalerträge entfallenden Steuern werden von Ihrer Depotbank bei der Auszahlung einbehalten und an das Finanzamt abgeführt. Wichtig ist, dass Sie einen Freistellungsauftrag bei Ihrer Bank einreichen, um den Sparer-Pauschbetrag nutzen zu können.

  • Geordnet gegen Chaos beim Cyberangriff

    Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.

  • Die fünf wichtigsten Auswirkungen von eIDAS 2.0

    Starke Identifizierung ist entscheidend für den Aufbau von Vertrauen und die Gewährleistung sicherer Transaktionen in einer zunehmend digitalen Welt. Die jüngste Überarbeitung der eIDAS-Verordnung durch die EU, mit der digitale ID-Wallets für alle Bürger eingeführt werden, kommt zur rechten Zeit.

  • Crowdfunding: Worauf ist zu achten?

    Ob es sich um eine innovative Geschäftsidee, ein neues Produkt oder ein spannendes Projekt handelt: Eine gute Idee braucht Startkapital! Das Crowdfunding bzw. -investing ist eine von vielen Möglichkeiten, an dieses Startkapital zu gelangen und dadurch ein Projekt an den Markt zu bringen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen