+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

Datenschutz ist Pflicht

Die DSGVO und Daten auf Papier

Der Datenschutz soll uns vor „Gefahren der EDV“ bewahren – so hört man es häufig. Dabei gehen von Daten auf Papier oft viel größere Risiken für den Schutz personenbezogener Daten aus. Deshalb gilt die Datenschutz-Grundverordnung (DSGVO) auch für Daten auf Papier.

EDV = böse, Papier = harmlos?

Sie wollen nicht glauben, dass Daten auf Papier für den Datenschutz gar nicht so harmlos sind? Dann stellen Sie sich einfach zwei Fragen:

  1. Sehen Sie es Daten auf Papier an, ob jemand diese Daten gelesen hat?
  2. Sehen Sie es Daten auf Papier an, ob jemand das Papier kopiert hat?

Beide Fragen sind natürlich mit Nein zu beantworten. Wären die Daten statt auf Papier in elektronischer Form gespeichert, sähe das Ganze etwas anders aus. Lesezugriffe lassen sich genauso einfach protokollieren wie ein Download von Daten. Ob jemand erlaubt gehandelt hat oder nicht, kommt im Ernstfall daher schnell ans Licht.

Papier ist nicht „besser“!

Klar, lückenlos funktioniert auch das nicht. So könnte jemand, der dazu berechtigt ist, Daten am Bildschirm aufrufen. Dann könnte er mit seinem Smartphone ein Foto des Bildschirms machen. Und schon hätte er das Verbot, die Daten zu kopieren, umgangen. Dennoch ändern solche Ausnahmefälle nichts am Prinzip: Personenbezogene Daten auf Papier sind mindestens genauso gefährdet wie elektronische Daten, wenn nicht sogar noch viel stärker!

Schreiben als Speicherung von Daten

Die DSGVO hat daraus die nötigen Folgerungen gezogen. Sie gilt unabhängig davon, ob Daten auf Papier gespeichert sind oder in elektronischer Form. Sie haben richtig gelesen: Auch das Festhalten von Daten auf Papier, ob mit Bleistift oder Drucker, bezeichnet die DSGVO als Speicherung von Daten! Das wirkt auf den ersten Blick ungewohnt. Aber wenn man kurz überlegt, ist das nur konsequent.

Schreiben als Verarbeitung von Daten

Haben Sie diese gedankliche Hürde genommen, fallen Ihnen einige andere Aspekte der DSGVO nicht mehr schwer. Die DSGVO gilt ausdrücklich auch für die „nicht automatisierte Verarbeitung personenbezogener Daten“. So sagt es Art. 2 Abs. 1 DSGVO. Eine Form der Verarbeitung ist die Speicherung. Das definiert Art. 4 Nr. 2 DSGVO. Aus beidem zusammen folgt: Wer Daten auf Papier festhält, verarbeitet diese Daten, und zwar nicht automatisiert.

Notizzettel = „Dateisystem“?

Heißt das, man muss nun für jeden Notizzettel die DSGVO beachten? So weit geht die DSGVO nicht. Falls Daten nicht automatisiert verarbeitet werden, findet die DSGVO nämlich nur Anwendung, wenn die Daten „in einem Dateisystem gespeichert sind.“ So sagt es Art. 2 Abs. 1 DSGVO.

Sie verzweifeln allmählich etwas, weil das schon wieder ein neuer Begriff ist? Keine Sorge! Dieser Begriff ist klar definiert: Ein „Dateisystem“ ist jede strukturierte Sammlung personenbezogener Daten (Art. 4 Nr. 6 DSGVO). Beispiele für solche strukturierten Sammlungen sind Karteien und Hängeregistraturen, aber auch alphabetisch sortierte Unterlagen in Ordnern. Ein ungeordneter Haufen mit Notizzetteln fällt also nicht unter die DSGVO. Datenschutzgerecht entsorgen sollten sie ihn bitte trotzdem!

Ihre Adresse für Datenschutzfragen

Das Expertenteam von Datenschutz ist Pflicht steht Ihnen in alle Fragen rund um das Thema Datenschutz und Informationssicherheit zur Verfügung. Von Mo. – Fr. 08:00 – 18:00 Uhr erreichen Sie uns telefonisch. Per E-Mail nehmen wir Ihre Fragen und Anregungen ebenfalls gerne entgegen.

Telefon: +49 241 149 46 98

Wir freuen uns auf spannende Diskussionen!

„Datenschutz ist Pflicht“ ist eine Marke der Ing.-Büro Dr. Plesnik GmbH | Reutershagweg 2, 52074 Aachen