DSGVO: Aufräumen bei Papierdaten!
„Papier? Das nutzen wir im Büro immer weniger und bald voraussichtlich kaum noch!“ So hört man immer wieder. Verwunderlich ist dabei nur, dass die Papierindustrie gerade in Deutschland keineswegs zu den Krisenbranchen gehört. Das weist darauf hin, dass der Weg zum papierlosen Büro noch weit sein dürfte. Damit stellt sich die Frage, wie die Datenschutz-Grundverordnung (DSGVO) Daten auf Papier behandelt und was daraus für die Praxis folgt.
Volle Anwendbarkeit der DSGVO
Für viele überraschend bezieht die DSGVO Daten auf Papier im Ergebnis voll ein. Wer das nicht glauben mag, muss sich auf einen Gedankengang mit mehreren Schritten einlassen:
- Die Datenschutz-Grundverordnung gilt u.a. für die „nicht automatisierte Verarbeitung“ personenbezogener Daten (Art. 2 Abs. 1 DSGVO).
- Das trifft allerdings nur zu, wenn die Daten „in einem Dateisystem“ gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO).
- Der Begriff „Dateisystem“ hört sich sehr technisch an und scheint auf die EDV hinzuweisen. Das täuscht jedoch. Er erfasst nämlich „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind“ (so Art. 4 Nr. 6 DSGVO).
- Davon, dass dabei irgendein Bezug zur EDV bestehen müsste, ist nirgends die Rede. Deshalb überrascht es auch nicht weiter, wenn sich aus einem Erwägungsgrund der DSGVO ergibt, dass „Akten oder Aktensammlungen sowie ihre Deckblätter“ sehr wohl in den Anwendungsbereich der DSGVO fallen. Sie müssen lediglich „nach bestimmten Kriterien geordnet“ sein (Erwägungsgrund 15 Satz 3 zur DSGVO).
Ausnahme: Papierhaufen ohne Struktur
Im Klartext: Lediglich Berge von ungeordneten Notizzetteln oder andere Papierhaufen ohne jede Struktur sind der DSGVO gleichgültig. Hängeregistraturen, in Ordnern geordnete Unterlagen und sonstige Aktensammlungen fallen dagegen in vollem Umfang in ihren Anwendungsbereich. Das hat eine ganze Reihe von Konsequenzen.
Verzeichnis von Verarbeitungstätigkeiten
Zunächst muss das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) auch Daten auf Papier berücksichtigen. Der Aufwand dafür wird oft gering sein.
So kann es etwa ausreichen, in einem Krankenhaus einen Bestand mit vielen tausend Patientenakten, die alphabetisch geordnet sind, als eine einzige Verarbeitungstätigkeit zu erfassen.
Das ist allerdings auch erforderlich, will ein Verantwortlicher nicht ein Bußgeld riskieren (Art. 83 Abs. 4 Buchst. a DSGVO in Verbindung mit Art. 30 DSGVO).
Erfasst sein müssen darüber hinaus Aktenbestände, die schon längst hätten vernichtet werden müssen oder dürfen. Das ist wichtig, wenn größere Bestände an Alt-Akten vorhanden sind. Dies trifft man v.a. im Gesundheitswesen an, aber bisweilen auch in Personalabteilungen.
Auskunftsrecht
Das Recht betroffener Personen auf Auskunft (siehe Art. 15 DSGVO) gilt auch für Daten auf Papier. Die DSGVO kennt keine Ausnahmen vom Auskunftsrecht, die den Besonderheiten von Daten auf Papier Rechnung tragen. Das war in früheren Regelungen der Mitgliedstaaten (v.a. in Deutschland) anders.
Im Klartext: Verlangt ein Betroffener Auskunft, mutet es die DSGVO einem Unternehmen oder einer Behörde durchaus zu, größere Aktenbestände durchzusehen.
Es muss lediglich zu erwarten sein, dass sich darin Daten befinden, über die Auskunft zu erteilen ist.
Eine Art der Aktenführung, die das Auffinden der Daten schwierig macht, kann nicht zulasten von Betroffenen gehen.
Recht auf Löschung
Das Recht auf Löschung (Art. 17 DSGVO) erfasst auch Daten, die auf Papier festgehalten sind. Dies wirkt selbstverständlich und eher banal. Gerade die neueste Rechtsprechung des Europäischen Gerichtshofs zeigt jedoch, wie brisant diese Aussage letztlich ist.
In dem Verfahren ging es um Prüfungsarbeiten in einem Examen für Wirtschaftsprüfer. Die Kandidaten hatten sie handschriftlich bearbeitet. An den Arbeiten waren Bemerkungen der Prüfer angebracht. Für den Gerichtshof war klar, dass es sich hierbei um personenbezogene Daten handelt. Damit gelten für sie die Regelungen der DSGVO über die Löschung von Daten.
Hierzu hebt der Gerichtshof hervor (siehe die Darstellung unter http://dspraxis.de/16u):
- Ist das Prüfungsverfahren abgeschlossen und eine Anfechtung des Ergebnisses nicht mehr möglich, haben die Antworten des Prüflings und die Anmerkungen der Prüfer jeden Beweiswert verloren.
- Die Daten sind dann zu löschen.
- Das bedeutet, so der Gerichtshof wörtlich: Es ist erforderlich, dass die jeweilige Prüfungsarbeit mitsamt den Anmerkungen „zerstört wird“.
WICHTIG: Mit seiner Entscheidung stellt der Europäische Gerichtshof indirekt nochmals klar, dass der Anspruch auf Löschung auch für Daten auf Papier gilt. Außerdem macht er deutlich, was „Löschen“ genau heißt, nämlich die physische Zerstörung der gespeicherten Daten.
Dass es im konkreten Fall um Prüfungsarbeiten ging, hat keine besondere Bedeutung. Die Überlegungen gelten genauso für andere Arten von Daten auf Papier.
Pflicht zur Löschung
Sobald eine Löschung von Daten rechtlich zulässig ist, muss die Löschung tatsächlich durchgeführt werden. Dem Recht des Betroffenen auf Löschung entspricht die Pflicht des Verantwortlichen (also etwa des Unternehmens) zur Löschung. Gerade bei Daten auf Papier geschieht das jedoch oft genug nicht.
In vielen Büros finden sich, meist über Keller und Speicher verteilt, Stapel von Akten, die niemand mehr braucht. Oft genug ist der Inhalt gar nicht mehr genau bekannt.
Gefahr eines Bußgelds
In solchen Fällen müssen die Beschäftigten das Aussortieren zügig in Angriff nehmen. Dies bedeutet Aufwand und ist daher unbeliebt.
Man sollte jedoch auch sehen, dass es sich hier nur um nachgeholten Aufwand handelt, den jemand eigentlich schon viel früher hätte erbringen müssen.
Außerdem besteht die Gefahr eines Bußgelds. Dabei ist der höhere der beiden Bußgeldrahmen anwendbar, die in der DSGVO vorgesehen sind (siehe Art. 83 Abs. 5 Buchst. b DSGVO in Verbindung mit Art. 15 DSGVO). Entsorgungskosten, die man sich zu Unrecht gespart hat, können dabei negativ zu Buche schlagen.
Papier kein geringeres Risiko!
Der Datenschutzbeauftragte muss sich um Daten auf Papier genauso sorgfältig kümmern wie um elektronische Daten. Verfehlt wäre es, hinsichtlich von Daten auf Papier pauschal von einem geringeren Risiko für die Rechte der betroffenen Personen auszugehen. Das lässt sich an mehreren Aspekten aufzeigen:
- Ein unberechtigter Zugriff auf elektronische Daten lässt sich durch entsprechende Protokolldaten oft relativ leicht nachweisen. Bei Daten auf Papier gibt es keinen vergleichbaren technischen Mechanismus.
- Das Anfertigen einer Kopie oder das Abfotografieren ist bei Papierdaten mit geringem Aufwand möglich, ohne dass es danach noch nachweisbar wäre. Daten auf Papier sind in dieser Hinsicht nicht sicherer als Daten auf elektronischen Datenträgern.
- Daten auf Papier lassen sich nicht effektiv verschlüsseln. Der Schutz gegen unberechtigten Zugriff und unberechtigte Kenntnisnahme des Inhalts steht und fällt damit, dass kein Unbefugter das Papier in die Hand bekommt.
- Sollte Papier mit darauf befindlichen Daten durch einen „physischen oder technischen Zwischenfall“ (so die Formulierung in Art. 32 Abs. 1 Buchst. c DSGVO) vernichtet werden, sind die Daten im Normalfall nicht wiederherzustellen. Dies wirkt sich etwa bei einem Brand aus. Für Daten auf elektronischen Datenträgern ist dagegen im Normalfall ein Backup vorhanden.
Und nicht zuletzt sind solche Daten besonders anfällig für Datenpannen:
Typische „Datenschutz-Skandale“
Abschließend sei darauf hingewiesen, dass eine beträchtliche Zahl von „Datenschutz-Skandalen“, die durch die Medien gehen, mit Daten auf Papier zu tun haben. Geradezu klassisch sind Pannen bei der Entsorgung, etwa Akten, die in einem öffentlichen Altpapier-Container gelandet sind.
Auch dies mahnt dazu, Daten auf Papier genauso ernst zu nehmen wie Daten auf elektronischen Datenträgern.