Technische und organisatori... / 4.1.1 Beispiel Posteingang und Weitergabe an den Arbeitsplatz

Auch im Zeitalter des Dokumentenmanagements werden immer noch etliche personenbezogene Daten in Form von gedruckten Unterlagen innerhalb des Unternehmens weitergegeben. Es beginnt schon mit dem Posteingang. In vielen Unternehmen gibt es eine Poststelle. Dort werden eingehende Postsachen sortiert. In der Folge kommen sie entweder in Postfächer, wo sie von den betreffenden Beschäftigten abgeholt werden, oder die Post wird von dafür zuständigen Mitarbeitern im Haus verteilt. Grundsätzlich gilt, dass die Weitergabe der Daten erst abgeschlossen ist, wenn die betroffenen Beschäftigten das Dokument in Empfang genommen und damit in ihrer Obhut haben.

Postsachen, die als vertraulich gekennzeichnet sind oder bei denen aufgrund des Amtes oder der spezifischen Aufgabe die Vertraulichkeit gesetzlich vorgegeben ist, dürfen in keinem Fall in Postfächer eingelegt werden, auf welche potenziell Unbefugte Zugriff haben können. So sind z. B. Postsachen, auf deren Adressfeld der Zusatz "Persönlich" oder "Vertraulich" steht, hiervon betroffen. Derartige Postsachen dürfen von der Poststelle nicht geöffnet werden, auch dann nicht, wenn ein Dokumentenmanagementsystem eingerichtet ist. Werden sie aus Versehen geöffnet, ist unverzüglich der berechtigte Empfänger zu verständigen und das weitere Vorgehen mit diesem zu besprechen.

Werden Postfächer verwendet, ist darauf zu achten, dass Unbefugte keinen Einblick erhalten können. Dies gilt insbesondere bei als vertraulich gekennzeichneten Unterlagen. Unbefugte können sowohl Interne als auch Externe sein. Gerade wenn Unterlagen beim Transport irgendwo zwischengelagert werden oder vorübergehend unbeaufsichtigt sind, greift die Weitergabekontrolle. Es ist hier zu gewährleisten, dass personenbezogene Daten während des Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Wenn die Postfächer offen sind, können das unbefugte Lesen und das unbefugte Entfernen kaum verhindert werden.

Häufig ist zu beobachten, dass Postfächer in der Nähe von Kopierern untergebracht sind. Schnell ist hier eine Kopie angefertigt. Das kann gut gemeint sein, wenn Kollegen ein Schriftstück erhalten haben, das man selbst auch haben sollte, weil man an der Bearbeitung des Falles mit beteiligt ist. In der Praxis ist immer wieder zu beobachten, dass in Postfächern vertrauliche Unterlagen offen eingelegt sind, z. B. Bewerbungen. Gerade in kleineren Städten, wo man sich untereinander kennt, ist die Versuchung groß, rasch einmal in eine Bewerbung eines Bekannten hineinzublättern.

Auch auf diese Fälle muss der Datenschutzbeauftragte sein Augenmerk lenken. Offene Postfächer sind aus Sicht des Datenschutzes nicht möglich. Es gibt zahlreiche Lösungen, wo Postfächer grundsätzlich verschlossen, aber so konstruiert sind, dass Schriftstücke eingelegt, jedoch nicht entnommen werden können. Jeder Mitarbeiter hat für sein Postfach einen Schlüssel oder kann das Postfach mit einem Zahlencode oder dem Transponder, der sonst für die Zutrittskontrolle verwendet wird, öffnen.

So kann der Datenschutzbeauftragte die Weitergabekontrolle vornehmen:

  • Verfahrensbeschreibung zum Posteingang und zur Postverteilung vornehmen
  • Am besten den Ablauf von der Postanlieferung bis zum Empfang der Post durch die berechtigten Beschäftigten persönlich begleiten. Dabei werden die Schwachstellen sichtbar.
  • Sicherstellen, dass vertrauliche Postsendungen tatsächlich nur den berechtigten Empfängern ausgehändigt werden
  • Falls erforderlich, eine Verfahrensanleitung bzw. Arbeitsanweisung anfertigen und mit der Geschäftsleitung abstimmen
  • Die am Verfahren Beteiligten sollten in geeigneter Weise mit den datenschutzrechtlich relevanten Aspekten des Verfahrens vertraut gemacht werden. Im Zusammenhang mit den Datenschutzschulungen sollten auch die Empfänger der Post mit dem Verfahren vertraut gemacht werden.
  • Das Einhalten der Verfahrensanleitung bzw. Arbeitsanweisung sollte immer wieder überprüft werden. Falls Änderungen im Verfahrensablauf eintreten, sind diese in der Verfahrensbeschreibung zu dokumentieren. Falls erforderlich, sollte dann auch die Verfahrensanleitung bzw. Arbeitsanweisung angepasst werden.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge