Vertrauliche Daten

Vertrauliche Daten

Wann sind Daten vertraulich? Grundsätzlich dann, wenn ihre Veröffentlichung oder ein unberechtigter Zugang schutzwürdige Interessen verletzen würden. Beispielhaft sei der Eintrag im standesamtlichen Geburtenregister, dass ein Kind adoptiert ist, genannt.

Die meisten von uns haben täglich mit Daten zu tun, die mehr oder weniger vertrauliche Inhalte haben. Oft fehlt das Bewusstsein, wie schnell vertrauliche Informationen in unbefugte Hände geraten können. Auslöser sind neben nicht vollständiger Kenntnis der rechtlichen Rahmenbedingungen (z.B. die jeweiligen Datenschutz- und ggf. Informationsfreiheitsgesetze) oft die fehlende Sensibilität im Umgang mit vertraulichen Informationen.

Der Schaden durch unsachgemäßen Umgang mit vertraulichen Daten kann beträchtlich sein und in vielen Fällen auch rechtliche Konsequenzen für den Verursacher bzw. die Verursacherin haben. Diese können arbeitsrechtliche bzw. disziplinarische, aber auch straf- und zivilrechtliche Folgen umfassen. Gegebenenfalls wird auch Schadensersatz gefordert.

Elektronische Datenverarbeitung

Elektronische Datenverarbeitung

Schneller und direkter Zugriff auf Daten
Mit der zunehmenden Digitalisierung von Daten werden wichtige und kritische Informationen auch elektronisch verfügbar. Dadurch können sie schneller verarbeitet, aber auch unkontrolliert weitergeleitet und kopiert werden.

Dabei kann heute fast jede interne Information zum Nachteil Ihrer Verwaltung oder der Kundinnen und Kunden ausgenutzt werden. Wie alle wichtigen Daten müssen deshalb auch digitale Informationen vor unberechtigtem Zugriff geschützt werden. Das Datenschutzrecht und die Informationssicherheit verpflichten daher die Verwaltungen, technische und organisatorische Schutzmaßnahmen zu treffen.

Weiterleitung von Informationen

Weiterleitung von Informationen

Erst prüfen, dann verteilen!


Bevor Sie sensible Daten weitergeben, sollten Sie kurz drei Schritte prüfen:

  • Besteht eine Rechtsgrundlage zur Weitergabe personenbezogener Daten?
    Zur Weitergabe personenbezogener Daten ist eine Rechtsgrundlage oder die Einwilligung der betroffenen Person erforderlich.
  • Kann ich der empfangenen Seite vertrauen? Darf sie die enthaltenen Informationen sehen?
    Stellen Sie sicher, dass Sie die richtigen Adressaten verwenden. Weisen Sie gegebenenfalls darauf hin, dass die Daten vertraulich sind oder nicht weitergegeben werden dürfen.
  • Wohin gelangen die Informationen?
    Insbesondere beim unverschlüsselten Versand über das Internet sollten Sie sicher sein, dass die Daten nicht vertraulich sind. Aber auch beim Senden an Drucker, die nicht an Ihrem Arbeitsplatz stehen, müssen Sie sicherstellen, dass keine Einsichtnahme durch Unbefugte möglich ist.

Unter Umständen ist vor der Weitergabe das Einholen von Vertraulichkeitsverpflichtungen bzw. die Einwilligung der betroffenen Personen notwendig. Bei unverschlüsseltem E-Mail-Verkehr dürfen Sie nie vertrauliche Daten versenden. E-Mails sind wie Postkarten lesbar! Versenden Sie im Zweifelsfall Briefe.

Vertraulich? Intern? Geheim?

Vertraulich? Intern? Geheim?

Zunächst gilt es, die Regelungen des Datenschutzrechts und ggf. des Informationsfreiheitsrechts zu beachten.

Besonders schutzbedürftig sind alle personenbezogenen Daten. Darunter versteht man "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen" (Art. 4 Abs. 1 EU-Datenschutzgrundverordnung). Hierzu zählen neben Name, Geburtsdatum und Anschrift auch Gesundheitsdaten und persönliche Vorlieben.

Darüber hinaus ist es denkbar, Daten in Vertraulichkeitsklassen einzustufen. Die Zuordnung zu einer bestimmten Klasse kann dann zu bestimmten Verhaltensregeln führen. Die folgenden Beispiele sollen zeigen, wie eine solche Zuordnung und die mit ihr verbundenen Regeln aussehen könnten. Sollte es keine behördlichen Regelungen in Ihrer Verwaltung zum Datenschutz geben, können diese Beispiele zur Orientierung dienen.

Persönlich-vertrauliche Informationen

Persönlich-vertrauliche Informationen

Persönlich-vertrauliche Informationen sind vor allem personenbezogene Daten nach dem Datenschutzrecht.

Beispiele:

Personalakten, Daten der Gehaltsabrechnung, personenbezogene Daten von Bürgerinnen und Bürgern (z.B. Personenstand, Anträge).

Verhaltensregeln:

  • Die Informationsfreiheitsgesetze schützen ausdrücklich personenbezogene Daten, auch wenn ein grundsätzlicher Auskunftsanspruch besteht.
  • Unter bestimmten Voraussetzungen kann es aufgrund einer Einwilligung des Betroffenen zur Informationsmitteilung kommen.
  • Prüfen Sie die Anforderungen genau! Eine einmal erteilte Auskunft kann nicht rückgängig gemacht werden!
  • Persönlich-vertrauliche Informationen sollten besonders gekennzeichnet werden und dürfen von der empfangenden Stelle nur persönlich geöffnet werden.
  • Sie sind für andere unzugänglich aufzubewahren.
  • Eine Weitergabe oder sonstige Verarbeitung ist nur mit Einwilligung der betroffenen Person oder aufgrund gesetzlicher Bestimmungen zulässig.

Zusammenfassung

Zusammenfassung

Hier noch einmal die wichtigsten Regeln:

  • Gesetzliche und ethische Gründe erfordern einen aktiven Daten- und Informationsschutz, und zwar von allen!
  • Beachten Sie die Regelungen und Vorschriften des Datenschutz- und Informationsfreiheitsrechts und behördeninterne Regelungen!
  • Vor der Weiterleitung von Informationen sind die Schutzwürdigkeit und die Empfängerliste zu prüfen!
  • Besondere Vorsicht gilt bei der Verarbeitung personenbezogener Daten!
  • Für Verschlusssachen (z.B. VS-NfD) gelten Spezialregelungen!
  • Im Zweifel mit der Leitungsebene abstimmen!

Natürlich sind die Richtlinien nicht auf elektronisch gespeicherte Informationen beschränkt. Sie gelten genauso für den Umgang mit Papierdokumenten und sonstigen Akten.