Datenschutz im Backoffice – wie sollte mit personenbezogenen Daten umgegangen werden?

Im Backoffice arbeiten Mitarbeiter im Hintergrund, damit alle Prozesse eines Unternehmens einwandfrei funktionieren. Dabei führen die Mitarbeiter oftmals wichtige Prozessverarbeitungen mit personenbezogenen Daten durch.

Da seit 2018 die DSGVO die neuen Datenschutzrichtlinien festlegt, raten Datenschutzexperten besonders im Umgang mit sensiblen Daten zur Vorsicht. Lesen Sie hier, welche Tätigkeiten im Backoffice erledigt werden und worauf es dabei zu achten gilt.

Damit ein Unternehmens-Alltag reibungslos vonstattengeht, arbeiten die Mitarbeiter im Backoffice häufig mit personenbezogenen Daten – dem Namen entsprechend im Hintergrund. Dabei handelt es sich meist um organisatorische Tätigkeiten, wie beispielsweise den Briefversand oder etwaige Zugangskontrollen zu Datenbanken sowie zum Unternehmen vor Ort. Je nach Unternehmensgröße und -konstrukt erledigen diese Aufgaben unter anderem die Buchführung, Verwaltung oder ein Manager der internen Kommunikation.

Der Umgang mit Besucherlisten

Bei einer Besucherliste handelt es sich einerseits um eine physische oder eine digitale Liste aller Besucher, die das Unternehmensgebäude beziehungsweise die Unternehmens-Webseite besuchen. Das sogenannte Besucherregister ist nicht nur eine gängige Lösung, es ist auch eine geeignete, um zu sehen, welche unternehmensfremde Personen zu Besuch kommen. Dabei nimmt das Unternehmen selbstverständlich personenbezogene Daten auf. Das können in manchen Fällen nur der Vorname und der Name sein, in vielen Fällen fordert das Register allerdings persönliche Angaben, wie beispielsweise Ankunftszeit, Firma, Kennzeichen (falls Sie mit dem PKW anreisen), interner Ansprechpartner sowie eine persönliche Unterschrift und die Uhrzeit, zu der Sie das Unternehmen wieder verlassen.

Dabei muss das Unternehmen die Regelungen der DSGVO, die speziell im Art. 5 DSGVO verankert sind, einhalten. Wichtig ist hierbei: Die Person, die die Daten aufnimmt, sollte darauf achten, nur ein notwendiges Minimum an Daten zu erheben – je nach Zweck des Besuchs – um dem Art. 5 Abs. 1 lit. C DSGVO bezüglich der Datenminimierung gerecht zu werden. Sie sollte stets auf gesetzliche Aufbewahrungspflichten achten, jedoch niemals die finale Löschung einer Besucherliste vernachlässigen – ist der Zweck erledigt, ist die Besucherliste grundsätzlich unmittelbar danach zu vernichten.

Der Umgang mit Akten – aufbewahren und/oder vernichten?

Heutzutage erfolgen sehr viele Verarbeitungsprozesse über digitale Systeme, wie beispielsweise über eine Internetplattform oder mobile Endgeräte. Ein technischer Schutz personenbezogener Daten ist hierbei unverzichtbar. Art. 25 DSGVO macht dies deutlich:

„Unter Berücksichtigung des Stands der Technik […] trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – [...], die dafür ausgelegt sind, die Datenschutzgrundsätze, wie etwa Datenminimierung wirksam umzusetzen […] und die Rechte der betroffenen Personen zu schützen.“

In der klassischen Verarbeitung gilt nach wie vor: Heften und verwahren Sie Listen, Nachweise oder Briefe in abschließbaren Aktenschränken, um den Zugriff durch Dritte zu verwehren. Die verantwortlichen Mitarbeiter profitieren hierbei durch Datenschutzschulungen und den Hinweis auf eine Clean Desk Policy. Müssen Daten, Akten oder etwaige personenbezogene Daten vernichtet werden, so empfehlen Datenschutzexperten einen Dokumentenshredder. Dabei ist zu beachten, dass auch die kleinen Aktenvernichter im Büro die Sicherheitsanforderungen der Norm DIN 66399, regelmäßig Sicherheitsstufe P3, erfüllen müssen.

Hierbei empfiehlt sich ein Hersteller, der Ihnen eine Vereinbarung gemäß Art. 28 DSGVO offeriert.

Tipps auf einen Blick für den sicheren Umgang im Backoffice

• Schulen Sie Ihre Mitarbeiter am Empfang oder im Backoffice hinsichtlich neuer Regelungen im Umgang mit personenbezogenen Daten.
• Halten Sie sich an die Forderung der Datenminimierung – überflüssige Daten stellen unnötige Risiken dar!
• Prüfen Sie stets, welche Informationen über Ihr Unternehmen öffentlich ersichtlich sind.
• Beauftragen Sie einen geschulten Datenschutzbeauftragten, der die Prozesse im Backoffice sicher gestaltet und diese stets modernisiert.