Und wieder ist es geschehen! Fehlende Sensibilität, und sicher auch Unwissenheit haben erneut dazu geführt, dass hoch sensible Daten ihren ungehinderten Weg in unbefugte Hände gefunden haben. Dies soll jedoch kein Vorwurf an die jeweiligen mit den Daten befassten Personen sein.
Der Inhalt im Überblick
Sensible Daten auf der Rathaustoilette
So geschehen im Göttinger Rathaus. Der Vorsitzende der Piraten-Ratsfraktion in Göttingen fand auf der Rathaustoilette eine Kiste mit sensiblen Dokumenten. Dem Göttinger Tageblatt nach handelte es sich neben den üblichen Daten wie Name und Adresse auch um:
- ärztliche Stellungnahmen,
- Betreuungsvereinbarungen,
- fallbezogene Listen von Leistungsbezügen,
- Infos zu Rentenversicherungen,
- innerdienstliche Mitteilungen,
- interne Arbeitsprotokolle,
- Kopien ausgestellter Sozialcards,
- Kostenerstattung psychosozialer Behandlung,
- Leistungsbescheide, Namenslisten von Kindern in bestimmten Einrichtungen und Abrechnungen von Betreuern und Unterhaltungszahlungen.
Die Palette der personenbezogenen Daten die hier gefunden wurde ich durchaus umfangreich. Daher soll an dieser Stelle das wesentliche bei der Datenentsorgung veranschaulicht werden.
Vorschriftsgemäße Datenentsorgung
Der Großteil der gefundenen Daten fällt unter den Bereich „besondere Arten personenbezogener Daten“ nach § 3 Nr. 9 BDSG, da sie Angaben über die Gesundheit enthalten. Gerade im Umgang mit besonderen personenbezogenen Daten setzt das BDSG strengere Anforderungen an deren Erhebung, Verarbeitung und Nutzung. Auch das Löschen stellt eine Verarbeitung nach dem BDSG dar, vgl. § 3 Abs.4 BDSG.
Schützenswerte Daten müssen so entsorgt werden, dass kein Rückschluss auf diese Daten mehr möglich ist (siehe BSI IT-Grundschutzkatalog, Maßnahme M 2.13). Es ist ratsam dabei auf die Einhaltung der neuen DIN 66399 zur Datenvernichtung zu achten. Darüber hinaus ist es zielführend eine Richtlinie für die Mitarbeiter zu entwerfen, und die Einhaltung zu kontrollieren.
Entscheidet sich ein Unternehmen dazu einen externen Entsorgungsdienstleister einzusetzen, sollte unbedingt geprüft werden, ob eine Auftragsdatenverarbeitung nach § 11 BDSG vorliegt und ein entsprechender Vertrag geschlossen wurde.
Fazit
Sicher kann man argumentieren, dass die Daten noch nicht wirklich an die Öffentlichkeit gelangt und damit noch nicht verloren gegangen sind, weil sie noch im Bereich des Rathauses waren. Dennoch befanden sie sich außerhalb der Kontrolle der jeweils zuständigen Mitarbeiter. Jede mit solchen Daten befasste Person sollte sich daher um die Einhaltung der Vorschriften stets bemühen.