Sicherer Umgang mit Daten im Backoffice – was ist zu beachten?

Das Backoffice eines Unternehmens sorgt für reibungslose Abläufe auf allen Unternehmensebenen, tritt dabei selbst aber kaum in Erscheinung.

Hier werden meist auch die größten Mengen an personenbezogenen und folglich schützenswerten Daten verarbeitet. Seit 2018 legt die DSGVO die neuen Datenschutzrichtlinien fest, und so raten Datenschutzexperten besonders im Umgang mit sensiblen Daten zur Vorsicht. Hier ein paar grundsätzliche Tipps zum Thema Datenschutz im Backoffice.

Das Backoffice ist die Schaltstelle im Unternehmen, in der alle relevanten Daten zusammenlaufen, gespeichert und zur weiteren Verarbeitung in die Abteilung geleitet werden. Klassische Backoffice-Prozesse sind beispielsweise Dokumenten- und Briefversand, Zugangsmanagement zu Datenbanken und Controlling der Server-Infrastruktur. Je nach Unternehmensgröße und -konstrukt erledigen diese Aufgaben unter anderem die Buchführung, Verwaltung oder ein Manager der internen Kommunikation.

Besucherlisten – wichtiger als auf den ersten Blick vermutet

Ob Kunden, Geschäftspartner oder externe Zuarbeiter physisch oder digital im Unternehmen unterwegs sind, alle werden im Backoffice normalerweise registriert und jeder Besuch dokumentiert. Dazu wird in den meisten Unternehmen ein sogenanntes Besucherregister geführt. Dies ist natürlich gespickt mit personenbezogenen Daten, die bei jedem Besuch abgefragt oder aktualisiert werden. Das können in manchen Fällen nur der Vorname und der Name sein, in vielen Fällen fordert das Register allerdings persönliche Angaben, wie beispielsweise Ankunftszeit, Firma, Kennzeichen (falls Sie mit dem PKW anreisen), interner Ansprechpartner sowie eine persönliche Unterschrift und die Uhrzeit, zu der Sie das Unternehmen wieder verlassen. Dabei muss das Unternehmen die Regelungen der DSGVO, die speziell im Art. 5 DSGVO verankert sind, einhalten. Wichtig ist hierbei: Die Person, die die Daten aufnimmt, sollte darauf achten, nur ein notwendiges Minimum an Daten zu erheben – je nach Zweck des Besuchs – um dem Art. 5 Abs. 1 der DSGVO bezüglich der Datenminimierung gerecht zu werden. Zusätzlich müssen Aufbewahrungsfristen eingehalten werden. Die besagen zum Beispiel, dass die Besucherliste vollständig zu löschen ist, wenn der Zweck des Besuchs dies nicht grundsätzlich anders vonnöten macht.

Wann aufbewahren, wann Akten vernichten?

Aktuell geschehen die meisten Daten-Verarbeitungsprozesse unter Zuhilfenahme von digitalen Systemen oder mobilen Endgeräten. Dabei muss stets der DSGVO-konforme Schutz personenbezogener Daten gewährleistet werden. Art. 25 DSGVO macht dies deutlich:

„Unter Berücksichtigung des Stands der Technik […] trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – [...], die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen […] und die Rechte der betroffenen Personen zu schützen.“

Sofern es im Unternehmen noch „klassische Datenverarbeitung“, beispielsweise in Form von analogen Akten und Registern gibt, gilt, dass diese grundsätzlich in abschließbaren Aktenschränken aufzubewahren sind, die Dritten unzugänglich sind. Diesen Prozess sollten Sie sicherstellen, indem Sie die verantwortlichen Mitarbeiter durch Datenschutzschulungen und den Hinweis auf eine „Clean Desk Policy“ auf neuestem Stand halten. Müssen Daten, Akten oder etwaige personenbezogene Daten vernichtet werden, so empfehlen Datenschutzexperten einen Dokumentenschredder. Dabei ist zu beachten, dass auch die typischen kleinen Aktenvernichter im Büro die Sicherheitsanforderungen der Norm DIN 66399, regelmäßig Sicherheitsstufe P3, erfüllen müssen.

Achten Sie bei der technischen Ausstattung auf Hersteller, die Geräte gemäß Art. 28 DSGVO im Programm haben.

So schaffen Sie ein sicheres Backoffice

• Immer wieder auf Datenminimierung hinweisen – überflüssige Daten sind gefährlicher Ballast.
• Kontinuierliche Mitarbeiterschulung des gesamten Back Office-Teams.
• Stets Überprüfung aller Daten, die vom Unternehmen extern ersichtlich sind.
• Lassen Sie sämtliche Prozesse im Backoffice zertifizieren und zusätzlich von einem Datenschutzbeauftragten prüfen.