Gemeinsam genutzte Dateiablagen sind zentrale Arbeitsmittel in Unternehmen und Behörden. Sie dienen dem Austausch von Dokumenten, der übergreifenden Zusammenarbeit und der strukturierten Ablage relevanter Unterlagen. Zugleich bergen sie erhebliche datenschutzrechtliche Risiken. Darauf weist die Bayerische Landesbeauftragte für den Datenschutz (BayLfD) in einer aktuellen Kurz-Information ausdrücklich hin. Betroffen sind sowohl klassische Netzlaufwerke als auch Kollaborationsplattformen wie Microsoft SharePoint.
Risikopotenzial liegt in der konkreten Nutzung
Datenschutzrechtlich sind Dateiablagen als technische Infrastruktur bzw. Betriebsmittel einzuordnen. Das Risiko ergibt sich nicht aus dem Speichermedium selbst, sondern aus der konkreten Ausgestaltung der Zugriffsrechte und der tatsächlichen Nutzung. Bei unzureichender Konfiguration und fehlender organisatorischer Steuerung können solche Ablagen zu einer unbeabsichtigten Offenlegung personenbezogener Daten führen.
In der Praxis werden personenbezogene Daten häufig gespeichert, ohne dass zuvor geprüft wird, wer tatsächlich Zugriff auf das betreffende Verzeichnis hat. Sind Berechtigungen zu weit gefasst oder nicht mehr aktuell, kann es zu einer unbefugten Offenlegung kommen. Eine solche Offenlegung stellt regelmäßig eine Verletzung der Sicherheit personenbezogener Daten dar. Je nach Risikobewertung kann hieraus eine Meldepflicht nach Art. 33 DSGVO sowie gegebenenfalls eine Benachrichtigungspflicht nach Art. 34 DSGVO folgen.
Fehlende Protokollierung erschwert die Bewertung
Ein weiteres praktisches Problem liegt in der mangelnden Nachvollziehbarkeit von Zugriffen. Reine Lesezugriffe bleiben in vielen Systemen nur eingeschränkt protokolliert. Im Fall eines Sicherheitsvorfalls lässt sich dann oftmals nicht feststellen, wer welche Daten tatsächlich eingesehen hat.
Dies erschwert sowohl die interne Sachverhaltsaufklärung als auch die rechtssichere Risikobewertung im Hinblick auf die Rechte der betroffenen Personen. Zugleich kann eine unzureichende Dokumentation die Wahrnehmung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO beeinträchtigen.
Klare organisatorische Regeln statt bloßer Ordnerbezeichnungen
Die BayLfD weist ausdrücklich darauf hin, dass Verzeichnisbezeichnungen oder Zweckangaben keine verlässliche Aussage über die tatsächlichen Zugriffsrechte zulassen. Vor der Ablage personenbezogener Daten ist daher zu prüfen, wer auf das jeweilige Verzeichnis zugreifen kann. Bestehen Unklarheiten, ist eine Abstimmung mit der zuständigen IT- oder Datenschutzstelle erforderlich.
Darüber hinaus empfiehlt die Aufsichtsbehörde klare organisatorische Regelungen zur Vergabe, Dokumentation und regelmäßigen Überprüfung von Zugriffsrechten. Zuständigkeiten für das Anlegen und Ändern von Berechtigungen sind eindeutig festzulegen. Ein Vier-Augen-Prinzip kann zusätzliche Sicherheit bieten. Ergänzend sollten Beschäftigte geschult und transparente Übersichten über bestehende Ablagestrukturen bereitgestellt werden. Dabei ist unerheblich, ob es sich um ein lokales Netzlaufwerk oder eine cloudbasierte Lösung handelt. Entscheidend sind transparente Berechtigungsstrukturen und eine kontinuierliche Kontrolle.
Fazit
Die Kurz-Information der Bayrischen Landesbeauftragten für den Datenschutz verdeutlicht, dass auch gemeinsam genutzte Dateiablagen ein eigenständiger Prüfbereich im Bereich des Datenschutzes sind. Das Risiko entsteht nicht durch die Dateiablage selbst, sondern durch fehlende Transparenz über Zugriffsrechte und unzureichende organisatorische Steuerung.
Unternehmen sind daher gehalten, vor der Ablage personenbezogener Daten Klarheit über bestehende Berechtigungen zu schaffen und diese regelmäßig zu überprüfen. Andernfalls können alltägliche Arbeitsstrukturen zur Quelle meldepflichtiger Datenschutzverletzungen werden.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
