Ein zentraler Dreh- und Angelpunkt stellt das Backoffice in den meisten Unternehmen dar. Hierbei werden oft wichtige Verarbeitungen personenbezogener Daten durchgeführt. Welche dies sind und worauf zu achten ist, lesen Sie hier.
Der Inhalt im Überblick
Die Aufgaben des Backoffice
Grundsätzlich sind die Mitarbeiter im Backoffice für die reibungslose Durchführung der Geschäftsabläufe des Unternehmens zuständig. Dies sind größtenteils organisatorische Tätigkeiten, wie z.B. die Zugangskontrolle oder der Briefversand. In speziellen Firmenkonstrukten können dies ebenfalls die Buchführung, Anfragenverwaltung oder die interne Kommunikation und Koordination verschiedener Abteilungen sein. Im Folgenden werden gängige Verarbeitungen von personenbezogenen Daten veranschaulicht und datenschutzrechtlich bewertet.
Die Besucherlisten
Um die Zugangskontrolle eines Unternehmens zu stärken, ist die Verwendung eines Besucherregisters eine gängige und geeignete Lösung, um sicherzustellen, dass unternehmensfremde Personen an einer zentralen Stelle aufgenommen werden. Hierbei werden diverse personenbezogene Daten erhoben, wie z.B. Name, Vorname, Ankunftszeit, Unternehmenszugehörigkeit, PKW-Kennzeichen, interner Ansprechpartner, Unterschrift und Uhrzeit beim Verlassen des Gebäudes.
Wichtig für jede Verarbeitung ist, dass die datenschutzrechtlichen Grundsätze nach Art. 5 DSGVO eingehalten werden. Hervorgehoben werden sollte, dass der Verantwortliche beim Erheben der personenbezogenen Daten darauf achten sollte, ausschließlich für den Zweck notwendige Daten zu erheben, um die Datenminimierung nach Art. 5 Abs.1 lit. c DSGVO zu erfüllen.
Eine gängige Rechtsgrundlage stellt hierbei das berechtigte Interesse nach Art. 6 Abs.1 S.1 lit. f DSGVO dar. Wichtig ist, dass das Interesse des Betroffenen nicht das Interesse des Verantwortlichen übersteigt. Dies ist in so einem Fall nicht anzunehmen, da das Interesse des Verantwortlichen die Sicherstellung der Zugangskontrolle ist.
Zuletzt ist die Löschung und damit einhergehende Vernichtung der Besucherlisten nicht zu vernachlässigen. Die Besucherliste sollte unmittelbar vernichtet werden, soweit der Zweck erfüllt ist. Hierbei sind gesetzliche Aufbewahrungspflichten zu berücksichtigen.
Sicheres Aufbewahren und Vernichten von Akten
Ein Großteil der Verarbeitungen erfolgt über elektronische Systeme wie Computer oder mobile Endgeräte. Hierbei ist der technische Schutz personenbezogener Daten sehr wichtig. Art. 32 DSGVO sieht dies ebenfalls vor:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Einige Verarbeitungen finden allerdings noch klassisch analog statt, sodass Listen, Nachweise oder Briefe abgeheftet und sicher verwahrt werden sollten. Hierzu empfiehlt es sich, schutzwürdige Dokumente mit Personenbezug in verschließbaren Aktenschränken aufzubewahren, sodass Dritte der Zugriff verwehrt bleibt. Zudem sollten Verantwortliche durch Datenschutzschulungen oder anderweitigen Schulungsmaßnahmen auf eine Clean Desk Policy hinweisen.
Um Dokumente zu vernichten hat man früher vor allem Shredder genutzt. Doch hat sich in den letzten Jahren einiges getan, sodass Datentonnen ein praktisches Pendant darstellen. Der Unterschied zu den Dokumentenschredder ist, dass hierbei eine zertifizierte Vernichtung der Dokumente gewährleistet werden kann. Sie sollten mit dem Anbieter neben dem Dienstleistungsvertrag eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO schließen.
Der Mensch als Schwachstelle
Hacker machen sich bekanntlich Schwachstellen zu eigen, um an Informationen zu gelangen oder Schadsoftware einzuschleusen. Einige unterschätzen jedoch, dass der Mensch ebenfalls eine Schwachstelle sein kann, wenn er nicht genügend sensibilisiert ist und unbedacht handelt. Mittels „Social Engineering“ werden das Backoffice und die Buchhaltung oft zum geeigneten Angriffsziel, da dort zentrale Prozesse im Unternehmen gesteuert werden. Beispielsweise versuchen Kriminelle mit öffentlich zugänglichen Informationen einen Kontakt zu einem Mitarbeiter herzustellen und eine Beziehung aufzubauen. Durch den wiederkehrenden Kontakt entsteht Vertrauen, sodass Kontoänderung oder anderen vergleichbaren risikobehaftete Anfragen unauffällig bleiben und ohne weiterer Prüfung durchgeführt werden.
Die Polizei Nordrhein-Westfalen rät daher den Verantwortlichen:
- Schulen Sie Ihre Mitarbeiter hinsichtlich dieses Phänomens.
- Vergewissern Sie sich, welche Informationen über Ihr Unternehmen öffentlich sind.
- Prüfen und verufizieren Sie die Zahlungsaufforderung des vermeintlichen Auftraggebers.
- Ungewöhnliche Zahlungsanweisungen sollten durch ein 4-Augen-Prinzip kontrolliert werden.
- Überprüfen Sie den genauen Adressaten.
Die Sensibilisierung als Schutzschild
Durch gezielte Schulungen Ihres Datenschutzbeauftragten lassen sich einige Verarbeitungen innerhalb des Backoffice sicher gestalten. Die Sensibilisierung spielt hierbei eine zentrale Rolle, da sich ein Großteil der potenziellen Risikofaktoren damit minimieren lassen, sodass die Grundsätze des Datenschutzes eingehalten werden können. Für alle anderen Verarbeitungen gilt es frühzeitig Ihren Datenschutzbeauftragten einzubeziehen.
