Besondere Anforderung an Poststellen in Organisationen
Oft wird die Post in einer Organisation (z.B. Unternehmen, Schulen, KiTas, Vereine, Dienstleister usw.) an einer zentralen Stelle bearbeitet. Nicht selten gibt es ab einer gewissen Größe auch eine feste Poststelle.
Für den Datenschutz ist diese Stelle eine relevante Stelle für die Umsetzung der gesetzlichen Vorgaben. In der Regel werden hier auch personenbezogene Daten verarbeitet.
Digitale und manuelle Poststelle
Der Posteingang in Organisationen kann auf unterschiedlichen Wegen stattfinden. Dazu zählen der klassische Brief-Eingang, Fax, E-Mail und unter Umständen auch ein Messenger-Dienst. Manche Unternehmen haben eine eigene E-Mail-Adresse nur für den Eingang bestimmter Anfragen.
Je nachdem wo die Post eingeht, muss der Datenschutz auch dort greifen und die klaren Regeln eingehalten werden.
Dokumentationen des Posteingangs und der Datenschutz
Nicht selten wird der Posteingang auf unterschiedliche Art und Weise auch dokumentiert. Im E-Mail-Postfach passiert dies meist durch die Speicherung der eingehenden Nachrichten auf dem Server. In seltenen Fällen wird der Posteingang auch in Papierform noch dokumentiert. Auch bei Faxgeräten werden Daten meist in einem internen Speicher gespeichert.
Bei der Beurteilung des Datenschutzes und dem Umgang mit personenbezogenen Daten sollte also genau hingeschaut werden, welche personenbezogene Daten an welcher Stelle verarbeitet werden.
In VVT aufnehmen
Wenn herausgefunden wurde, wo in den möglichen Posteingängen überall personenbezogene Daten verarbeitet werden, sollten alle Prozesse in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden.
BLOG-TIPP: VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN (VVT) IM DATENSCHUTZ FÜR NRW
TOM anpassen
Die sogenannten technischen und organisatorischen Maßnahmen (TOM) sollten dazu beitragen, dass der Schutz der personenbezogenen Daten nach aktuellem Stand der verschiedenen Techniken gegeben ist. Daher sollten diese auch an die Verarbeitung der personenbezogenen Daten angepasst werden.
Die TOMs sollten sowohl für die manuelle Datenverarbeitung als auch die digitale Verarbeitung beachtet werden. Gerade wenn Messenger-Dienste genutzt werden, um zum Beispiel Bestellungen aufzugeben, sollte die IT regelmäßig in die Sicherheitsvorgaben eingebunden werden.
Zugriffsrechte definieren
Bei der Verarbeitung von personenbezogenen Daten im Posteingang im Speziellen, sollten die Zugriffsrechte auf jene beschränkt werden, die die nötigen Daten notwendigerweise bearbeiten müssen.
Die Zugriffrechte auf personenbezogene Daten von Betroffenen sollten definiert und limitiert werden, um die Verwendung durch Unbefugte zu verhindern.
Briefgeheimnis und Konzept der Kommunikation
Bei der Einhaltung des Datenschutzes, dürfen andere gesetzliche Vorgaben wie zum Beispiel das Briefgeheimnis nicht außer Kraft gesetzt werden. Um die Einhaltung aller Vorgaben sicherzustellen, sollte ein Konzept für die Kommunikation festgelegt werden.
Auftragsverarbeitung von personenbezogenen Daten
Wenn personenbezogene Daten im Auftrag verarbeitet werden, spricht man von einer Auftragsverarbeitung. Auch bei der Poststelle kann eine Auftragsverarbeitung stattfinden. Im Datenschutz zählt dazu auch die Vernichtung von Daten durch einen Auftragsverarbeiter.
Daher sollten auch bei der Poststelle mögliche Auftragsverarbeitungs-Verträge (AV-Verträge) geprüft werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Lassen Sie die Verarbeitung von personenbezogenen Daten immer vom (externen) Datenschutzbeauftragten beurteilen und die Prozesse fachlich abklären.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.