Handlungsempfehlung KMULesezeit: 2 Min

Besondere Anforderung an Poststellen in Organisationen

Oft wird die Post in einer Organisation (z.B. Unternehmen, Schulen, KiTas, Vereine, Dienstleister usw.) an einer zentralen Stelle bearbeitet. Nicht selten gibt es ab einer gewissen Größe auch eine feste Poststelle.

Für den Datenschutz ist diese Stelle eine relevante Stelle für die Umsetzung der gesetzlichen Vorgaben. In der Regel werden hier auch personenbezogene Daten verarbeitet.

Digitale und manuelle Poststelle

Der Posteingang in Organisationen kann auf unterschiedlichen Wegen stattfinden. Dazu zählen der klassische Brief-Eingang, Fax, E-Mail und unter Umständen auch ein Messenger-Dienst. Manche Unternehmen haben eine eigene E-Mail-Adresse nur für den Eingang bestimmter Anfragen.

Je nachdem wo die Post eingeht, muss der Datenschutz auch dort greifen und die klaren Regeln eingehalten werden.

Dokumentationen des Posteingangs und der Datenschutz

Nicht selten wird der Posteingang auf unterschiedliche Art und Weise auch dokumentiert. Im E-Mail-Postfach passiert dies meist durch die Speicherung der eingehenden Nachrichten auf dem Server. In seltenen Fällen wird der Posteingang auch in Papierform noch dokumentiert. Auch bei Faxgeräten werden Daten meist in einem internen Speicher gespeichert.

Bei der Beurteilung des Datenschutzes und dem Umgang mit personenbezogenen Daten sollte also genau hingeschaut werden, welche personenbezogene Daten an welcher Stelle verarbeitet werden.

In VVT aufnehmen

Wenn herausgefunden wurde, wo in den möglichen Posteingängen überall personenbezogene Daten verarbeitet werden, sollten alle Prozesse in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden.

BLOG-TIPP: VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN (VVT) IM DATENSCHUTZ FÜR NRW

TOM anpassen

Die sogenannten technischen und organisatorischen Maßnahmen (TOM) sollten dazu beitragen, dass der Schutz der personenbezogenen Daten nach aktuellem Stand der verschiedenen Techniken gegeben ist. Daher sollten diese auch an die Verarbeitung der personenbezogenen Daten angepasst werden.

Die TOMs sollten sowohl für die manuelle Datenverarbeitung als auch die digitale Verarbeitung beachtet werden. Gerade wenn Messenger-Dienste genutzt werden, um zum Beispiel Bestellungen aufzugeben, sollte die IT regelmäßig in die Sicherheitsvorgaben eingebunden werden.

Zugriffsrechte definieren

Bei der Verarbeitung von personenbezogenen Daten im Posteingang im Speziellen, sollten die Zugriffsrechte auf jene beschränkt werden, die die nötigen Daten notwendigerweise bearbeiten müssen.

Die Zugriffrechte auf personenbezogene Daten von Betroffenen sollten definiert und limitiert werden, um die Verwendung durch Unbefugte zu verhindern.

Briefgeheimnis und Konzept der Kommunikation

Bei der Einhaltung des Datenschutzes, dürfen andere gesetzliche Vorgaben wie zum Beispiel das Briefgeheimnis nicht außer Kraft gesetzt werden. Um die Einhaltung aller Vorgaben sicherzustellen, sollte ein Konzept für die Kommunikation festgelegt werden.

Auftragsverarbeitung von personenbezogenen Daten

Wenn personenbezogene Daten im Auftrag verarbeitet werden, spricht man von einer Auftragsverarbeitung. Auch bei der Poststelle kann eine Auftragsverarbeitung stattfinden. Im Datenschutz zählt dazu auch die Vernichtung von Daten durch einen Auftragsverarbeiter.

Daher sollten auch bei der Poststelle mögliche Auftragsverarbeitungs-Verträge (AV-Verträge) geprüft werden.

BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE

Lassen Sie die Verarbeitung von personenbezogenen Daten immer vom (externen) Datenschutzbeauftragten beurteilen und die Prozesse fachlich abklären.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten in KölnDüsseldorfSiegen, Bonn, Siegburg und ganz NRWLesen Sie mehr zu unserem individuellen Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Bewerten Sie diesen Beitrag
1 Bewertungen
Betriebliche Poststellen und der Datenschutz
Anfrage