Gemeinsame Dateiablagen als datenschutzrechtliches Risiko
In der Aktuellen Kurz-Information 65 weist der Bayerische Landesbeauftragte für den Datenschutz auf die erhebliche Gefahr von Datenpannen durch gemeinsam genutzte Dateiablagen hin. Betroffen sind sowohl klassische Netzlaufwerke als auch moderne Kollaborationsplattformen wie Microsoft SharePoint. Diese Systeme dienen zwar der effizienten Zusammenarbeit, können jedoch bei unzureichender Konfiguration und Organisation zu unbeabsichtigten Offenlegungen personenbezogener Daten führen.
Aus datenschutzrechtlicher Sicht sind Dateiablagen als Betriebsmittel zu verstehen: Das Risiko ergibt sich nicht aus dem Medium selbst, sondern aus der Art der Nutzung. In der Praxis zeigt sich, dass personenbezogene Daten häufig ohne ausreichende Prüfung der Zugriffsberechtigungen abgelegt werden. Besonders kritisch ist, dass Lesezugriffe oftmals nicht oder nur eingeschränkt protokolliert sind. Dies erschwert die Bewertung, ob ein unbefugter Zugriff stattgefunden hat, und kann die ordnungsgemäße Erfüllung der Meldepflichten nach Art. 33 DS-GVO beeinträchtigen.
Der BayLfD richtet konkrete Hinweise an die Beschäftigten: Vor dem Ablegen personenbezogener Daten ist stets zu prüfen, wer tatsächlich Zugriff auf das jeweilige Verzeichnis hat. Verzeichnisnamen oder vermeintliche Zweckbestimmungen bieten hierfür keine ausreichende Sicherheit. Bei Unsicherheiten sollte eine Abstimmung mit IT-Support oder zuständigen Stellen erfolgen.
Auf organisatorischer Ebene empfiehlt die Aufsichtsbehörde klare Regelungen zur Vergabe, Dokumentation und regelmäßigen Überprüfung von Zugriffsrechten. Zuständigkeiten für das Anlegen und Ändern von Berechtigungen sollten eindeutig festgelegt, idealerweise durch ein Vier-Augen-Prinzip abgesichert werden. Ergänzend sind Schulungen der Beschäftigten sowie eine strukturierte Ablagenübersicht erforderlich.
Auch bei cloudbasierten Lösungen wie SharePoint bleiben diese Grundsätze unverändert relevant: Technische Funktionen allein ersetzen keine saubere Organisation und laufende Kontrolle.
(Foto: keBu.Medien – stock.adobe.com)
Das könnte Sie auch interessieren
-
Folge 93: Digitale Souveränität in menschlicher Hoheit
Die Digitale Souveränität Europas ist ein Gebot dieser Zeit. Die menschliche Hoheit in Zeiten zu behalten, in denen KI-Systeme uns das Denken abnehmen können, ist ein anderes. Die Menschen in Europa müssen nun beweisen, dass sie den Herausforderungen gewaschen sind. Die EU und ihre Mitgliedstaaten müssen einen regulatorischen Rahmen schaffen, der Menschenrechte und gute wirtschaftliche
Mehr erfahren -
Einheitliches DSFA-Muster zur öffentlichen Konsultation veröffentlicht
Der Europäische Datenschutzausschuss (EDSA) hat am 10. März 2026 ein standardisiertes Muster für Datenschutz-Folgenabschätzungen (DSFA/DPIA) nach Art. 35 DS-GVO verabschiedet und am 14. April 2026 zur öffentlichen Konsultation gestellt. Rückmeldungen können bis zum 9. Juni 2026 eingereicht werden. Ziel ist eine europaweit einheitliche DSFA-Dokumentation: Nach Abschluss der Konsultation sollen alle nationalen Datenschutzbehörden das Template als
Mehr erfahren -
Transportverschlüsselung reicht aus: Anforderungen an E-Mail-Sicherheit nach Art. 32 DS-GVO
Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf entschieden, dass die Übermittlung personenbezogener Daten per E-Mail mittels Transportverschlüsselung grundsätzlich ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DS-GVO gewährleistet. Eine Ende-zu-Ende-Verschlüsselung ist nicht generell erforderlich. Sachverhalt Dem Verfahren lag ein Verkehrsunfall zugrunde, bei dem ein Busunternehmen den
Mehr erfahren
