1. Home
  2. Datenschutz-Tücken im Umgang mit...
DataAgenda

Datenschutz-Tücken im Umgang mit Excel-Dateien

Excel und Datenschutz

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) berichtete in seinem Tätigkeitsbericht 2019 von einer Beanstandung im Zusammenhang mit der Nutzung von Excel-Dateien.

Eine öffentliche Stelle hatte versehentlich eine Excel-Datei mit personenbezogenen Daten einer Gruppe von 45 Lehrerinnen und Lehrern per E-Mail unverschlüsselt an alle Gruppenmitglieder versendet.

Beabsichtigt war, ein Arbeitsblatt mit Kontaktdaten zugänglich zu machen, um die Kommunikation unter den in vergleichbarer Funktion tätigen Lehrerinnen und Lehrern zu erleichtern. Die Excel-Datei enthielt jedoch weitere Arbeitsblätter, aus denen unter anderem eine umfassende Übersicht über die dienstlichen Beurteilungen der Jahre 2010 und 2014 (Beurteilungsprädikate) sowie Aufzeichnungen über das dienstliche Verhalten und die Amtsführung (wertende Aussagen über die Qualität von Arbeitsergebnissen, Tagungsteilnahmen und vereinzelt auch wertende Stellungnahmen anderer öffentlichen Stellen) ersichtlich waren. Diese Arbeitsblätter umfassten zudem Angaben von früheren Gruppenmitgliedern.

Der BayLfD beschreibt in seinem Tätigkeitsbericht einen datenschutzrelevantren Vorfall, der in im hektischen Tagegeschäft schnell passieren kann und im schlimmsten Fall als meldepflichtige Datenschutzpanne bewertet werden muss. Dieses Risiko wohnt jedem Versand einer von einem Tabellenkalkulationsprogramm erstellten Datei, die oft auch als Arbeitsmappe bezeichnet wird, inne. Eine solche Datei kann mehrere unterschiedliche Tabellenbereiche besitzen, die auch Arbeitsblätter genannt werden. Typischerweise wird nach dem Öffnen der Datei nur ein Tabellenbereich angezeigt, während eventuell daneben existierende Tabellenbereiche nur über eine zusätzliche Benutzeraktion aktiviert und damit sichtbar gemacht werden können.

Diese besondere Funktionsweise führt zu folgendem Risiko: Die Versenderin oder der Versender einer solchen Datei betrachtet vor dem Versand oft nur den gerade aktivierten Tabellenbereich und übersieht dabei, dass sich in anderen Tabellenbereichen der Datei sensible Daten befinden, die nicht mit versendet werden sollen.

In den seiner Rubrik „Aktuelle Kurz-Information 46: Datenpannen mit Microsoft Excel verursachen und vermeiden“ stellt der BayLfD noch weitere Risiken dar, die bei der Nutzung von Excel eintreten können und beschreibt, wie diese Klippen mit einfachen Maßnahmen umschifft werden können ( Personenbezogene Daten können in einer Excel-Datei auch in der Rolle von Metadaten übersehen werden. )

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

(Foto: PixieMe – stock.adobe.com)

Letztes Update:26.02.23

Verwandte Produkte

  • Personalprozesse datenschutzkonform organisieren

    Personalprozesse datenschutzkonform organisieren

    Seminar

    833,00 € Mehr erfahren

Das könnte Sie auch interessieren

  • Folge 75: Ein Daten-Bypass für die Forschung – Innovation durch KI-Reallabore. Datenschutz in KI-Reallaboren nach EU-KI-Verordnung

    Folge 75: Ein Daten-Bypass für die Forschung – Innovation durch KI-Reallabore

    Künstliche Intelligenz ist ein maßgeblicher Treiber der Innnovation. Zugleich geht es um die Absicherung gegen die mit KI verbundenen Risiken. Der europäische Gesetzgeber hat dazu in der KI-Verordnung eine Vorschrift geschaffen, die die Weiterverarbeitung auch sensibler Daten zur Entwicklung, zum Training und zum Testen von KI-Systemen erlaubt. In sogenannten KI-Reallaboren sollen Entwickler von bestimmten KI-Systemen

    Mehr erfahren
  • Auftrgsverarbeitung vs Gemeinsame Verantwortlichkeit

    Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit

    Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat ein neues Kurzpapier veröffentlicht, das sich mit der praktischen Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit nach der Datenschutz-Grundverordnung befasst. Ziel ist es, Verantwortlichen eine Orientierung zu geben, wie sie Dienstleister und Kooperationspartner rechtlich korrekt einordnen. Zentrales Kriterium für die Einordnung als Auftragsverarbeitung ist die Weisungsgebundenheit des Dienstleisters.

    Mehr erfahren
  • Pseudonymisierte Daten

    EuGH-Urteil: Pseudonymisierte Daten bleiben personenbezogen

    Ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) vom 4. September 2025 (C-413/23 P) schafft mehr rechtliche Klarheit bezüglich der Einstufung von pseudonymisierten Daten. Das Gericht hat entschieden, dass solche Daten weiterhin als personenbezogen gelten, solange der Datenverantwortliche über die Mittel zur Re-Identifizierung der betroffenen Person verfügt. Perspektive des Verantwortlichen ist entscheidend Im Mittelpunkt des Urteils

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner