Gemeinsame Dateiablagen als datenschutzrechtliches Risiko
In der Aktuellen Kurz-Information 65 weist der Bayerische Landesbeauftragte für den Datenschutz auf die erhebliche Gefahr von Datenpannen durch gemeinsam genutzte Dateiablagen hin. Betroffen sind sowohl klassische Netzlaufwerke als auch moderne Kollaborationsplattformen wie Microsoft SharePoint. Diese Systeme dienen zwar der effizienten Zusammenarbeit, können jedoch bei unzureichender Konfiguration und Organisation zu unbeabsichtigten Offenlegungen personenbezogener Daten führen.
Aus datenschutzrechtlicher Sicht sind Dateiablagen als Betriebsmittel zu verstehen: Das Risiko ergibt sich nicht aus dem Medium selbst, sondern aus der Art der Nutzung. In der Praxis zeigt sich, dass personenbezogene Daten häufig ohne ausreichende Prüfung der Zugriffsberechtigungen abgelegt werden. Besonders kritisch ist, dass Lesezugriffe oftmals nicht oder nur eingeschränkt protokolliert sind. Dies erschwert die Bewertung, ob ein unbefugter Zugriff stattgefunden hat, und kann die ordnungsgemäße Erfüllung der Meldepflichten nach Art. 33 DS-GVO beeinträchtigen.
Der BayLfD richtet konkrete Hinweise an die Beschäftigten: Vor dem Ablegen personenbezogener Daten ist stets zu prüfen, wer tatsächlich Zugriff auf das jeweilige Verzeichnis hat. Verzeichnisnamen oder vermeintliche Zweckbestimmungen bieten hierfür keine ausreichende Sicherheit. Bei Unsicherheiten sollte eine Abstimmung mit IT-Support oder zuständigen Stellen erfolgen.
Auf organisatorischer Ebene empfiehlt die Aufsichtsbehörde klare Regelungen zur Vergabe, Dokumentation und regelmäßigen Überprüfung von Zugriffsrechten. Zuständigkeiten für das Anlegen und Ändern von Berechtigungen sollten eindeutig festgelegt, idealerweise durch ein Vier-Augen-Prinzip abgesichert werden. Ergänzend sind Schulungen der Beschäftigten sowie eine strukturierte Ablagenübersicht erforderlich.
Auch bei cloudbasierten Lösungen wie SharePoint bleiben diese Grundsätze unverändert relevant: Technische Funktionen allein ersetzen keine saubere Organisation und laufende Kontrolle.
(Foto: keBu.Medien – stock.adobe.com)
Das könnte Sie auch interessieren
-
LinkedIn-Verrnetzung begründet keine Einwilligung für Werbe‑E‑Mails
Das AG Düsseldorf hat mit Urteil vom 20.11.2025 (Az. 23 C 120/25) klargestellt, dass berufliche Vernetzung in sozialen Netzwerken keine Einwilligung für den Versand werblicher E-Mails begründet. Hintergrund war ein Fall, in dem ein IT-Dienstleister zwei Werbe-E-Mails an eine GmbH sandte, die lediglich über LinkedIn vernetzt war, ohne dass eine ausdrückliche Zustimmung vorlag. LinkedIn-Kontakte ≠ Einwilligung für
Mehr erfahren -
Vergütung für nicht deklariertes „KI-Gutachten“ kann verweigert werden
Das Landgericht Darmstadt hat in einem Beschluss vom November 2025 (19 O 527/16) klargestellt, dass eine erhebliche, nicht gegenüber dem Gericht offengelegte Verwendung von Künstlicher Intelligenz (KI) bei der Erstellung eines gerichtlichen Sachverständigengutachtens zur vollständigen Versagung der Vergütung führen kann. Damit stärkt das Gericht die Anforderungen an Transparenz, persönliche Leistungspflicht und Nachvollziehbarkeit bei Gutachten, die im Rahmen zivilprozessualer
Mehr erfahren -
Rechtliche und technische Anforderungen bei Gesprächstranskription
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat mit ihrem Kurzpapier 4 einen praxisorientierten Leitfaden zur Transkription von Telefon- und Videokonferenzen vorgelegt, der zentrale datenschutz- und strafrechtliche Fragestellungen bei der Nutzung solcher Verfahren beleuchtet. Die Transkription – also die maschinelle Umwandlung aufgezeichneter Sprache in Text – gewinnt in Unternehmen zunehmend an Bedeutung, etwa zur Dokumentation
Mehr erfahren
