Gemeinsame Dateiablagen als datenschutzrechtliches Risiko

Dateiablagen als Quelle von Datenpannen

In der Aktuellen Kurz-Information 65 weist der Bayerische Landesbeauftragte für den Datenschutz auf die erhebliche Gefahr von Datenpannen durch gemeinsam genutzte Dateiablagen hin. Betroffen sind sowohl klassische Netzlaufwerke als auch moderne Kollaborationsplattformen wie Microsoft SharePoint. Diese Systeme dienen zwar der effizienten Zusammenarbeit, können jedoch bei unzureichender Konfiguration und Organisation zu unbeabsichtigten Offenlegungen personenbezogener Daten führen.

Aus datenschutzrechtlicher Sicht sind Dateiablagen als Betriebsmittel zu verstehen: Das Risiko ergibt sich nicht aus dem Medium selbst, sondern aus der Art der Nutzung. In der Praxis zeigt sich, dass personenbezogene Daten häufig ohne ausreichende Prüfung der Zugriffsberechtigungen abgelegt werden. Besonders kritisch ist, dass Lesezugriffe oftmals nicht oder nur eingeschränkt protokolliert sind. Dies erschwert die Bewertung, ob ein unbefugter Zugriff stattgefunden hat, und kann die ordnungsgemäße Erfüllung der Meldepflichten nach Art. 33 DS-GVO beeinträchtigen.

Der BayLfD richtet konkrete Hinweise an die Beschäftigten: Vor dem Ablegen personenbezogener Daten ist stets zu prüfen, wer tatsächlich Zugriff auf das jeweilige Verzeichnis hat. Verzeichnisnamen oder vermeintliche Zweckbestimmungen bieten hierfür keine ausreichende Sicherheit. Bei Unsicherheiten sollte eine Abstimmung mit IT-Support oder zuständigen Stellen erfolgen.

Auf organisatorischer Ebene empfiehlt die Aufsichtsbehörde klare Regelungen zur Vergabe, Dokumentation und regelmäßigen Überprüfung von Zugriffsrechten. Zuständigkeiten für das Anlegen und Ändern von Berechtigungen sollten eindeutig festgelegt, idealerweise durch ein Vier-Augen-Prinzip abgesichert werden. Ergänzend sind Schulungen der Beschäftigten sowie eine strukturierte Ablagenübersicht erforderlich.

Auch bei cloudbasierten Lösungen wie SharePoint bleiben diese Grundsätze unverändert relevant: Technische Funktionen allein ersetzen keine saubere Organisation und laufende Kontrolle.

(Foto: keBu.Medien – stock.adobe.com)

Letztes Update:01.02.26

  • Vier Expertenporträts und Logo des Data Agenda Podcasts, Folge 94 mit Prof. Dr. Schwartmann, Markus Beckedahl, Lucia Burkhardt und Felix Sahm.

    Folge 94: KI-Reallabore, Kinder und Gesundheit

    Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),

    Mehr erfahren
  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner