Multifunktionsgeräte bieten viele Möglichkeiten, die den Büroalltag erleichtern und Daten zu verteilen. Es werden alle Arten von Informationen und Daten gedruckt, gescannt, gefaxt und kopiert.
Somit bestehen auch beim Drucken und Kopieren Datenschutzrisiken. Bei der Gerätenutzung ist daher dafür Sorgen zu tragen, dass personenbezogene Daten (z. B. Kontakt- und Adressdaten, Gesundheitsdaten) und sensible Informationen (z. B. Geschäftsgeheimnisse) nicht unrechtmäßig jemand zur Kenntnis gelangen. Egal, ob es sich um Arbeitsverträge, Angebote, Mitarbeiterlisten oder Zeugnisse handelt – überall befinden sich personenbezogene Daten, die täglich gedruckt und kopiert werden.
In vielen Geräten werden Daten zwischengespeichert und auf andere Medien übertragen. Hierbei können beispielsweise Daten abgefangen werden. Gemäß Datenschutzgrundverordnung (DSGVO) sowie, je nach dem, auch des Bundesdatenschutzgesetzes (BDSG) und sonstigen Normen (z. B. GeschGehG) müssen Unternehmen für angemessene Maßnahmen sorgen, um personenbezogene Daten und Informationen zu schützen.
Datenschutzrisiken sind dabei u. a.
· Gerät in frei zugänglichen Räumen aufgestellt
· Gerät und/oder Speicher ist nicht vor unberechtigtem Zugriff gesichert
· Versehentliches Drucken bei Arbeiten außer Haus
· Wartungs- und Austauschprozess sind nicht geregelt
· Nicht vorhandenes Datenmanagement
· Ausdruck ohne Authentifizierung
· Gerät ist über (öffentliches) WLAN zugänglich
um nur einige Beispiele zu nennen.
Elementare Gefährdungen [1] sind
– Ausspähen von Informationen (Spionage)
– Diebstahl von Geräten, Datenträgern oder Dokumenten
– Fehlplanung oder fehlende Anpassung
– Offenlegung schützenswerter Informationen
– Manipulation von Hard- oder Software
– Unbefugtes Eindringen in IT-Systeme
– Ausfall von Geräten oder Systemen
– Unberechtigte Nutzung oder Administration von Geräten und Systemen
– Missbrauch von Berechtigungen
– Schadprogramme
Und nicht zuletzt sind menschliche Unachtsamkeit und Fahrlässigkeit die häufigsten Ursachen für Datenlecks, Informationsabfluss und Verstöße.
Technische und organisatorische Maßnahmen
Es gibt eine Vielzahl von technisch-organisatorischen Maßnahmen, die ergriffen werden können:
- Sorgfältige Auswahl der Geräte
- Prüfung der Lieferanten und Wartungsverträge
- Schulung von Mitarbeitern
- Benutzerrichtlinien für den Geräteumgang
- Zugriffsberechtigungen
- Verschlüsselung
- Protokollierung
- Zugangs- und Zutrittskontrollen
- Sichere Außerbetriebnahme von Geräten
- Richtlinien für Wartung und Teileaustausch
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt in seinem IT-Grundschutzkompendium, Baustein SYS-IT-Systeme SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte Hinweise zum sicheren Betrieb von Drucker, Scanner, Kopierer und Multifunktionsgeräte https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/SYS/SYS_4_1_Drucker,_Kopierer_und_Multifunktionsgeräte.html
Wenn Sie Fragen haben, kontaktieren Sie uns: per E-Mail consulting@AdOrgaSolutions.de.
(Autorin: Regina Mühlich: Als Expertin für Datenschutz, Datenschutz-Auditorin sowie Compliance Officer berät und unterstützt sie Unternehmen im Bereich Datenschutz, Compliance und Qualitätsmanagement in Deutschland, Österreich sowie der Schweiz. Sie ist Autorin, gefragte Referentin sowie Vorstandsmitglied des Berufsverbandes für Datenschutzbeauftragte Deutschland (BvD) e. V.
03. September 2019