,

Das Diktiergerät – ein Bericht aus der Praxis

AdobeStock | 1903924317 | StitchAdobeStock | 1903924317 | Stitch

In meinen Jahren als Datenschutzbeauftragter habe ich immer wieder erlebt, dass nicht nur große Systemfehler oder Cyberangriffe, sondern gerade kleine, unscheinbare Nachlässigkeiten häufig den Auslöser für einen Datenschutzvorfall darstellen – genau darum soll es in diesem Praxisbeispiel gehen.

In einer mittelgroßen Organisation gehörte es seit vielen Jahren zur gängigen Praxis, Sitzungen der Leitungsebene mit einem Diktiergerät aufzuzeichnen. Die Absicht war zunächst pragmatisch: Diskussionen sollten später leichter protokolliert werden können. Das Gerät wurde regelmäßig auf Sitzungen genutzt.

Im Laufe der Jahre entwickelte sich daraus ein routinierter, jedoch kaum hinterfragter Prozess. Die Aufzeichnungen enthielten eine Vielzahl sensibler Inhalte: Personalangelegenheiten, strategische Planungen, finanzielle Entscheidungen, sowie vereinzelt auch personenbezogene Daten von Mitarbeitenden und externen Partnern.

Das Diktiergerät selbst war ein einfaches, handelsübliches Modell ohne Verschlüsselung. Weder war der Zugriff durch ein Passwort geschützt, noch existierte eine systematische Löschroutine. Die gespeicherten Dateien sammelten sich über Jahre hinweg auf dem Gerät. Eine formelle Regelung zur Aufbewahrung oder zur datenschutzkonformen Verarbeitung der Aufnahmen existierte nicht.

Aus Sicht der Informationssicherheit stellte dies mehrere strukturelle Schwachstellen dar. Es fehlten grundlegende organisatorische und technische Maßnahmen im Sinne der Schutzziele der Informationssicherheit – insbesondere hinsichtlich Vertraulichkeit und Integrität. Auch eine Risikoanalyse oder eine Klassifizierung der enthaltenen Informationen war nie durchgeführt worden.

Als wieder eine Sitzung aufgezeichnet werden sollte fiel auf, dass das Diktiergerät fehlte. Zunächst wurde ein Verlegen vermutet, doch nach kurzer Suche wurde klar: Das Gerät war gestohlen worden.

Mit einem Schlag wurde deutlich, welche Tragweite dieser Verlust haben konnte. Auf dem Gerät befanden sich viele Stunden von Sitzungsaufzeichnungen aus mehreren Jahren. Viele davon enthielten vertrauliche und schützenswerte Daten verschiedenster Ausprägung.

Aus rechtlicher Perspektive ergaben sich sofort mehrere Problemfelder:

Nach der Datenschutz-Grundverordnung (DSGVO) hätte die Organisation geeignete technische und organisatorische Maßnahmen gemäß Artikel 32 implementieren müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen beispielsweise Verschlüsselung, Zugriffsbeschränkungen und klare Aufbewahrungsregelungen.

Darüber hinaus verlangt Artikel 5 der DSGVO das Prinzip der Datenminimierung und der Speicherbegrenzung. Daten dürfen nur so lange gespeichert werden, wie sie für den ursprünglichen Zweck erforderlich sind. In diesem Fall hätte nach Erstellung eines schriftlichen Protokolls eine zeitnahe Löschung der Audiodateien erfolgen müssen.

Auch eine Rechtsgrundlage für die Aufzeichnung der Gespräche wäre zu dokumentieren gewesen. Bei Sitzungen mit personenbezogenen Daten ist regelmäßig eine transparente Information der Betroffenen erforderlich. Zudem stellt sich die Frage, ob überhaupt eine Notwendigkeit bestand, vollständige Audioaufnahmen dauerhaft zu speichern.

Mit dem Diebstahl entstand schließlich ein Datenschutzvorfall im Sinne von Artikel 4 Nr. 12 DSGVO – eine Verletzung des Schutzes personenbezogener Daten. Daraus folgte eine weitere Verpflichtung: Die Organisation musste prüfen, ob eine Meldung an die zuständige Aufsichtsbehörde erforderlich war.

Parallel dazu stellte sich eine weitere Frage:

Hätte der Vorfall durch grundlegende Maßnahmen der Informationssicherheit verhindert werden können?

Die Antwort lautete eindeutig: ja.

Bereits einfache Maßnahmen hätten das Risiko erheblich reduziert. Dazu gehörten:

  • Verwendung eines verschlüsselten Aufnahmegeräts
  • Zugriffsschutz durch PIN oder Authentifizierung
  • sichere Aufbewahrung in einem abgeschlossenen Schrank
  • definierte Löschfristen für Aufzeichnungen
  • eine dokumentierte Datenschutz- und Informationssicherheitsrichtlinie
  • Sensibilisierung der Mitarbeitenden für den Umgang mit vertraulichen Informationen

Was als kleines Hilfsmittel für die Protokollführung begonnen hatte, entwickelte sich rückblickend zu einem exemplarischen Fall dafür, wie alltägliche Bequemlichkeit über Jahre hinweg zu erheblichen Datenschutzrisiken führen kann. In der Praxis sind es häufig nicht komplexe Cyberangriffe, sondern unscheinbare organisatorische Versäumnisse, die sensible Informationen gefährden.

Die eigentliche Ursache lag nicht im Diebstahl selbst, sondern in der fehlenden Umsetzung grundlegender Prinzipien des Datenschutzes und der Informationssicherheit.

Das verschwundene Diktiergerät ist bis heute nicht wieder aufgetaucht.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

Wir sind zertifiziert nach:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen