Wir haben in unserem Blog bereits an zahlreichen Stellen über mögliche Datenschutzverletzungen sowie deren Eintrittsszenarien berichtet. Eine potenzielle Datenschutzverletzung, welche häufiger nicht die praktische Bedeutung erfährt, welche sie eigentlich genießen sollte, haben wir bisher noch unbeachtet gelassen: Weitreichende Zugriffsrechte, welche die unbefugte Kenntnisnahme von (personenbezogenen) Daten ermöglichen. Der Bayrische Landesbeauftragte für den Datenschutz (BayLfD) veröffentlichte Mitte Januar 2026 eine Kurz-Information unter dem Titel „Dateiablagen als Quelle von Datenpannen“. Der BayLfD bietet mit seinen „Aktuellen Kurz-Informationen“ praxisnahe Hinweise zur Datenschutz-Grundverordnung für öffentliche Stellen und Unternehmen. Gründe genug also sich einmal näher mit den entsprechenden Fallkonstellationen auseinander zu setzen. Die Kurz-Information Nr. 65 soll im Mittelpunkt unseres heutigen Blog-Beitrages stehen.
First at all: Unbfugte Kenntnisnahme als Datenschutzverletzung
Zur Erinnerung: Nach Art. 4 Nr. 12 DS-GVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
In den durch den BayLfD geschilderten Fällen handelt es sich vielmals um eine unbefugte Offenlegung. Eine Offenlegung liegt dabei vor, wenn die jeweils betroffenen personenbezogenen Daten einem Empfänger gemäß Art. 4 Nr. 9 DS-GVO zur Kenntnis gelangen. Nach hier vertretener Ansicht ist es dafür unerheblich, ob es sich hierbei um einen internen oder externen Empfänger handelt.
Der Europäische Datenschutzausschuss führt hierzu in seinen Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der DS-GVO aus: „Die unrechtmäßige oder unbefugte Verarbeitung schließlich kann die Offenlegung personenbezogener Daten gegenüber (bzw. den Zugang zu personenbezogenen Daten von) Empfängern, die nicht zum Erhalt der (bzw. zum Zugang zu den) Daten befugt sind, sowie jede andere Form der Verarbeitung unter Verstoß gegen die DSGVO beinhalten.“
Abzustellen ist demnach auf die nicht vorliegende Autorisierung bzw. Befugnis zur Kenntnisnahme der Daten. Obwohl insofern ein Zusammenhang mit der Zulässigkeit der Datenverarbeitung besteht (zur Erinnerung: eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DS-GVO setzt eine Verletzung der Sicherheit voraus, nicht einen Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung), ist für die Schutzverletzung nur auf die technischen und organisatorischen Maßnahmen abzustellen.
Dagegen kann durchaus hinterfragt werden, ob die Verletzung der Sicherheit voraussetzt, dass tatsächlich eine Kenntnisnahme der personenbezogenen Daten durch unbefugte Personen erfolgt ist oder die Möglichkeit der Kenntnisnahme ausreicht. Richtigerweise wird man davon ausgehen müssen, dass in den Fällen der unbefugten Offenlegung eine Verletzung der Sicherheit bereits eingetreten ist, wenn die Offenlegung erfolgt ist. Dagegen wird man die Frage, ob tatsächlich eine Kenntnisnahme stattgefunden hat, im Rahmen der Bewertung der Höhe des Risikos nachgehen und ob möglicherweise technische und organisatorische Maßnahmen (beispielsweise Löschbestätigung ohne Sichtung von Datensätzen) das potenzielle Risiko minimieren oder ausschließen.
Nun zur besagten Kurzinformation
Zurück zum Paper des BayLfD. Betrachtet werden (zentrale) Dateiablagen in Form von Verzeichnissen auf einem Server wie auch elektronische Akten oder ähnlichem: „Oftmals sind zentrale Dateiablagen als eigene Laufwerke mit einem festen Laufwerksbuchstaben eingerichtet, auf die je nach Größe der Dienststelle alle Beschäftigten oder – etwa nach Organisationseinheiten gegliedert – größere oder kleinere Gruppen zugreifen können. Die Verzeichnisnamen in den Laufwerken sind in der Regel so gewählt, dass für die Beschäftigten ersichtlich ist, welche Kategorien von Informationen dort zu erwarten sind.“
Zur Vermeidung von Datenschutzverletzungen im Zusammenhang mit Verzeichnissen und Dateiablagen rät der ByLfD zu folgenden Maßnahmen:
- Prüfen von Berechtigungen, bevor personenbezogene Daten in einem Verzeichnis abgelegt werden;
- Im Zweifel sind neue Verzeichnisse anzulegen;
- Seitens des Verantwortlichen wird zudem das Festlegen von zentralen Anforderungen bzw. Vorgaben für Dateiablagen aufgeführt (z. B. Festlegung von Zuständigkeiten für die Löschung von Dateien, Ergreifen zusätzlicher Maßnahmen bei der Ablage von sensiblen Daten wie Erstellung von Unterverzeichnissen oder Berechtigungsbeschränkungen bzw. Vergabe von Passwörtern) sowie Vergabe von Löschfristen.
Ähnliche Problemstellung, anderes System: Microsoft SharePoint
Die Nutzung von Microsoft SharePoint als Plattform für die gemeinsame Dokumentenverwaltung bringt in seiner Verwendung häufig ähnliche Probleme mit sich: „Obwohl SharePoint durch seine Funktionen zur Versionierung, Zugriffssteuerung und Zusammenarbeit viele Vorteile bieten kann, besteht auch hier die Gefahr, dass Datenpannen auftreten, insbesondere wenn Berechtigungen nicht sorgfältig verwaltet werden.“ Bei SharePoint können Berechtigungen auf unterschiedlichen Ebenen (Site-, Bibliotheks- oder Dokumentenebene) vergeben werden. Hierdurch entsteht mitunter eine hohe Komplexität. Dies gilt insbesondere, wenn diverse Dateiablagen im SharePoint von unterschiedlichen Teams genutzt werden.
Im Vergleich zu „normalen“ Dateiablagen bietet SharePoint jedoch die Möglichkeit sogenannte Audit-Logs zu protokollieren, um potenzielle Zugriffe nachzuverfolgen. Wiederrum sollte man Vorsicht walten lassen, das die Auswertungen der Zugriffsrechte wiederrum einen Zugriff auf personenbezogene Daten darstellen kann und somit einer (datenschutzrechtlichen) Rechtfertigung bedarf.
Fazit
Der BayLfD kommt im Ergebnis daher zu den Kernaussagen, dass Betriebsmittel wie gemeinsame Datenablagen oder Austauschverzeichnisse eine häufige Quelle von Datenpannen bzw. Datenschutzverletzungen sein können und dass bei der Arbeit sowie der Administration solcher Datenablagen und Verzeichnisse durch leicht umsetzbare Routinen einfache Verletzungshandlungen vermieden werden können. Beide Ansichten überzeugen. In der täglichen Arbeit stellen wir ebenso fest, dass leicht zu derartigen Verletzungen durch unbefugte Offenlegungen kommen kann. All zu leicht sind weitreichende (Lese-)Rechte eingerichtet, ohne dass es hierfür entsprechende Rechtfertigungen gibt. Ein handfestes Berechtigungskonzept kann hier beispielsweise Abhilfe schaffen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
