Dokumentenaustausch über SharePoint Hinweise für die datenschutzfreundliche Nutzung

Bei der Nutzung des SharePoints werden die Daten mit 14 Landesmedienanstalten, der GGS und weiteren Verfahrensbeteiligten, z.B. externe Mitglieder in KEK und KJM, geteilt. Zu beachten sind daher insbesondere die Anforderungen der DSGVO zur Datenminimierung sowie zur datenschutzfreundlichen Voreinstellung.

Das bedeutet im Einzelnen:

1. Müssen sensible Informationen überhaupt eingestellt werden?
   Die Erfüllung der Vorlagepflicht von besonders sensiblen Daten (z.B. polizeiliches Führungszeugnis) im Verfahren kann alleine durch die verfahrensführende Verfahrensbeteiligte mittels entsprechendem Aktenvermerk („Vorlagepflicht wurde erfüllt“) bestätigt werden. Ein Hochladen des eingereichten Dokuments in SharePoint ist insofern entbehrlich bzw. ansonsten ist eine Schwärzung personenbezogener Daten angeraten.
2. Müssen alle Daten eingestellt werden?
   Personenbezogene Daten, die zur Bearbeitung des Anliegens nicht mit allen Medienanstalten geteilt werden müssen, sind gar nicht einzustellen. So ist es im Falle eines Beschwerdeverfahrens idR nicht erforderlich, die Person, die die Beschwerde erhoben hat, namentlich zu nennen.
3. Wie ist der Zugriff auf den SharePoint zu schützen?
   Die persönlichen SharePoint-Zugangsdaten sind vor dem Zugriff durch Dritte zu schützen (z.B. kein „Passwort-Post-it“). Für den Zugriff außerhalb des jeweils internen Netzwerks ist die Zwei-Faktor-Authentifizierung zu nutzen, bei der durch ein weiteres Merkmal, bspw. einen auf dem Smartphone/Tan-Generator individuell generierten Code, sichergestellt wird, dass kein unberechtigter Zugriff möglich ist.
4. Wie sind heruntergeladenen Daten zu schützen?
   Auch heruntergeladene Daten sind vor dem weiteren Zugriff durch unbefugte Dritte zu schützen, etwa durch eine Ablage unter Beachtung des jeweiligen Berechtigungssystems oder den Schutz von ausgedruckten Dokumenten vor unbeschränktem Zugriff. Unberührt hiervon bleiben die Vorgaben der Medienanstalten/GGS/Organisation der jeweiligen SharePoint-Nutzenden.

Diese Regelungen dienen dazu, Datenschutzverletzungen und damit einhergehende datenschutzrechtliche Sanktionsmaßnahmen oder Schadensersatzforderungen zu vermeiden.