Drucker, Kopierer, Multifunktionsgeräte. 13 Tipps gegen ungewollte Datenpannen

Drucker und Multifunktionsgeräte richtig aufstellen

Drucker, Kopierer und Multifunktionsgeräte sind wichtige Geräte für den Arbeitsalltag. Faxgeräte ebenso, aber denen widmen wir uns ein andermal. Da mit Druckern, Kopierern und Multifunktionsgeräten personenbezogene Daten verarbeitet werden (und mitunter die besonders heiklen Daten nach Artikel 9 DSGVO), stellt sich eine zentrale Frage: Sind die Geräte und die damit verarbeiteten Daten ausreichend vor unbefugten Zugriffen geschützt?

Ich beobachte im Alltag immer wieder, dass Multifunktionsgeräte datenschutztechnisch unzureichend aufgestellt sind: in einer Arztpraxis etwa nahe des Wartezimmers neben dem Empfang. Zwangsläufig können Wartende hier auf ausgedruckte Dokumente linsen. Oder, wenn grade keiner guckt, Unterlagen an sich nehmen. Gelegenheit macht neugierig.

Gängige, aber falsche Gerätestandorte

Auch jenseits des medizinischen Bereichs kann der Standort des Multifunktionsgeräts schlecht gewählt sein – mit nicht weniger gravierenden Folgen. Nehmen wir das Kundencenter der Stadtwerke. Auch da gehen Druckaufträge ein, auch da mit teilweise sensiblen Daten. Dennoch stehen Geräte nicht selten in der Nähe des Empfangsbereichs, sprich: dort, wo die Besucher warten.

Es ist ein Phänomen, das in vielen Unternehmen in Erscheinung tritt: Drucker, Kopierer, Multifunktionsgeräte stehen in Fluren vor Büros, Besprechungsräumen, Schulungsräumen. Praktisch, wenn sie genau dort gebraucht werden. Wenn hier aber Externe Zutritt haben und in Pausen oder auf dem Weg zur Toilette an den Geräten vorbeikommen, ist es ein denkbar schlechter Ort.

Eins steht also fest: Obwohl sie sensible Daten verarbeiten, stehen Drucker, Kopierer und Multifunktionsgeräte oft an Stellen, wo Unbefugte Zugriff haben – und im wahrsten Sinne „zugreifen“ können. Viel zu leicht passiert es, dass sich Unbefugten ungewollte Einblicke bieten. Und wem würde überhaupt auffallen, wenn Unterlagen fehlen?

Risiken des falschen Standorts – und mögliche Lösungen

Haben Sie sich mal überlegt, welche Daten betroffen sein können, wenn Ausdrucke nicht vor neugierigen Dritten sicher sind? Dann tun Sie es mal. Und denken Sie dabei auch gleich über die vielen Möglichkeiten nach, mit solchen Daten Schindluder zu treiben. Viel zu oft sind Multifunktionsgeräte so eingestellt, dass der Ausdruck unmittelbar nach Absetzen des Druckauftrags erfolgt. Die Folge? Drucker arbeiten unbesehen vor sich hin. Dabei gibt es Wege, das zu verhindern, und zwar mit wenig Aufwand:

• Multifunktionsgeräte in Räumen aufstellen, wo nur Befugte Zutritt haben.
  
  So einfach, so zielführend.

• Multifunktionsgeräte so aufstellen, dass sie immer im Blickfeld einer verantwortlichen Person sind.
  
  Leuchtet ebenfalls ein, oder? Aber nicht vergessen: Natürlich verlässt der- oder diejenige gelegentlich, auch mal kurzfristig, den Arbeitsplatz. Treffen Sie verlässliche Regelungen und benennen beispielsweise eine Stellvertretung.

• Geräte so einstellen, dass der Ausdruck erst erfolgt, wenn man eine PIN-Nummer eingibt oder sich anderweitig authentifiziert.
  
  Diese Lösung hat viele Vorteile und nur einen Nachteil: Je größer der Druckauftrag, desto länger dauert er. Und da der Druck erst startet, wenn der oder die Mitarbeitende am Gerät steht, entstehen Wartezeiten – mal kürzer, mal länger.

So eine Zeitverschwendung? Mag sein, aber die Alternative bedeutet das Eintreten möglicher Datenpannen.

Wer im Sinne der DSGVO Vorteile gegen Nachteile abwägen möchte, betrachtet das Risiko unbefugter Einsicht von Ausdrucken hinsichtlich der Wahrscheinlichkeit des Eintretens und die Höhe des Schadens für die Rechte der Betroffenen, derer also, deren Daten im Ernstfall missbraucht werden. Nach dieser Analyse sollte es leichter fallen, eine Entscheidung zu treffen.

Besonders Geräte, an denen Daten mit einem hohen Maß an Vertraulichkeit ausgedruckt werden, sollten Sie fortan angemessen schützen. Die meisten Datenschutzverstöße passieren aus Versehen. Umso wichtiger, die Wahrscheinlichkeit solcher Versehen zu verringern. Umso mehr, wenn der Aufwand überschaubar ist.

Abhandenkommende Ausdrucke und die Bedeutung für den Datenschutz

Was sagt der Datenschutz zum Thema Drucker, Kopierer & Co.? Wenn unbefugte Personen sensible Daten, die unbeobachtet in Druckern liegen, entnehmen und einsehen können, handelt es sich rechtlich betrachtet um eine Verletzung des Schutzes personenbezogener Daten. Nach Artikel 33 der DSGVO müssen Sie dann prüfen, ob Sie diese Schutzverletzung an die Aufsichtsbehörde melden müssen.

Allerdings: Selten kommt es überhaupt zu dieser Prüfung. Wer etwas ausdruckt, aber nicht im Drucker findet, wird in der Regel eine technische Störung vermuten und eben gleich noch einmal drucken. Wer denkt schon daran, dass sich jemand ausgerechnet dafür interessieren könnte?

Zu solchen Vorfällen kommt es mutmaßlich viel öfter, als wir alle vermuten. Mutmaßlich kann es in Ihrem Unternehmen zu Pannen mit personenbezogenen Daten kommen, die Sie gar nicht bemerken. Gleichwohl können sie den Verantwortlichen auf die Füße fallen.
Aus Sicht des Datenschutzes gilt es, geeignete technische und organisatorische Maßnahmen zu treffen, um eine solche Schutzverletzung zu vermeiden. Darum herrscht hier in vielen Betrieben Handlungsbedarf. Treffen Sie geeignete technische und organisatorische Maßnahmen, um Datenpannen wegen abhandengekommener Ausdrucke weitgehend auszuschließen.

Tipps für den richtigen Umgang mit Drucker, Kopierer & Co.

1. Stellen Sie fest, wo überall Drucker, Kopierer oder Multifunktionsgeräte stehen. Fertigen Sie eine Liste an, in der Sie die Geräte und ihre Standorte festhalten.
   
   
2. Tragen Sie zusammen, wer berechtigt ist, an Druckern, Kopierern oder Multifunktionsgeräten Ausdrucke oder Datenübertragungen vorzunehmen.
   
   
3. Halten Sie fest, wie hoch der Schutzbedarf personenbezogener Daten ist, die über Drucker, Kopierer oder Multifunktionsgeräte ausgedruckt werden.
   
   
4. Prüfen Sie für jedes einzelne Gerät: Sind die gegebenen Schutzmaßnahmen ausreichend oder besteht die Gefahr, dass es zu Schutzverletzungen kommt?
   
   
5. Ermitteln Sie, ob die Geräte so aufgestellt sind oder werden können, dass nur befugte Personen Zugriff auf diese Geräte haben, beispielsweise über ein angemessenes Schließsystem.
   
   
6. Finden Sie heraus, ob technisch oder organisatorisch geregelt ist, dass Drucker, Kopierer und Multifunktionsgeräte erst drucken, wenn sich die berechtigte Person authentifiziert hat, beispielsweise durch eine PIN-Nummer.
   
   
7. Prüfen Sie, ob Geräte mindestens so eingestellt sind, dass Ausdrucke zumindest mit dem Druckbild nach unten ausgegeben werden.
   
   
8. Prüfen Sie, neben dem Drucker, Kopierer oder Multifunktionsgerät oder in unmittelbarer Nähe eine Möglichkeit zur sicheren Entsorgung von Unterlagen einzurichten (etwa einen Partikel-Schredder oder eine Datentonne).
   
   
9. Stellen Sie sicher, dass für jeden Drucker, Kopierer und jedes Multifunktionsgerät eine verantwortliche Person benannt ist, die grundsätzlich in der Nähe des Gerätes ist. Benennen Sie etwaige Stellvertreter.
   
   
10. Treffen Sie verbindliche Regelungen, wie mit „vergessenen“ und fehlgeleiteten Ausdrucken umzugehen ist.
    
    
11. Führen Sie regelmäßig Sichtprüfungen durch, ob die Sicherheitsmaßnahmen ausreichen oder ob es trotz der Maßnahmen zu Datenschutzverletzungen kommen kann.
    
    
12. Prüfen Sie, ob alle zur Nutzung von Druckern, Kopierern und Multifunktionsgeräten berechtigten Personen eine angemessene Einweisung in ihre Tätigkeit und den Umgang mit Druckunterlagen erhalten haben.
    
    
13. Stellen Sie sicher, dass alle betroffenen Mitarbeitenden regelmäßige Auffrischungsschulungen erhalten, in denen sie auf die Gefährdung unbefugter Zugriffe auf personenbezogene Daten im Zusammenhang mit Druckern und anderen Geräten hingewiesen werden.

Die Kernfrage lautet also: Haben Sie sichergestellt, dass es im Zusammenhang mit Druckern, Kopierern und Multifunktionsgeräten nicht zu Schutzverletzungen personenbezogener Daten durch unbefugte Zugriffe kommen kann?

Ich wünsche viel Erfolg beim Umsetzen!