Blog-Layout

Tipps, wie Unternehmen Metadaten in Word sicher regeln

Eberhard Häcker • 19. Mai 2021

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Frau am Computer am Schreibtisch

Verräterische Metadaten in Word


Dokumente in Microsoft Word verraten mitunter mehr, als manchem bewusst ist. Und mehr, als manchem lieb sein dürfte. Verfasser, Datum der Erstellung, letzte Bearbeitung – Metadaten können überaus aufschlussreich sein. Beispiel gefällig? Jemand schickte mir ein Word-Dokument, in dem mir der Text einerseits bekannt und andererseits seltsam vorkam. Es handelte sich um eine Stellungnahme zu einem Löschkonzept. Mein erster Gedanke: Das kennst du doch! Entweder hast du es selbst geschrieben oder schon mehrfach gelesen.


Das wollte ich genauer wissen, schließlich kann man das in Word schnell herausfinden. Also auf „Datei“, dann „Information“ und nachsehen, welche Informationen hinterlegt sind. Und tatsächlich. Bei „Erstellt“ fand sich ein Datum, das vier Jahre zurückliegt. Und beim Feld „Autor“ bestätigte sich mein Verdacht: EH, also Eberhard Häcker. Deshalb kamen mir Teile des Dokuments so bekannt vor. Allerdings die letzte Änderung stammte von meinem Mailpartner. Wie oft das Dokument bis dahin geändert wurde, war nicht mehr feststellbar. Jedenfalls das Datum der letzten Änderung war der Tag, an dem mich die Mail erreichte. Man zieht ungern voreilige Schlüsse, aber es drängte sich doch der Verdacht auf, dass irgendjemand mein Dokument als seines ausgegeben und weitergegeben hat. Und zwar mehrfach, denn es gab offenbar mehrere Änderungen, die sich unter bestimmten Umständen nachvollziehen lassen (was ich hier aber nicht vertiefen möchte). Wenn jemand ein Dokument „fälscht“, ist es doof aus Sicht des Fälschers, wenn er vergisst, den hinterlegten Autor gleich mitzufälschen.




Wer was wann wie ändern wollte


Nicht nur Angaben wie Autor und Verfasser der letzten Anpassung können vielsagend sein. Tief blicken lässt manchmal auch die Funktion „Änderungen nachverfolgen“, zumindest dann, wenn ein gemeinsam bearbeitetes Dokument nach extern versendet wird. Nicht selten nehmen an einem Dokument mehrere Mitarbeiter mehr oder weniger umfangreiche Änderungen vor. Normalerweise sollen die anschließenden Empfänger nicht mitbekommen, wer welche Änderung vorgeschlagen oder Anmerkungen eingebracht hat. Das ist nicht nur ein Thema des Datenschutzes, sondern möglicherweise auch für die Compliance interessant.


Kurz gesagt, es gibt etliche Metadaten, auch solche von beschäftigten Personen des Verantwortlichen, die streng genommen dem Datenschutz oder der Informationssicherheit unterliegen und nicht für Externe bestimmt sind. Das Problem ist aber, dass wenige sich dessen bewusst sind und darum nicht darauf achten.




Personen­bezogene Metadaten


Wo ist das Risiko? Werden einige oder alle dieser vielfältigen vertraulichen Informationen durch Unachtsamkeit über Word-Dokumente nach außen an nicht berechtigte Personen weitergeleitet, liegt aus Sicht des Datenschutzes eine Schutzverletzung vor. Schließlich gibt man damit Daten an Unbefugte. Dabei spielt es keine Rolle, ob diese Daten absichtlich oder unbewusst weitergereicht werden. Hier liegt konkret das Risiko eines meldepflichtigen Schutzverstoßes vor.


Außerdem kann ein Compliance-Verstoß vorliegen. Und handelt es sich dann noch um Daten, die einem Auftraggeber gehören, kommt womöglich eine Vertragsverletzung hinzu. In jedem Fall wirkt es sehr unprofessionell, wenn Daten übermittelt werden, bei denen Schutzverletzungen in Kauf genommen wurden.




Datenschutz­verstoß mit Metadaten in Word-Dokumenten vermeiden


Eine Verletzung des Schutzes personenbezogener Daten führt nach der DSGVO stets dazu, dass diese Schutzverletzung an die Aufsichtsbehörde für den Datenschutz gemeldet werden muss. Das gilt bei ungewollter Übermittlung von Metadaten wie überall sonst – nur dass es hier kaum jemandem bewusst ist. Die Meldepflicht entfällt, wenn durch die Übermittlung voraussichtlich kein Risiko für die Rechte und Freiheiten betroffener Personen zu erwarten ist. Normalerweise dürfte dieses Risiko bei einer ungewollten Übermittlung von Metadaten selten gegeben sein. Dennoch ist es besser, die Kolleginnen auf die Entstehung von Metadaten hinzuweisen und zu trainieren, wie man damit umgehen sollte, etwa in Mitarbeiterschulungen. Für jedes Dokument, zumindest für solche, die an Externe weitergegeben werden, sollte es eine verantwortliche Person geben. Der Dokumentenverantwortliche begleitet den Versand des Dokuments oder führt ihn eigenhändig durch, prüft vor dem Versand die Metadaten und passt sie gegebenenfalls an.




Tipps, wie Unternehmen den Umgang mit Metadaten in Word sicher regeln


  • Sicherstellen, dass Nutzer von Office-Programmen wissen, was Metadaten sind und welche die Software selbst oder ihre Anwender möglicherweise unbewusst erstellen oder erstellen können
  • Sicherstellen, dass sich Nutzerinnen von Office-Programmen bewusst sind, welche Metadaten durch die Software, in diesem Fall Word, mit übermittelt werden
  • In einem Training den beschäftigten Personen aufzeigen, welche Metadaten wie abgerufen werden können und wie sie deren Übermittlung verhindern
  • Bei Bedarf Bestimmen einer verantwortlichen Person zumindest für vertrauliche Word-Dokumente, die in den etwaigen Versand eingebunden ist
  • Anordnen, dass vor dem Versand die Metadaten zu prüfen und gegebenenfalls zu entfernen sind
  • Sicherstellen, dass alle Anwender von Word wissen, wie sie die Dokumentenprüfung aufrufen, wie sie Dateien beim Entfernen von Metadaten sichern und wie sie vertrauliche Informationen beseitigen
  • Generelle Hinweise für den Versand von Office-Dokumenten erstellen und bekanntgeben, die neben den Metadaten weitere Hinweise zur Weitergabe von Word-Dokumenten beinhalten
  • Sicherstellen, dass zumindest nach Funktions-Updates zentral geprüft wird, ob sich hinsichtlich der Metadaten etwas geändert hat, und Vornehmen der möglicherweise erforderlichen Anpassungen



Die Kernfrage: Ist sichergestellt, dass mit Word-Dateien keine ungewollten Metadaten mit vertraulichem oder schützenswertem Inhalt an Unbefugte übermittelt werden?


Wir wünschen viel Erfolg beim Schützen Ihrer Metadaten!

Bei Datenschutz-Fragen Team Datenschutz fragen.



Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Mehr zum Thema

Serverraum
von Eberhard Häcker 7. Juni 2024
Das beste Schutz gegen Angriffe auf die Unternehmens-IT ist die Härtung der Systeme – also die gezielte Absicherung von Rechnern, Servern und anderen Komponenten. Wie das geht, verrät der Datentipp!
von Eberhard Häcker 27. März 2024
Ja, auch im Kalender kann es zu Datenlecks kommen. Viele Unternehmen nutzen Kalender wie Outlook, um Termine zu organisieren. Die Schattenseite: Heikle Infos wie Namen von Bewerbenden sind schnell für Unbefugte sichtbar - wenn die Einträge nicht geschützt sind. Schnell entstehen Vertraulichkeitsprobleme und Datenschutzverletzungen. Vorkehrungen helfen gegen Zwischenfälle. Wir geben Tipps.
Hände an der Tastatur eines Laptops
von Eberhard Häcker 30. Januar 2024
Wer eine E-Mail schreibt, kann aus Sicht der DSGVO Fehler machen. Ja, mit einer einzigen Mail kann sogar gleich eine ganze Reihe an Datenschutz-Verstößen passieren. Welche das sind, zeigt der aktuelle Datentipp – zusammen mit Hintergrundinfos und Tipps, um Datenpannen in geschäftlichen E-Mails zu verhindern.
Hand mit Smartphone und Apps
von Eberhard Häcker 17. Mai 2023
Mobile Apps auf Smartphones, Tablets & Co. sind in Unternehmen Alltag. Haben Sie den Umgang damit geregelt? Wenn Mitarbeitende beliebige Apps herunterladen und installieren können, wird es heikel für Datenschutz, Informationssicherheit und Compliance. Was hilft, ist ein Mobile Device Management mit klaren Regeln. Datenschutz-Experte Eberhard Häcker gibt Tipps.
von Eberhard Häcker 25. April 2023
Endlich die E-Mail-Flut bewältigen! 4 einfache Tipps schaffen Ordnung im Postfach, sorgen für mehr Datenschutz und sparen CO2. Jetzt im neuen Datentipp.
Laptop mit eingestecktem USB-Stick
von Eberhard Häcker 13. April 2023
Daten von USB-Sticks zu löschen, ist leicht. Oder nicht? „Löschen“ klicken oder „Entfernen“ drücken geht natürlich schnell und einfach. Nur gelöscht sind die Daten damit noch lange nicht. Datenschutz-Profi Eberhard Häcker hat Tipps, wie man Daten zuverlässig und DSGVO-gerecht von Speichersticks löscht.
von Team Datenschutz 24. März 2023
Kaum mehr ein Unternehmen arbeitet ohne Cloud-Anwendungen. Microsoft OneDrive, Google Drive, Amazon Web Services sind nur wenige Beispiele. Was sollten Unternehmen im Umgang mit Cloud-Computing wissen? Welche technischen Herausforderungen bringt es mit sich und was ist in Sachen Datenschutz zu beachten?
Mitarbeiter mit Tablet, Smartphone und Kaffeetasse
von Eberhard Häcker 20. Januar 2023
In der modernen Arbeitswelt ist es völlig normal, dass mobile Geräte wie Smartphone und Tablet auch geschäftlich zum Einsatz kommen. Das bringt Risiken mit sich, die sich mit den richtigen Regelungen erheblich mindern lassen. Datenschutz-Profi Eberhard Häcker erklärt die Hintergründe und gibt Tipps.
Smartphone mit Social-Media-Apps wie YouTube, Twitter, WhatsApp, Instagram und mehr
von Team Datenschutz 8. November 2021
Die neue Rechtslage nach dem TTDSG jetzt im Webinar! Speaker Eberhard Häcker mit Lösungsansätzen und vielen Praxisbeispielen und Erfahrungen aus dem Datenschutzalltag. Anmelden!
Erde mit verknüpften Daten
von Team Datenschutz 19. August 2021
Sind in PowerPoint-Dateien dynamisch Excel-Daten verknüpft, kann es bei der Weitergabe zu Datenpannen kommen. Tipps, wie man sich wappnet.
von Team Datenschutz 23. Dezember 2024
Heute ist Heiligabend und Eberhard und DATSIPrUse besinnen sich darauf, was wirklich zählt: Frieden, Freundlichkeit und das Achten aufeinander. Darum erzählt Eberhard heute eine herzerwärmende Weihnachtsgeschichte über ein Mädchen und einen Drachen und ein ganz besonderes Weihnachtsgeschenk. Viel Freude mit dem letzten Türchen, zauberhafte Weihnachten und viele freudige Begegnungen voller Güte und Herzlichkeit!
von Team Datenschutz 22. Dezember 2024
Weihnachtszeit ist eine ganz besondere Zeit voller Vorfreude auf die Feiertage. Aber leider ist sie für viele auch eine sehr hektische Zeit, Projekte müssen abgeschlossen werden und es gibt so viel vorzubereiten. Schnell kommt sogar der nette Austausch mit den Kollegen zu kurz. Darum erzählt Eberhard wieder eine weihnachtliche Geschichte über ein Unternehmen im größten Weihnachtsstress und was die Mitarbeitenden daraus gemacht haben …
von Team Datenschutz 21. Dezember 2024
In vielen Unternehmen gibt es „Lost places“ – diese ominösen Orte, die oft ein bisschen vernachlässigt werden und wo sich im Lauf der Zeit allerlei ansammelt. Was sagt der Datenschutz dazu? DATSIPrUse wünscht sich eine Geschichte und Eberhard hat natürlich eine – und zwar darüber, dass Anstrengung in Sachen Datenschutz manchmal tatsächlich Früchte trägt …
von Team Datenschutz 20. Dezember 2024
In Unternehmen gibt es ja allerhand Regeln, an die sich die Mitarbeitenden halten sollen. DATSIPrUse interessiert sich für Richtlinien, Arbeitsanweisungen und andere Dokumente, damit alles reibungslos läuft. Wie regelt man das und wie findet man heraus, ob das alles auch klappt? Eberhard erklärt, was ein Qualitätsmanagementbeauftragter tut – und was sich die Kollegen so ausdenken, wenn der die Frau fürs Leben findet …
von Team Datenschutz 19. Dezember 2024
Heute schlüpfen Eberhard und DATSIPrUse in die Rolle von Detektiven. Ja, auch das zählt manchmal zum Job von Datenschutzbeauftragten. Denn wer Daten schützen will, sollte die Unterlagen im Unternehmen im Blick haben – auch, wenn sie aus unerfindlichen Gründen herrenlos geworden sind …
von Team Datenschutz 18. Dezember 2024
Drucker als unschuldig aussehende Datenspione? Unter manchen Umständen schon. DATSIPrUse denkt über moderne Drucker nach, vor allem die in der Produktion, und erfährt mehr über die Herausforderungen mit OT-Geräten. Aber Eberhard wäre nicht Eberhard, wenn er nicht gleich ein paar Tipps auf Lager hätte und natürlich die passende Geschichte …
von Team Datenschutz 17. Dezember 2024
Heute unterhalten sich Eberhard und DATSIPrUse über Drucker. Bei Druckern kann doch aus Datenschutzsicht nun wirklich nicht viel schiefgehen, oder? Leider doch. Eberhard erklärt, warum man auch bei Druckern aufpassen muss und wie man das am besten anfängt. Und dazu gibt’s natürlich eine weitere weihnachtliche Geschichte aus dem Datenschutzalltag!
von Team Datenschutz 16. Dezember 2024
Heute geht es um Besucher, die überhaupt nicht da sein dürften. Klappt das mit der Zutrittskontrolle? Wie gehen die Mitarbeitenden um mit jemandem, der sich unauffällig Zutritt verschaffen will? Hoffentlich sind alle aufmerksam und wissen, was zu tun ist. Eberhard macht das Ganze gleich mit einem praktischen Beispiel deutlich und DATSIPrUse lernt wieder etwas dazu!
von Team Datenschutz 15. Dezember 2024
In Unternehmen kann es zu Situationen kommen, in denen man den Strom komplett abschalten muss. Umgekehrt muss unter normalen Umständen die Stromversorgung gesichert sein, um dem Datenschutz gerecht zu werden. Da DATSIPrUse wieder mal neugierig ist und immer gerne Geschichten hört, erzählt Eberhard von einem Unternehmen, wo das mit der zentralen Stromversorgung so eine Sache war …
Mehr anzeigen
Share by: