Wenn Verborgenes für Unbefugte sichtbar wird – Vorsicht bei der Weitergabe von Excel-Dateien

Was Excel bietet

Es dürfte wenige Office-Anwendungen geben, bei denen sich die Geister scheiden wie an Excel. Die Arbeit mit dem Kalkulationsprogramm liegt nicht jedem – ist aber bei richtiger Anwendung sehr effizient. Die einen lieben Excel, erstellen Sheets mit 30 und mehr Spalten sowie Hunderten von Zeilen und finden darin auf Anhieb alle Daten, die sie jemals eingetragen haben. Die anderen fühlen sich schon überfordert, wenn sie mehr als drei Spalten mit Daten nebeneinander haben, und verlieren leicht den Überblick.

Unbestritten kann man mit Excel wahre Wunderdinge tun. Komplexe Zusammenhänge lassen sich durch strukturierte Darstellung von Zahlenwerten und Berechnungen anschaulich und plausibel machen. Außerdem kann man die Zahlen selektiv in Grafiken bildlich darstellen. Wer möchte, kann auch die Werte in einer anderen App aus dem Microsoft-365-Universum, etwa Power BI, noch schöner darstellen. Daher wird Excel, auch wenn viele es als schwierig wahrnehmen, gerne für die einfache Darstellung komplexer Zusammenhänge verwendet.

Ausgeblendete Daten in Excel

Wenn man will, kann man in Excel einzelne Spalten und Zeilen ausblenden, wenn diese zwar für die Berechnung, nicht aber für das Verständnis des Ergebnisses wichtig sind. Dann hat man einen Kompromiss erzielt aus der komplexen Analyse einerseits und der übersichtlichen Darstellung andererseits. Der Haken an der Sache: Ausgeblendet bedeutet für viele aus den Augen, aus dem Sinn. Und eben hier liegt das Risiko. Gibt man eine solche Excel-Datei nämlich intern oder an jemanden außerhalb der Organisation weiter, können die Empfänger die nicht sichtbaren Spalten aufklappen und so die hinterlegten Daten sehen. Diese Daten sind möglicherweise Grundlage für die Berechnungen oder die vereinfachte Darstellung und wurden der Übersichtlichkeit wegen ausgeblendet – und sie enthalten möglicherweise vertrauliche oder personenbezogene Daten, die eigentlich nicht für Dritte bestimmt sind. Werden sie weitergegeben, liegt ein Verstoß gegen Informationssicherheit und Datenschutz vor. Und Letzterer kann bei der Datenschutz-Aufsichtsbehörde meldepflichtig sein.

Um das an einem Beispiel darzulegen: Gehen wir einmal davon aus, es soll für eine Betriebsversammlung eine Übersicht über den Rückgang der Krankheitstage erstellt werden. Der Chef möchte die Kolleginnen und Kollegen loben, dass die Angebote des Unternehmens zum Gesundheitsmanagement verstärkt genutzt wurden und dadurch weniger Krankheitstage zu verzeichnen waren. Für die Präsentation wurde eine Liste aller beschäftigten Personen erstellt, wobei die Spalte mit den jeweiligen einzelnen Krankheitstagen ausgeblendet wurde und nur das Ergebnis aller beschäftigten Personen insgesamt als Zahl zu sehen ist. Wer die ausgeblendeten Daten allerdings aufklappt und sichtbar macht, kann im Detail erkennen, wie viele Krankheitstage bei den einzelnen Beschäftigten zu verzeichnen waren – sieht also plötzlich Gesundheitsdaten. Und das ist im Sinne des Datenschutzes ebenso wie der Informationssicherheit eine unbefugte Weitergabe geschützter Daten.

Was passiert, wenn man vertrauliche Dateien in Excel weitergibt?

Wo ist das Risiko? Wenn Excel-Dateien mit verborgenen Spalten oder Zeilen an Dritte übermittelt werden, gibt es drei grundsätzliche Risiken. Da ist zum einen das Risiko, dass die verborgenen Spalten oder Zeilen personenbezogene Daten enthalten, die den unbefugten Empfänger der Datei nichts angehen. Hier liegt eine datenschutzrechtliche Schutzverletzung vor. Das zählt als unbefugte Offenlegung und als unbefugter Zugang zu personenbezogenen Daten.

Dazu besteht das Risiko, dass in den verborgenen Spalten oder Zeilen andere vertrauliche Informationen enthalten sind, die nicht in die Hände Dritter gelangen dürfen. Man stelle sich hier eine Datei vor, die alle Kunden sichtbar auflistet sowie in einer verborgenen Spalte die unterschiedlichen Rabatte, die die einzelnen Kunden erhalten haben. Ziel ist es, den Umsatz bei insgesamt gegebenen Rabatten darzustellen. Wenn nun diese Datei an Kunden weitergegeben würde und diese die verborgene Spalte öffnen, kann man sich die folgenden Diskussionen lebhaft vorstellen – ebenso wie den drohenden Kundenverlust.

Ein drittes Risiko ergibt sich, wenn etwa im Rahmen der Auftragsverarbeitung Leistungszeiten in einer Excel-Datei festgehalten sind, zu deren Berechnung eine verborgene Spalte vertrauliche Daten bereithält. Beinhaltet der Vertrag über Auftragsverarbeitung eine Konventionalstrafe für den Fall, dass die geschützten Daten in unbefugte Hände gelangen, wäre diese in dem Moment fällig, da diese Datei an Unbefugte weitergeleitet wird.

Datenschutz-Meldepflicht nach Weitergabe einer Excel-Datei

Werden personenbezogene Daten unbefugt an Dritte übermittelt und es kann nicht ausgeschlossen werden, dass dadurch ein Risiko für die Rechte und Freiheiten betroffener Personen entsteht, ist nach Artikel 33 der Datenschutz-Grundverordnung binnen 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde fällig. Werden verborgene Excel-Spalten oder Zeilen ungeschützt übermittelt, kann das aus Sicht des Datenschutzes also weitreichende Folgen haben.

Um einer möglicherweise bestehenden Meldepflicht nachkommen zu können, muss der Verstoß zunächst bemerkt werden. Das bedeutet, dass alle Excel-Nutzer diese Gefährdung kennen und auch darüber Bescheid wissen sollten, dass sie im Fall einer unüberlegten Weiterleitung diesen Vorfall intern auf dem üblichen Meldeweg weitergeben. Dann kann geprüft werden, ob eine Meldung an die Aufsichtsbehörde für den Datenschutz erforderlich ist. Falls sie erforderlich ist, muss die Meldung binnen 72 Stunden erfolgen. Sollte in diesem Zeitraum nicht abschließend geklärt werden können, dass die Meldung unnötig ist, muss zunächst eine vorsorgliche Meldung innerhalb der vorgegebenen 72 Stunden erfolgen. Natürlich sollte entsprechend ebenso die Gefährdung an sich Gegenstand in Datenschutzunterweisungen sein, zumindest bei all jenen Beschäftigten, die Excel nutzen.

Tipps, um die Weitergabe von vertraulichen Daten mit Excel zu verhindern

• Prüfen, ob die hier geschilderte Gefährdung im Unternehmen oder Betrieb überhaupt besteht. Wenn ja: Eintrittswahrscheinlichkeit und mögliche Schadenshöhe bewerten.
• Sicherstellen, dass die Verantwortlichen für die Prozesse mit entsprechenden Excel-Dateien in den Prüfprozess eingebunden werden.
• Prüfen, ob Excel-Dateien im Excel-Format übermittelt werden müssen oder ob eine Übersendung als PDF genügt. Im zweiten Fall sicherstellen, dass der Versand von Excel-Dateien in einem Format erfolgt, das die verborgenen Spalten und Zeilen nicht mehr sichtbar machen kann.
• Auch bei der internen Weiterleitung prüfen, ob verborgene Spalten und Zeilen sichtbar gemacht werden dürfen. Wenn nicht, auch hier sicherstellen, dass eine Weiterleitung auch intern nur über ein anderes unkritisches Format erfolgen darf.
• Sicherstellen, dass dies auch für ältere Dateien geprüft wird – beispielsweise, dass in keinem Fall mehr Dateien im Format Excel 2003 im Einsatz sind.
• Alle Nutzer von Excel dahingehend sensibilisieren, dass verborgene Spalten und Zeilen bei unüberlegter Weiterleitung sichtbar gemacht werden können.

Und die Kernfrage: Kann ausgeschlossen werden, dass Excel-Dateien mit verborgenen Spalten oder Zeilen versendet werden, ohne dass geprüft wurde, ob hier personenbezogene Daten oder anderweitig schützenswerte Informationen enthalten sind?

Wir wünschen erfolgreiche Arbeit mit Excel!