Wie Notizen und Kommentare in PowerPoint Vertrauliches verraten

Vertrauliches in PowerPoint

Für die Erstellung und das Vorführen von Präsentationen ist Microsoft PowerPoint das mit Abstand am häufigsten genutzte Programm. Was viele jedoch nicht wissen: Bei der Weitergabe einer Präsentation werden Daten übermittelt, die nicht immer direkt sichtbar sind oder bei denen man nicht daran denkt, dass möglicherweise Informationen oder personenbezogene Daten enthalten sind, die die Empfänger eigentlich nichts angehen.

Nicht selten sind an der Erstellung einer Präsentation mehrere Personen oder Geschäftsbereiche beteiligt. Das ist besonders häufig der Fall, wenn grundsätzliche Präsentationen von der Leitungsebene eines Unternehmens oder einer Institution vorgeführt werden sollen. Dann werden besonders gerne zwei bequeme Funktionen von PowerPoint genutzt, die solche Abläufe unterstützen.

Dies sind zum einen Kommentare, die von jenen angebracht werden, die die Präsentation prüfen sollen und hierzu Anmerkungen einfließen lassen. Zum anderen lassen sich zu Folien Notizen einpflegen, die für die präsentierende Person sichtbar sind und als Hilfe für einen flüssigen Vortrag dienen sollen.

Wenn die vorgeführte Präsentation versendet wird, müssen sich die Beteiligten darüber im Klaren sein, dass sowohl die Kommentare als auch die Notizen in der Präsentation mit übermittelt werden und damit für unbefugte Personen sichtbar gemacht werden können. Daher gilt es, vor dem Versand zu prüfen, ob in Kommentaren oder Notizen eventuell personenbezogene oder geschützte Informationen enthalten sind, die nicht nach außen gelangen dürfen oder sogar intern geschützt sind.

Was Kommentare und Notizen in PowerPoint verraten

Anhand von Kommentaren können Dritte beispielsweise erkennen, wer alles am Thema der Präsentation mitgearbeitet hat. Das kann für Externe unter anderem interessant sein, da dabei die Struktur von zusammenarbeitenden Geschäftsbereichen erkennbar werden kann. So könnten beispielsweise Grundlagen für Abwerbungen entstehen. Es könnten aber auch kritische Anmerkungen darunter sein, die auf problematische Informationen hinweisen, die ebenfalls nicht für Dritte gedacht sind.

Bei Notizen können ebenfalls zusätzliche Informationen enthalten sein, die zwar für die Präsentatoren Erläuterungen bieten, damit diese Sachverhalte flüssig und interessant darstellen können, die aber grundsätzlich auf Interna oder auf beteiligte Personen verweisen. Auch hier muss vor dem Versand der Datei geprüft werden, ob diese Informationen überhaupt nach außen weitergeleitet werden dürfen.

Personenbezogene Daten, Know-how, Konventionalstrafen und mehr

Wo liegt das Risiko? Wenn aufgrund von versendeten PowerPoint-Präsentationen Notizen oder Kommentare mit versendet werden, bei denen personenbezogene oder anderweitig geschützte Informationen übermittelt werden, liegen Verletzungen des Datenschutzes oder der Informationssicherheit vor. Außerdem können sowohl in Notizen als auch in Kommentaren Geschäftsgeheimnisse enthalten sein oder Formulierungen auf solche schließen lassen.

Ein Risiko liegt also darin, dass in Notizen als Unterstützung für die vortragende Person Hinweise auf Namen, geschützte Daten, Tatbestände oder Geschäftsgeheimnisse vorliegen können. Ein zweites Risiko besteht darin, dass in Kommentaren interne Informationen zu Personen, anderen geschützten Daten und möglicherweise zu Geschäftsgeheimnissen enthalten sind. Gerade in Kommentaren weist der Verfasser manchmal explizit darauf hin, dass bestimmte Informationen nicht weitergegeben werden dürfen. Wenn diese dann doch weitergegeben werden, ist das mindestens peinlich.

Ein drittes Risiko entsteht, wenn Daten im Rahmen einer Auftragsverarbeitung als Auftragsverarbeiter zwar intern behandelt und besprochen werden müssen, aber nicht an Dritte weitergegeben werden dürfen. Ist hier im Falle eines Verstoßes eine Konventionalstrafe vereinbart, besteht das finanzielle Risiko dieser Strafe ebenso wie das eines möglichen Auftragsverlusts.

Weitere Risiken können entstehen, wenn Warnhinweise auf interne Abläufe Bezug nehmen, deren Bekanntwerden zu Imageverlusten führen kann. Die Aufzählung der Risiken ist nicht abschließend, weitere können jederzeit entstehen.

Datenschutz-Meldepflicht durch Weitergabe einer PowerPoint-Präsentation

Werden personenbezogene Daten unbefugt an Dritte übermittelt und es lässt sich nicht ausschließen, dass dadurch ein Risiko für die Rechte und Freiheiten betroffener Personen entsteht, ist nach Artikel 33 DSGVO binnen 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde fällig. Werden also Notizen oder Kommentare aus PowerPoint-Präsentationen übermittelt und können von unbefugten Empfängern eingesehen werden, berührt das den Datenschutz.

Damit eine möglicherweise erforderliche Meldung auch tatsächlich erfolgen kann, muss die Gefährdung den Nutzern von PowerPoint überhaupt bewusst sein. Das bedeutet, dass alle PowerPoint-Nutzer diese Gefährdung kennen und auch darüber Bescheid wissen, dass sie im Fall einer unüberlegten Weiterleitung diesen Vorfall intern auf dem üblichen Meldeweg weitergeben. So kann geprüft werden, ob eine Meldung an die Datenschutz-Aufsichtsbehörde erforderlich ist oder nicht. Falls ja, muss sie binnen 72 Stunden erfolgen. Sollte nicht abschließend geklärt werden können, dass die Meldung unnötig ist, sollte innerhalb der vorgegebenen 72 Stunden eine vorsorgliche Meldung erfolgen. Die Gefährdung an sich sollte Gegenstand von Datenschutzunterweisungen sein, zumindest bei jenen, die PowerPoint nutzen.

Eine Möglichkeit zur „Entschärfung“ von Office-Dateien besteht grundsätzlich darin, sie zu einer PDF-Datei umzuwandeln und als solche zu versenden. Diese Möglichkeit hilft allerdings nur, wenn Kommentare nicht sichtbar sind. Für die Unterdrückung von Notizen ist dies nicht geeignet.

Tipps, um Datenpannen mit PowerPoint zu verhindern

• Prüfen, ob die hier geschilderte Gefährdung im Unternehmen oder Betrieb ein Risiko ist. Wenn ja: Eintrittswahrscheinlichkeit und mögliche Schadenshöhe bewerten. Mit dem Geschäftsbereich Risikomanagement (soweit vorhanden) absprechen.
• Sicherstellen, dass die Verantwortlichen für die Prozesse mit entsprechenden PowerPoint-Dateien in den Prüfprozess eingebunden werden.
• Soweit erforderlich und möglich: sicherstellen, dass vor dem Versand von PowerPoint-Dateien geprüft wird, ob verfängliche Inhalte von Notizen oder Kommentaren verlässlich entfernt wurden oder gar nicht erst vorhanden sind.
• Auch für interne Weiterleitungen prüfen, ob heikle Inhalte aus Kommentaren und Notizen entfernt wurden oder gar nicht erst vorhanden sind.
• Sicherstellen, dass ältere Dateien geprüft werden – beispielsweise, dass in keinem Fall mehr Dateien im Format PowerPoint 2003 oder älter im Einsatz sind. Der Grund: Hier können Makros eingespielt sein oder werden, die ihrerseits Gefährdungen für Datenschutz und Informationssicherheit mit sich bringen.
• Soweit erforderlich alle Nutzer von PowerPoint hinsichtlich der Gefährdung sensibilisieren, dass Notizen und Kommentare mit vertraulichen Inhalten Bestandteil der Präsentation sein und unerlaubt weitergereicht werden können.
• Am besten ist es, den Versand von PowerPoint-Präsentationen ausschließlich über eine zentrale Stelle zuzulassen, die vor dem Versand systematisch prüft, ob in Notizen und Kommentaren vertrauliche oder geschützte Inhalte enthalten sind.

Und die Kernfrage: Werden PowerPoint-Präsentationen vor dem Versand intern oder an Dritte zuverlässig auf Notizen oder Kommentare mit personenbezogenen oder anderweitig schützenswerten Daten geprüft und diese vor dem Senden entfernt?


Wir wünschen erfolgreiche Arbeit mit PowerPoint!