Ja, der Datenschutz gilt auch für personenbezogene Daten in Papierform! Notizzettel, Briefe, Formulare, originale Verträge, Bilder, Telefonregister, Rechnungen, Karteikarten, Personalakten – alle diese Formate sind so zu schützen, damit kein Unfug damit gemacht werden kann. Im Offline-Bereich entstehen täglich viele Aufzeichnungen personenbezogener Daten auf Papier. Ein Kunde ruft an, seine Daten werden aufgenommen (geschrieben auf ein Stück Papier), ein Kunde bestellt einen Artikel und füllt ein Bestellformular aus …
Das Datenschutzgesetz regelt jede Verarbeitung personenbezogener Daten. Das Format ist davon nicht betroffen. Man denkt in erster Linie an elektronische Formate, aber Daten auf Papier sind genauso brisant, wenn sie offen zugänglich sind oder in der Papierabfuhr am Strassenrand entsorgt werden. Ich bin der Meinung, dass der Datenverarbeitung in physischer Form in der ganzen Diskussion viel zu wenig Aufmerksamkeit geschenkt wird. Als Beispiel diene ein Dienstleistungsbetrieb wie „Steuerberatung“. Hier entstehen täglich viele Datensätze mit personenbezogenen Daten. Viele Dienstleistungsbetriebe sind auch Auftragsverarbeiter physischer Datensätze (Archivierung, Aktenvernichtung, Lieferungsservice) und brauchen eine funktionierende Infrastruktur, um den Verpflichtungen in vollem Umfang gerecht zu werden. Eine gute Auflistung wo und wie personenbezogene Daten in physischer Form entstehen verschafft den Überblick.
Die Einwilligungen, die in Papierform gemacht werden, müssen besonders aufgehoben werden. Man braucht diese vielleicht später einmal zum Nachweis! Die Einwilligung zur Verarbeitung personenbezogener Daten kann schriftlich, elektronisch oder mündlich erteilt werden. Aufgrund der Nachweispflicht muss die Einwilligung aufgezeichnet sein. Für eine mündliche Einwilligung kann es ein Tondokument, für die schriftliche ein Formblatt mit Unterschrift und elektronisch ein Logfile oder Bestätigungsnachweis.
In vielen Fällen ist es ratsam, dass der Kunde das jeweilige Formular selbst ausfüllt. Er erhält das Formular und lässt kreuzt die Einwilligung an. Mit dem Ankreuzen bestätigt er die Einwilligung und alle damit verbundenen Rechte, Grundsätze und Verpflichtungen (siehe Einwilligung). Dann füllt er alles aus und wir haben die Daten mehr oder weniger „rechtssicher“ erhalten. Dadurch, dass der Betroffene die Daten selbst ausgefüllt hat, ist auch die Freiwilligkeit nachgewiesen. Als Beispiele können Messeprotokolle, Teilnahmeverzeichnisse oder Präsenzlisten gelten. Ein Hinweis am Rande: Wenn personenbezogene Daten auf Notizzettel (Telefonmitteilung, Gesprächsnotizen) erfasst werden, ist sicherzustellen, dass diese zeitgerecht verarbeitet und dann vernichtet werden (schredding). Wir möchten ja nicht in die Verlegenheit kommen, dass diese Zettel irgendwo auftauchen, oder verloren gehen.
Achten Sie deshalb auf sorgfältigen Umgang mit Telefonlisten, Kundenlisten, interne Informationen (Herr „Name“ mit der Telefonnummer fragt nach X), Karteikarten, Zentralakten, Verträge, Datenerfassungsblätter, Patientenkartei (oft ein Thema bei Ärzten, die die Patientenakten gerne bei der Rezeption haben) und Ähnliches. Achten Sie darauf, dass nur befugtes Personal Zugang dazu hat und nichts herumliegt. Wenn wir z.B. eine Kundenliste verlegen und sie nicht mehr wiederfinden, müssten wir eigentlich die Datenschutz-Behörde bereits darüber informieren. Die «Papier-Akten» werden gerne unterschätzt. Viele Dienstleister arbeiten mit einem CRM oder einem ERP und erheben oder benutzen teilweise Daten mittels physischer Akten. Diese sind durch sichere Aufbewahrung, Zugangskontrollen und ordnungsgemässe Entsorgung sicher zu verwahren. Auch eine «Clean-desk»-Politik im Unternehmen würdet zu solchen Massnahmen gehören.