Kurzgutachten:

• Rezertifizierung 2014
• Rezertifizierung 2011
• Erstzertifizierung 2006
  (Textversion nachfolgend)

Kurzgutachten
recall Deutschland GmbH & Co. KG 
(seit 1.1.2006: recall Deutschland GmbH)

Zeitpunkt der Prüfung

17. Juni 2005 – 31. Juni 2006

Adresse des Antragstellers

recall Deutschland GmbH & Co. KG

Niederlassung Hamburg
Gutenbergstrasse 55
22525 Hamburg

 

Adresse der Sachverständigen

Rechtsanwalt Stephan Hansen-Oest

Speicherlinie 40
24937 Flensburg
sh@datenschutzkontor.de

Dipl. Inf. (FH) Andreas Bethke

An de Au 6
25548 Mühlenbarbek
ab@datenschutzkontor.de

Kurzbezeichnung

Das Verfahren der Firma recall Deutschland GmbH & Co. KG - Niederlassung Hamburg - (nachfolgend Recall genannt) bietet im Rahmen eines Auftrages zur Akteneinlagerung sowohl die reine Archivierung von Akten als auch das Bereitstellen einer externen Akten-/Archivhaltung, bei der der Kunde einzelne Akten oder Akteninhalte von Recall nach einem bestimmten Verfahrensablauf anfordern kann. Recall bietet je nach Schutzbedarf der Daten verschiedene Verfahrensarten an. Grundsätzlich ist auch die Einlagerung/Archivhaltung von Daten von Berufsgeheimnisträgern möglich.

Detaillierte Bezeichnung

Für die Einlagerung/Archivhaltung von Akten durch Recall bestehen verschiedene vom Schutzbedarf abhängige Verfahrensabläufe:

Neben der reinen Einlagerung von Behältnissen (i.d.R. Kartons mit Akten), bei der der Kunde/Auftraggeber den Auftrag zur Einlagerung erteilt, das Vernichtungsdatum vorgibt und schriftlich festlegt, welche Personen zur Anforderung des jeweiligen mit einem Barcode versehenen Behältnisses berechtigt sind, besteht auch die Möglichkeit Aktenbehältnisse einzulagern und diese mit Inhaltsangaben zu versehen. Die Daten werden für Zwecke der Zugriffssteuerung elektronisch verarbeitet. Auf diese Weise kann der Kunde/Auftraggeber gezielt nur einzelne Dokumente bei Recall anfordern.

Die Einlagerung/Archivhaltung von Daten mit hohem Schutzniveau erfolgt in einem besonderen Verfahren. Durch die Versiegelung von Behältnissen und der Wiederversiegelung nach Anforderung von Behältnissen oder Akteninhalten und dem Transport in speziellen Schließbehältern zum Kunden/Auftraggeber wird durchweg ein hoher Schutz der von der jeweils verantwortlichen Stelle verarbeiteten personenbezogenen Daten gewährleistet.

Bei der Einlagerung/Archivhaltung von Daten von Berufsgeheimnisträgern werden nicht nur die Aktenbehältnisse, sondern jede einzelne Akte von der verantwortlichen Stelle selbst mit Siegeln von Recall versehen. Der Berufsgeheimnisträger erhält dabei besondere Hinweise zur Versiegelung der Akten, die ein unbefugte Offenbarung von Daten von vornherein verhindern helfen soll. Jede versiegelte Akte erhält einen Barcode, der die schnelle Auffindbarkeit im Archiv von Recall ermöglicht. Durch die Versiegelung der Behältnisse, der Verwendung von Schließbehältern und besondere organisatorische Maßnahmen wird gewährleistet, dass eine unbefugte Offenbarung von Daten, die einem Berufsgeheimnis unterliegen (z.B. der ärztlichen Schweigepflicht), nicht erfolgt. Der Berufsgeheimnisträger legt schriftlich fest, welche Personen welche Akten anfordern dürfen. Neben seiner eigenen Person werden dies regelmäßig sog. berufsmäßig tätige Gehilfen i.S.d. § 203 StGB sein. Die Auslieferung erfolgt ausschließlich nach dieser Autorisierung.

Die Anforderung von Akten kann bei allen im Einsatz befindlichen Verfahren schriftlich oder über ein Internetportal erfolgen. Recall empfiehlt seinen Kunden ausdrücklich, die Anforderung von Akten schriftlich durchzuführen. Die Anforderung von Akten über das Internetportal war  nicht Gegenstand der Prüfung und ist damit auch nicht Zertifizierungsgegenstand. Die Auslieferung von Akten und Akteninhalt erfolgt nur an zuvor vom Auftraggeber/Kunden autorisierte Personen.

Tools, die zur Herstellung des IT-Produktes verwendet wurden

Zweck und Einsatzbereich

Der Zweck und Einsatzbereich des Verfahrens ist die Aufbewahrung von Daten von verantwortliche Stellen sowie die spätere Anforderung der Daten von der selben Stelle.
Das Verfahren kann grundsätzlich sowohl im Bereich der öffentlichen Verwaltung wie auch im nichtöffentlichen Sektor eingesetzt werden.
Das Verfahren ist auch zur Nutzung durch öffentliche Stellen des Landes Schleswig-Holstein geeignet.

Modellierung des Datenflusses

In den Ablaufdiagrammen im Folgenden werden die Fälle für die Ein- und Auslagerung für Daten mit hohem Schutzniveau und Daten von Berufsgeheimnisträgern dargestellt.

Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Anforderungskatalog Version 1.2

Zusammenfassung der Prüfungsergebnisse

Das Einlagerungsverfahren der Firma „recall“ ist im Wesentlichen als vorbildlich zu bezeichnen.
Durch verschiedene Maßnahmen, wie den geregelten und streng kontrollierten Zugang zum Gelände und den einzelnen Räumen von Recall, kann von einer vorbildlichen Umsetzung im Bereich der Zugangskontrollen im Sinne des § 5 Abs. 1 Nr. 1 LDSG gesprochen werden.
Zur Unterstützung der Sicherstellung einer ordnungsgemäßen Datenverarbeitung wird eine  elektronische Videoüberwachung eingesetzt. Dabei werden die gesetzlichen Vorgaben vorbildlich umgesetzt. 
Vorbildlich ist auch das Einlagerungsverfahren für Daten mit besonderem Schutzniveau. Hier sorgt die konkrete Ausgestaltung der Einlagerung dafür, dass keine bzw. nur so wenige Personen wie nötig Kenntnis von personenbezogenen Daten erlangen können.
Die Einlagerung von Akten von Berufsgeheimnisträgern ist als adäquat zu bewerten. Die Ausgestaltung des Verfahrens selbst ist zwar grundsätzlich vorbildlich. Da organisatorische Maßnahmen zum Schutz personenbezogener Daten jedoch letztendlich nicht absolut sicherstellen können, dass z.B. ein Mitarbeiter Kenntnis von Daten erlangt, die einem Berufsgeheimnis unterliegen, konnte eine Bewertung dieses Verfahrens als vorbildlich nicht erfolgen.

Beschreibung, wie das IT-Produkt den Datenschutz fördert

Das Verfahren von Recall unterstützt die datenschutzkonforme Einlagerung und externe Archivhaltung von Unterlagen mit personenbezogenen Daten in Papierform. Dabei sind technische und organisatorische Maßnahmen durch Recall getroffen worden, die gewährleisten, dass auch Daten mit hohem Schutzniveau und Daten von Berufsgeheimnisträgern bei der Einlagerung vor der unbefugten Kenntnisnahme Dritter geschützt sind.