Tipps, wie Unternehmen Metadaten in Word sicher regeln

Verräterische Metadaten in Word

Dokumente in Microsoft Word verraten mitunter mehr, als manchem bewusst ist. Und mehr, als manchem lieb sein dürfte. Verfasser, Datum der Erstellung, letzte Bearbeitung – Metadaten können überaus aufschlussreich sein. Beispiel gefällig? Jemand schickte mir ein Word-Dokument, in dem mir der Text einerseits bekannt und andererseits seltsam vorkam. Es handelte sich um eine Stellungnahme zu einem Löschkonzept. Mein erster Gedanke: Das kennst du doch! Entweder hast du es selbst geschrieben oder schon mehrfach gelesen.

Das wollte ich genauer wissen, schließlich kann man das in Word schnell herausfinden. Also auf „Datei“, dann „Information“ und nachsehen, welche Informationen hinterlegt sind. Und tatsächlich. Bei „Erstellt“ fand sich ein Datum, das vier Jahre zurückliegt. Und beim Feld „Autor“ bestätigte sich mein Verdacht: EH, also Eberhard Häcker. Deshalb kamen mir Teile des Dokuments so bekannt vor. Allerdings die letzte Änderung stammte von meinem Mailpartner. Wie oft das Dokument bis dahin geändert wurde, war nicht mehr feststellbar. Jedenfalls das Datum der letzten Änderung war der Tag, an dem mich die Mail erreichte. Man zieht ungern voreilige Schlüsse, aber es drängte sich doch der Verdacht auf, dass irgendjemand mein Dokument als seines ausgegeben und weitergegeben hat. Und zwar mehrfach, denn es gab offenbar mehrere Änderungen, die sich unter bestimmten Umständen nachvollziehen lassen (was ich hier aber nicht vertiefen möchte). Wenn jemand ein Dokument „fälscht“, ist es doof aus Sicht des Fälschers, wenn er vergisst, den hinterlegten Autor gleich mitzufälschen.

Wer was wann wie ändern wollte

Nicht nur Angaben wie Autor und Verfasser der letzten Anpassung können vielsagend sein. Tief blicken lässt manchmal auch die Funktion „Änderungen nachverfolgen“, zumindest dann, wenn ein gemeinsam bearbeitetes Dokument nach extern versendet wird. Nicht selten nehmen an einem Dokument mehrere Mitarbeiter mehr oder weniger umfangreiche Änderungen vor. Normalerweise sollen die anschließenden Empfänger nicht mitbekommen, wer welche Änderung vorgeschlagen oder Anmerkungen eingebracht hat. Das ist nicht nur ein Thema des Datenschutzes, sondern möglicherweise auch für die Compliance interessant.

Kurz gesagt, es gibt etliche Metadaten, auch solche von beschäftigten Personen des Verantwortlichen, die streng genommen dem Datenschutz oder der Informationssicherheit unterliegen und nicht für Externe bestimmt sind. Das Problem ist aber, dass wenige sich dessen bewusst sind und darum nicht darauf achten.

Personen­bezogene Metadaten

Wo ist das Risiko? Werden einige oder alle dieser vielfältigen vertraulichen Informationen durch Unachtsamkeit über Word-Dokumente nach außen an nicht berechtigte Personen weitergeleitet, liegt aus Sicht des Datenschutzes eine Schutzverletzung vor. Schließlich gibt man damit Daten an Unbefugte. Dabei spielt es keine Rolle, ob diese Daten absichtlich oder unbewusst weitergereicht werden. Hier liegt konkret das Risiko eines meldepflichtigen Schutzverstoßes vor.

Außerdem kann ein Compliance-Verstoß vorliegen. Und handelt es sich dann noch um Daten, die einem Auftraggeber gehören, kommt womöglich eine Vertragsverletzung hinzu. In jedem Fall wirkt es sehr unprofessionell, wenn Daten übermittelt werden, bei denen Schutzverletzungen in Kauf genommen wurden.

Datenschutz­verstoß mit Metadaten in Word-Dokumenten vermeiden

Eine Verletzung des Schutzes personenbezogener Daten führt nach der DSGVO stets dazu, dass diese Schutzverletzung an die Aufsichtsbehörde für den Datenschutz gemeldet werden muss. Das gilt bei ungewollter Übermittlung von Metadaten wie überall sonst – nur dass es hier kaum jemandem bewusst ist. Die Meldepflicht entfällt, wenn durch die Übermittlung voraussichtlich kein Risiko für die Rechte und Freiheiten betroffener Personen zu erwarten ist. Normalerweise dürfte dieses Risiko bei einer ungewollten Übermittlung von Metadaten selten gegeben sein. Dennoch ist es besser, die Kolleginnen auf die Entstehung von Metadaten hinzuweisen und zu trainieren, wie man damit umgehen sollte, etwa in Mitarbeiterschulungen. Für jedes Dokument, zumindest für solche, die an Externe weitergegeben werden, sollte es eine verantwortliche Person geben. Der Dokumentenverantwortliche begleitet den Versand des Dokuments oder führt ihn eigenhändig durch, prüft vor dem Versand die Metadaten und passt sie gegebenenfalls an.

Tipps, wie Unternehmen den Umgang mit Metadaten in Word sicher regeln

• Sicherstellen, dass Nutzer von Office-Programmen wissen, was Metadaten sind und welche die Software selbst oder ihre Anwender möglicherweise unbewusst erstellen oder erstellen können
• Sicherstellen, dass sich Nutzerinnen von Office-Programmen bewusst sind, welche Metadaten durch die Software, in diesem Fall Word, mit übermittelt werden
• In einem Training den beschäftigten Personen aufzeigen, welche Metadaten wie abgerufen werden können und wie sie deren Übermittlung verhindern
• Bei Bedarf Bestimmen einer verantwortlichen Person zumindest für vertrauliche Word-Dokumente, die in den etwaigen Versand eingebunden ist
• Anordnen, dass vor dem Versand die Metadaten zu prüfen und gegebenenfalls zu entfernen sind
• Sicherstellen, dass alle Anwender von Word wissen, wie sie die Dokumentenprüfung aufrufen, wie sie Dateien beim Entfernen von Metadaten sichern und wie sie vertrauliche Informationen beseitigen
• Generelle Hinweise für den Versand von Office-Dokumenten erstellen und bekanntgeben, die neben den Metadaten weitere Hinweise zur Weitergabe von Word-Dokumenten beinhalten
• Sicherstellen, dass zumindest nach Funktions-Updates zentral geprüft wird, ob sich hinsichtlich der Metadaten etwas geändert hat, und Vornehmen der möglicherweise erforderlichen Anpassungen

Die Kernfrage: Ist sichergestellt, dass mit Word-Dateien keine ungewollten Metadaten mit vertraulichem oder schützenswertem Inhalt an Unbefugte übermittelt werden?

Wir wünschen viel Erfolg beim Schützen Ihrer Metadaten!