Sie sind hier: > Start > Datenschutzreform 2018 > AKI 46: Datenpannen mit Microsoft Excel verursachen und vermeiden

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 13.02.2023

Aktuelle Kurz-Information 46: Datenpannen mit Microsoft Excel verursachen und vermeiden

Stichwörter: Arbeitsblätter, Excel - Arbeitsmappen, Excel - Benachrichtigungspflicht, Art. 34 DSGVO - Daten ausblenden - Daten einblenden - Daten, sichtbare - Daten, unsichtbare - Daten, verborgene - Daten, versteckte - Datenpannen - Excel - Meldepflicht, Art. 33 DSGVO | Stand: 1. Februar 2023

Was sind die Kernaussagen dieser Aktuellen Kurz-Information?

In Excel können sich Daten auch einmal etwas verstecken.
Wer dieses Betriebsmittel einsetzt, sollte wissen, wo.

Das Tabellenkalkulationsprogramm Microsoft Excel erfreut sich auf Grund seines weiten Funktionsumfangs großer Beliebtheit in Unternehmen und Verwaltungen; auch bei bayerischen öffentlichen Stellen ist es vielfach im Einsatz. Nicht selten begegnen Nutzerinnen und Nutzer dem Programm eher intuitiv; entgegen der primären Zweckbestimmung wird Excel oftmals schon dann eingesetzt, wenn die Spaltenzahl in Word nicht ausreicht. Befinden sich personenbezogene Daten in einer Excel-Arbeitsmappe, kann der nicht sachgerechte Umgang mit der Anwendung allerdings leicht eine Datenpanne auslösen.

Excel bietet auf Grund seiner zahlreichen Funktionen auch viele Möglichkeiten, Datenpannen zu verursachen. Die vorliegende Aktuelle Kurz-Information kann diesen "Reichtum" nicht ansatzweise abbilden. Sie greift lediglich einige wenige Programmfeatures heraus, die in der Praxis des Bayerischen Landesbeauftragten für den Datenschutz bereits im Zusammenhang mit Datenpannen in Erscheinung getreten sind (Rn. 3 ff.). Dabei geht es nicht etwa um Schwächen des Programms, sondern um Aspekte, die in der Hektik des Büroalltags hin und wieder schlicht übersehen werden. An allen beschriebenen "Problemstellen" kann es zu einer unbeabsichtigten Offenlegung von personenbezogenen Daten kommen. Excel enthält selbst Sicherheitsvorkehrungen (Rn. 22), die allerdings auch genutzt werden müssen. Im Übrigen kann der Verantwortliche für die Sicherheit der bei ihm mit Excel verarbeiteten personenbezogenen Daten einiges tun (Rn. 23 ff.) - damit Datenpannen vermieden werden und nicht zu meldepflichtigen Datensicherheitsverletzungen führen (Rn. 26).

1. Eine Arbeitsmappe - mehrere Arbeitsblätter

Um welches Programmfeature geht es? Beim Aufruf einer Excel-Datei öffnet sich eine Arbeitsmappe, die jedenfalls ein sichtbares Arbeitsblatt enthält; weitere Arbeitsblätter können hinzukommen. Wie viele Arbeitsblätter es sind, zeigen grundsätzlich die Reiter am unteren Rand des Fensters an, die der Navigation zwischen den einzelnen Arbeitsblättern dienen.

Wie kann ich eine Datenpanne verursachen? Sie haben von Ihrer Vorgängerin oder Ihrem Vorgänger mit der Sachgebietsleitung auch eine Excel-Datei mit den dienstlichen Kontaktdaten Ihrer Mitarbeiterinnen und Mitarbeiter übernommen. Diese Datei - genaugenommen: das zuletzt geänderte Arbeitsblatt - befindet sich auf dem Bildschirm gerade vor Ihnen. Es ist die Kontaktliste. Sie tragen Ihre eigenen Daten ein und löschen die Ihrer Vorgängerin oder Ihres Vorgängers. Dann leiten Sie die Datei den Beschäftigten im Sachgebiet per E-Mail zu. Leider hatte sich Ihre Vorgängerin oder Ihr Vorgänger auf dem zweiten, gerade nicht sichtbaren Arbeitsblatt zu allen "Kontakten" Notizen für die nächste dienstliche Beurteilung gemacht. Weil Sie das zweite Arbeitsblatt übersehen haben, sind diese Notizen jetzt im Sachgebiet öffentlich.

Wie kann ich eine solche Datenpanne vermeiden? Machen Sie sich bewusst, dass Excel-Arbeitsmappen mehrere Arbeitsblätter umfassen können (die Anzahl ist nach Angaben von Microsoft übrigens nur durch den verfügbaren Arbeitsspeicher begrenzt) - auch wenn Sie selbst nicht regelmäßig mit solchen "mehrblättrigen" Arbeitsmappen arbeiten.

Prüfen Sie also vor der Weitergabe einer personenbezogene Daten enthaltenden Excel-Arbeitsmappe an andere, insbesondere vor dem Anhängen an eine E-Mail, ob mehr als ein Arbeitsblatt enthalten ist und wirklich alles weitergegeben werden soll.
Überlegen Sie außerdem, ob die Datei bei einer Empfängerin oder einem Empfänger noch weiterbearbeitet werden soll - andernfalls ist die Zuleitung einer PDF-Version vorzugswürdig, die sich vor dem Versand leicht auf versteckte Daten kontrollieren lässt.
Seien Sie bei Excel-Dateien, die andere erstellt haben, besonders vorsichtig.
Löschen Sie aus bestehenden Excel-Arbeitsmappen nach Möglichkeit konsequent die nicht (mehr) benötigten Arbeitsblätter.
Überlegen Sie vor der Neuanlage einer Arbeitsmappe mit mehreren Arbeitsblättern, ob Sie die Aufgabe auch mit mehreren Ein-Arbeitsblatt-Arbeitsmappen erledigen können.
Überlegen Sie außerdem, ob Sie für die zu erledigende Aufgabe Excel benötigen oder ein "schlichteres" Betriebsmittel (etwa ein Textverarbeitungsprogramm) ausreicht.

2. Sichtbare Arbeitsblätter - unsichtbare Arbeitsblätter

Um welches Programmfeature geht es? Zum Funktionsumfang von Excel gehört das Verstecken von Arbeitsblättern. Dazu klickt man mit der rechten Maustaste den zum Arbeitsblatt gehörenden Reiter an und wählt "Ausblenden".

Ausblenden

Wie kann ich eine Datenpanne verursachen? Auf dem gleichen Weg wie unter Rn. 4 beschrieben. Es ist nur noch weniger Unachtsamkeit erforderlich: Seien Sie ehrlich - wer denkt bei Excel-Arbeitsmappen, die jemand anderes erstellt hat, schon daran, dass verborgene Arbeitsblätter enthalten sein könnten? Das Wieder-Sichtbar-Machen geht übrigens so: Sie klicken mit der rechten Maustaste auf ein sichtbares Arbeitsblatt (eines ist immer da), wählen "Einblenden" (oberes Bild) und suchen dann die Sie interessierenden Arbeitsblätter aus (unteres Bild; vorausgesetzt, das Datenschutzrecht steht dem nicht entgegen).

Enblenden 1

Enblenden 2

Wie kann ich eine solche Datenpanne vermeiden? Merken Sie sich, dass Excel-Arbeitsmappen auch unsichtbare Arbeitsblätter enthalten können. Wenden Sie die Empfehlungen aus Rn. 5 entsprechend an.

3. Daten "auf weiter Flur"

Um welches Programmfeature geht es? Die Leistungsfähigkeit von Excel hängt nicht zuletzt damit zusammen, dass in ein Arbeitsblatt ziemlich viele Daten hineinpassen. Möglich sind in aktuellen Versionen 1.048.576 Zeilen und 16.384 Spalten, also maximal 17.179.869.184 (gut 17 Milliarden) Zellen pro Arbeitsblatt. Und in einer Arbeitsmappe können ja noch mehrere Arbeitsblätter sein …

Wie kann ich eine Datenpanne verursachen? Stellen Sie sich eine Abwandlung des in Rn. 4 geschilderten Falls vor: Sie haben eine Arbeitsmappe mit tatsächlich nur einem Arbeitsblatt vor sich; in der fünfspaltigen Tabelle sind Ihre 15 Mitarbeiterinnen und Mitarbeiter und Sie selbst aufgeführt. Sie leiten die Datei an alle weiter. Nicht beachtet haben Sie, dass Ihre Vorgängerin oder Ihr Vorgänger in Spalte A bis E ab Zeile 201 eine Kontaktliste für die Schulklasse von Tochter oder Sohn geführt hat und in Spalte AA bis AE, dort ab Zeile 101, eine Kontaktliste für einen Verein, in dem sie oder er Mitglied ist.

Wie kann ich eine solche Datenpanne vermeiden? Sie sollen sich bewusst sein, dass Excel-Arbeitsblätter nicht "auf einen Blick" überschaubar sein müssen. Ob in der Weite eines Arbeitsblatts noch irgendwo etwas ist, stellen Sie unkompliziert fest, indem Sie bei geöffnetem Arbeitsblatt die Tastenkombination Strg+Ende eingeben. Aktiv ist dann dessen letzte Zelle. Diese Zelle bildet die rechte untere Ecke eines Tabellenrechtecks, in dem sich "irgendwo" Werte befinden können. Gelangen Sie so im Fall aus Rn. 10 zur Zelle AE 290, wissen Sie, dass in den Spalten von A bis AE und in den Zeilen von 1 bis 290 Daten sein können. Sie müssen jetzt nicht alles absuchen. Häufig dürfte es am einfachsten sein, den tatsächlich benutzten Bereich in eine neue Tabelle zu kopieren und mit dieser diszipliniert weiterzuarbeiten.

4. Ausgeblendete Spalten, Zeilen oder Zellen

Um welche Programmfeatures geht es? Excel-User haben die Möglichkeit, Spalten, Zeilen oder sogar einzelne Zellen so weit unsichtbar zu machen, dass jedenfalls auf den ersten Blick Daten übersehen werden können. Das Verbergen geht bei Spalten oder Zeilen so: Sie klicken mit der rechten Maustaste auf den Spaltenbuchstaben oder die Zeilennummer und wählen "Ausblenden" (oberes Bild). Dass "etwas da war", erkennen Sie (nur noch) daran, dass Spaltenbuchstabe oder Zeilennummer ausgespart bleiben (unteres Bild).

Ausblenden 1

Ausblenden 2

Sie können das "Ausblenden" rückgängig machen, indem Sie die beiden benachbarten Spalten oder Zeilen markieren und mit Hilfe der rechten Maustaste den Befehl "Einblenden" aufrufen.

Eine vergleichbare Funktion gibt es auch, um einzelne Zellen ein Stück weit "unsichtbar" zu machen. Dazu markieren Sie die betreffenden Zellen, wählen aus dem Menü "Zellen formatieren" (erreichbar mit der Tastenkombination Strg+1) die Kategorie "Benutzerdefiniert" und geben als Typ drei Strichpunkte ein.

Benutzerdefiniert

Die Werte in den Zellen sind dann ausgeblendet, bleiben aber zumindest in der Formelzeile noch sichtbar (das Datum hier als 33.208. Tag vom 1. Januar 1900 aus gerechnet, am oberen Rand sichtbar).

Benutzerdefiniert

Revidiert wird das "Unsichtbarmachen" durch Zurückändern der Formatierung, hier sinnvollerweise auf einen Typ aus der Kategorie "Datum".

Wie kann ich eine Datenpanne verursachen? Auch im Fall ausgeblendeter Spalten, Zeilen oder Zellen gilt: aus Versehen ziemlich leicht. Im Arbeitsblatt steht auf den ersten Blick das, was man sieht. Und bevor auffällt, dass da noch mehr ist, befindet sich die Datei bereits bei einem Dritten …

Wie kann ich eine solche Datenpanne vermeiden? Ebenfalls durch Kenntnis der betreffenden Funktionen und etwas Aufmerksamkeit. Insbesondere bei nicht selbst angelegten Arbeitsmappen ist es besser, zweimal hinzuschauen: Ist bei den Spaltenbuchstaben oder den Zeilennummern irgendwo eine Lücke? Oder weist ein Arbeitsblatt scheinbar unerklärliche weiße Stellen auf? Dann sollten Sie zunächst prüfen, ob hier jemand etwas versteckt hat.

Leer kann übrigens auch eine schlecht befüllte Zelle wirken - dann nämlich, wenn beispielsweise beim schlampigen "Herüberkopieren" von irgendwoher so viele Leerzeichen "mitgekommen" sind, dass sie die Tabellenzelle in ganzer Breite ausfüllen.

5. Metadaten

Personenbezogene Daten können in einer Excel-Datei auch in der Rolle von Metadaten übersehen werden. Das gilt nicht nur für entsprechende Angaben in den Dateieigenschaften (einzusehen unter "Datei - Informationen"; hier ist nicht nur auf "Relevante Personen" zu achten, sondern auch auf die Freitextfelder unter "Eigenschaften"). Im Menü "Überprüfen" gibt es mit dem Punkt "Änderungen nachverfolgen - Änderungen hervorheben" vielmehr auch eine Funktion, die für ausgewählte Zellen eine Protokollierung von Änderungen ermöglicht. Die entsprechenden Zellen erhalten zwar eine Markierung; die Protokollierungsinformationen werden aber nur angezeigt, wenn eine solche Zelle aktiv ist oder der Mauszeiger darüber streicht.

Maus

Beachten Sie im Übrigen: Schon ein "sprechender" Dateiname kann personenbezogene Daten enthalten, die "eigentlich" gar nicht mitgeteilt werden sollen - etwa das Kürzel der letzten bearbeitenden Person, mit dem diese "ihr Werk" unverwechselbar machen wollte.

6. Funktion "Dokumentprüfung"

Einige der angesprochenen "Problemstellen" von Excel-Dateien lassen sich mit dem Programmfeature "Dokumentprüfung" leicht erkennen; dies gilt insbesondere für ausgeblendete Spalten oder Zeilen sowie etwa noch vorhandene Metadaten. Auch eine automatische Entfernung ist mit diesem Instrument möglich. Die Dokumentprüfung kann unter "Datei - Informationen" mit der Schaltfläche "Auf Probleme überprüfen - Dokument prüfen" angestoßen werden; dabei lassen sich einzelne Punkte des Prüfprogramms zu- oder abwählen. Der Hersteller hat zu dieser Funktion Hinweise veröffentlicht. Die Dokumentprüfung kann übrigens auch bei einigen anderen Microsoft-Produkten wie etwa Word hilfreich sein.

7. Was der Verantwortliche tun sollte

Der Verantwortliche muss gewährleisten, dass personenbezogene Daten beim Einsatz von Excel sicher verarbeitet werden. Grundlage dafür ist eine sachgerechte Konfiguration und Administration der Anwendung. Dabei können Abweichungen von den "Werkseinstellungen" angezeigt sein.

Was die ab Rn. 3 beschriebenen "Problemstellen" betrifft, sollte der Verantwortliche zum einen Excel nutzende Beschäftigte ausreichend sensibilisieren. Das kann im Rahmen von Datenschutzschulungen geschehen. Außerdem sollte der Verantwortliche in einer geeigneten Form (bei bayerischen öffentlichen Stellen etwa in einer Dienstanweisung) organisatorische Vorkehrungen treffen, die das Risiko einer unbeabsichtigten Offenlegung personenbezogener Daten durch "Übersehen" scheinbar verborgener Teile von Excel-Arbeitsmappen minimieren. Die vorliegende Aktuelle Kurz-Information bietet dazu Anregungen. Zu erwägen sind insbesondere Vorgaben, dass

Excel-Dateien für einen (E-Mail-)Versand grundsätzlich in das PDF-Format umzuwandeln und dann (nochmals) zu kontrollieren sind;
Excel-Dateien vor einem (E-Mail-)Versand im Ursprungsformat neu anzulegen und/oder standardmäßig mit der Dokumentprüfung, erforderlichenfalls nach einer zusätzlichen Prüfroutine zu prüfen sind.

Auch "Betriebsmittelkritik" ist (wie gar nicht selten) sinnvoll: Nicht jede Arbeit mit einer Tabelle muss in Excel erledigt werden, und auch nicht jeder PC-Arbeitsplatz muss mit dieser Anwendung ausgestattet sein.

Eine Excel-Datenpanne kann die Meldepflicht nach Art. 33 Datenschutz-Grundverordnung (DSGVO) und die Benachrichtigungspflicht nach Art. 34 DSGVO auslösen. Das setzt voraus, dass sich die Datenpanne als "Verletzung des Schutzes personenbezogener Daten" im Sinne von Art. 4 Nr. 12 DSGVO darstellt. Nach Auffassung des Bayerischen Landesbeauftragten für den Datenschutz muss dazu ein Verletzungserfolg vorliegen, der auf einem Verletzungsverhalten beruht. Als Verletzungserfolg wird meist eine unbefugte Offenlegung festzustellen sein; daran kann es allenfalls einmal fehlen, wenn die "versehentlich" weitergegebenen Daten dem Empfänger etwa auf Grund einer Einwilligung der betroffenen Person ohnehin mitgeteilt werden durften. Das Verletzungsverhalten kann sich als organisatorisches Fehlverhalten des Verantwortlichen zeigen, wenn etwa der Verantwortliche seine Beschäftigten ohne eine Sensibilisierung für risikoträchtige Programmfunktionen, wie sie in Schulungen oder Dienstanweisungen geleistet werden kann, auf das Betriebsmittel Excel "loslässt" (Ausfallen organisatorischer Standards); das Verletzungsverhalten kann aber auch darin bestehen, dass sich die Beschäftigten eines "sorgfältigen" Verantwortlichen nicht an die ihnen aufgegebenen Vorsichtsmaßnahmen halten (Verfehlen gesetzter organisatorischer Standards im Betrieb). Liegt eine Datensicherheitsverletzung vor, richtet sich das Eingreifen von Melde- und Benachrichtigungspflicht nach der dann vorzunehmenden Risikobeurteilung.

Disclaimer: Die Abbildungen dienen nur der Veranschaulichung. Die Frage, was insbesondere aus Sicht des Personaldatenschutzes unter welchen Voraussetzungen zulässig ist (oder niemals zulässig sein kann), ist nicht Thema dieser Aktuellen Kurz-Information.

Vgl. den Fall in Bayerischer Landesbeauftragter für den Datenschutz, 29. Tätigkeitsbericht 2019, Nr. 12.8.2, Internet: https://www.datenschutz-bayern.de, Rubrik "Tätigkeitsberichte". [Zurück]
Microsoft, Spezifikationen und Beschränkungen in Excel, Internet: https://support.microsoft.com/de-de/office/spezifikationen-und-beschränkungen-in-excel-1672b34d-7043-467e-8e27-269d656771c3 (externer Link). [Zurück]
Siehe Endnote 2. [Zurück]
Microsoft, Entfernen von ausgeblendeten Daten und persönlichen Informationen durch Überprüfen von Dokumenten, Präsentationen oder Arbeitsmappen, Internet: https://support.microsoft.com/de-de/office/entfernen-von-ausgeblendeten-daten-und-persönlichen-informationen-durch-überprüfenen-von-dokumenten-päsentationen-oder-arbeitsmappen-356b7b5d-77af-44fe-a07f-9aa4d085966f#ID0EBBF=Excel (externer Link). [Zurück]
Bundesamt für Sicherheit in der Informationstechnik (BSI), Sichere Konfiguration von Microsoft Excel, Internet: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_136.html (externer Link). [Zurück]
Zu den Voraussetzungen sowie zur Erfüllung der Melde- und der Benachrichtigungspflicht ausführlich Bayerischer Landesbeauftragter für den Datenschutz, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Stand 6/2019, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018". [Zurück]