Stolperfallen im Datenschutz

von Sandra Hoffmann (Kommentare: 0)

dacuro Männchen Datenschutz Ausrufezeichen

Im Bereich des Datenschutzes ist für den Verantwortlichen eines Unternehmens jede Menge zu beachten, um Betroffene zu schützen. Hierbei sind nicht nur externe Personen bzw. Kunden mit einzubeziehen, auch bei den eigenen Mitarbeitern müssen die Datenschutz-Prozesse erfüllt werden. Kommt es zu einer Datenpanne oder einem Verstoß, kann dies, neben einer Beschwerde bei der Aufsichtsbehörde, die ggfs. mit einem Bußgeld verbunden ist, auch zu Schadensersatzansprüchen seitens des Betroffenen führen.

Pflichten seitens des Verantwortlichen

Ein Unternehmen muss im Datenschutz unterschiedliche Vorgaben erfüllen, um seinen Verpflichtungen gem. EU-Datenschutzgrundverordnung (DSGVO) gerecht zu werden. Diese sogenannten „Basics“ sind aufgrund der „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) durch den Verantwortlichen immer zu erfüllen und vorzuhalten. Zu den sogenannten Datenschutz-Basics gehören unter anderem:

  • Bestellpflicht eines Datenschutzbeauftragten (§ 38 BDSG-neu)
  • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Risikoanalyse / Datenschutzfolgenabschätzung (DSFA) (Art. 35 DSGVO)
  • Technisch-organisatorische Maßnahmen (TOM) (Art. 32 DSGVO)
  • Notfallkonzept / Berechtigungskonzept / Löschkonzept
  • Verträge zur Auftragsverarbeitung (AV-Verträge) (Art. 28 DSGVO)
  • Verträge zur gemeinsamen Verarbeitung von Verantwortlichen (Art. 26 DSGVO)
  • Betroffenenrechte und Betroffenenanfragen (Artt. 12 - 23 DSGVO)
  • Verstöße / Datenpannen
  • Schulung bzw. Sensibilisierung der Mitarbeiter
  • Weitere Themen wie z. B. Website & Soziale Medien, Umgang mit Bewerbungen, E-Mail-Nutzung, Homeoffice, Einwilligungen, Datenweitergaben in Drittländer (z. B. USA)

Genaue Informationen zu den einzelnen Themenschwerpunkten und deren Bedeutung finden Sie auch in unserem Blog-Beitrag zu den Datenschutz-Basics.

Die Umsetzung der jeweiligen Themen gelingt meist nur in Zusammenarbeit mit einem Datenschutzbeauftragten. Ab 20 Personen, die regelmäßig mit personenbezogenen Daten arbeiten, ist die Bestellung eines Datenschutzbeauftragten für Unternehmen in Deutschland verpflichtend (§ 38 Abs. 1 BDSG). Ob Ihr Unternehmen ggfs. aufgrund anderer Voraussetzungen zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, können Sie einfach mittels unseres Datenschutz-Schnell-Checks herausfinden. Sind Sie verpflichtet, für Ihr Unternehmen einen Datenschutzbeauftragten zu bestellen, müssen Sie prüfen, ob es sinnvoll ist, einen internen oder externen Datenschutzbeauftragten mit der Aufgabe zu betreuen.

verzweifelter Mensch bei einer Datenpanne vor dem Computer

Klassische Stolperfallen im Datenschutz – Datenpannen

Neben der Herausforderung, sich im Unternehmen an die Datenschutzvorgaben zu halten und diese umzusetzen, kommt es oftmals, stellenweise unbeabsichtigt, zu Verstößen oder Pannen, die vermeidbar sind. Zu dieser gehört unter anderem die öffentliche Kommunikation über personenbezogene Daten durch Unachtsamkeit.

Die DSGVO schreibt in vielen Bereichen eine Verpflichtung auf Vertraulichkeit bzw. auf das sogenannte Datengeheimnis (analog § 53 BDSG) im Umgang mit personenbezogenen Daten vor. Dieses lässt sich beispielsweise in den Artikeln

 

32 Abs. 2 DSGVO

[…] Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

oder Art. 28 Abs. 3 b) DSGVO

gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

finden.

Unter die unbefugte Offenlegung fallen die klassischen Fehler, die Mitarbeiter aber auch die Geschäftsführung im Umgang mit personenbezogenen Informationen begehen:

  • Telefonate mit personenbezogenen Inhalten in der Öffentlichkeit
    Stellenweise erfolgen geschäftliche Telefonate nicht nur laut, ohne Rücksicht auf die Umgebung, sie werden für Zuhörer auch gerne mit spannenden Inhalten geführt. Gerade in öffentlichen Transportmitteln stellt das Zuhören für andere stellenweise nicht nur eine Belästigung, sondern auch eine interessante Abwechslung zum Alltag dar. Diese Inhalte können nicht nur privater Natur sein oder gar Unternehmensgeheimnisse beinhalten. Die Nennung von personenbezogenen Daten und Informationen (wie z. B. Namen, Adressen, usw.), die einen Rückschluss auf die betreffende Person zulassen, stellt einen Verstoß gegen die Vertraulichkeit im Umgang mit den Daten dar.

  • Gespräche mit Kollegen, Freunden oder Familienangehörigen über personenbezogene Daten
    Auch wird im Privatbereich oftmals über den erlebten Tagesverlauf gesprochen und es werden hierbei nicht nur Situationen und Geschehnisse erzählt, sondern häufig auch die betreffende Person namentlich genannt. Selbst bei Gesprächen unter Kollegen kann es, je nach Tätigkeitsfeld, ein Verstoß gegen den Datenschutz sein, über personenbezogene Daten von Kollegen zu sprechen.

  • Informations- bzw. Datenweitergabe bei Telefonaten
    Eine freundliche Kundenkommunikation und die damit einhergehende Kundenbindung ist in vielen Unternehmen für Mitarbeiter verpflichtend. Jedoch ist hier ebenfalls, sowohl seitens der Mitarbeiter als auch seitens der Geschäftsführung, darauf zu achten, dass keine personenbezogenen Daten unberechtigt an Dritte weitergegeben werden. Wie oft haben Sie, gerade in Zeiten der Pandemie, auf diesem Weg erfahren, dass jemand krank ist oder gar an Covid-19 erkrankt ist? Bei diesen Informationen handelt es sich um sensible personenbezogene Daten (Art. 9 Abs. 1 DSGVO), deren Verarbeitung grundsätzlich verboten ist.

  • Entsorgung von Fehldrucken
    Nicht nur in Unternehmen kommt es vor, dass Ausdrucke unbemerkt am falschen Netzwerkdrucker gedruckt werden, gerne werden diese vergessen oder im Falle von Fehldrucken einfach liegen gelassen. Ähnliches passiert im Rahmen des Homeoffice, wenn z. B. Fehldrucke Kindern zum Malen überlassen werden und auf diese Weise den Weg in den Kindergarten, die Schule oder zu Verwandten/Bekannten finden.
    Sind auf diesen Unterlagen personenbezogene Daten, wie z. B. Namen, Kontaktdaten oder E-Mail-Adressen oder sogar sensible personenbezogene Daten (Art. 9 Abs. 1 DSGVO oder Art. 10 DSGVO), liegt ein Datenschutzverstoß vor. Ebenfalls können Unternehmensdaten (z. B. Formeln, Angaben zu Umsätzen, o. ä.), die nicht unter den Bereich des Datenschutzes fallen, problematisch werden, sobald diese in die Öffentlichkeit gelangen.

  • E-Mail-Versand mit offenen Verteiler
    Unternehmen, die keine regelmäßigen Newsletter versenden und hierfür ein Tool verwenden, informieren ihre Kunden gelegentlich in einer normalen E-Mail. Hierbei passiert es regelmäßig, dass die Oster- oder Weihnachtswünsche an Bestandskunden in einem offenen Verteiler (Angabe der E-Mail-Adressen im CC statt im BCC) versendet werden. Sobald in diesen E-Mail-Adressen die Namen der betroffenen Personen enthalten sind und es sich nicht um allgemeine E-Mail-Adressen handelt (wie z. B. info@ oder post@), liegt, zumindest in Baden-Württemberg, ein meldepflichtiger Datenschutzvorfall vor.
    Im Falle von Bewerbungen, die per E-Mail eingehen, ist in Unternehmen oft eine interne Weiterleitung der Daten zu beobachten. Diese ist ebenfalls als problematisch zu betrachten, da für derartige E-Mails andere Löschfisten gelten als für „normale“ E-Mails. Hinzu kommt die steuerliche Archivierungspflicht gem. GoBD, die bei geschäftlichen E-Mails berücksichtigt werden muss. Aus diesem Grund gilt es, für Bewerbungsunterlagen generell einen Prozess im Unternehmen festzulegen, sodass es zu keinen Pannen kommen kann.

  • Verlust/Vernichtung von Datenspeichern
    Auch der Verlust eines unverschlüsselten Datenträgers (z. B. Notebook, Smartphone oder USB-Stick), auf dem sich personenbezogene Daten befinden (z. B. Adresslisten, Fotos, o. ä,) stellt eine Datenpanne dar und ist ggfs. der Behörde zu melden. Ebenfalls ist beim Tausch von Geräten auf die sachgemäße Entsorgung zu achten, sodass kein Zugriff auf personenbezogene Daten erfolgen kann, die sich vielleicht noch auf den Geräten befinden.

Neben den aufgezählten Klassikern gibt es weitaus mehr Bereiche, in denen Unternehmen einen Verstoß begehen können, ohne dass dieser bewusst geschieht. So haben auch die Cyber-Attacken in den letzten Monaten wieder vermehrt zugenommen. In einem derartigen Fall können Sie davon ausgehen, dass nahezu immer eine Datenpanne vorliegt, bei der Sie, neben der IT, auch mit Ihrem Datenschutzbeauftragten über die weitere Vorgehensweise sprechen sollten.

Bei jeglichen Datenpannen oder Verstößen ist zu berücksichtigen: liegt aufgrund der Gegebenheiten eine Meldepflicht vor, hat diese binnen 72 Stunden „ab Entdeckung“ (Kenntnisnahme des Vorfalls) bei der zuständigen Aufsichtsbehörde zu erfolgen.

Abhilfemaßnahmen

Gegen kriminelle Energie können Sie als Unternehmen ausschließlich Vorkehrungen treffen, sodass die Sicherheit der Verarbeitung von personenbezogenen Daten in Form von technisch-organisatorischen Maßnahmen (TOM) gewährleistet wird (Art. 32 DSGVO). Diese Maßnahmen können über eine organisatorische Umsetzung erfolgen, wie z. B. eine Dienstanweisung an die Mitarbeiter, dass diese abends ihre Schränke abzuschließen haben. Eine technische Umsetzung kann z. B. durch die Verschlüsselung von Datenträgern oder eine automatische Bildschirmsperre an den Rechnern der Mitarbeiter erfolgen.

Unachtsamkeiten und Fehler sind menschlich und passieren bedauerlicherweise. Sie können jedoch durch eine regelmäßige Sensibilisierung (Schulung) der Mitarbeiterinnen und Mitarbeiter im Umgang mit personenbezogenen Daten vermindert oder gar verhindert werden. Denn meist sind Handlungen, die bereits einen Verstoß darstellen, nicht bewusst bzw. klar ersichtlich.

In beiden Fällen erfüllen Sie als Unternehmen mit der jeweiligen Umsetzung Ihre datenschutzrechtlichen Verpflichtungen, die Ihnen durch die entsprechenden Vorkehrungen und Maßnahmen erhebliche Kosten sparen können.

ein DIN A4 Ordner mit Unterlagen

Klassische Stolperfallen im Datenschutz – Prozesse

In den letzten Jahren legen Unternehmen weitaus mehr Wert auf den Datenschutz ihrer Kunden, sodass auch bei der Auswahl von Subunternehmen, die personenbezogene Daten im Auftrag verarbeiten, eine genaue Prüfung des Dienstleisters erfolgt. Beiderseits sind verpflichtend die gesetzlichen Vorgaben aus Art. 28 Abs. 3 DSGVO zu erfüllen. Daneben wird vermehrt Wert auf den Umgang mit personenbezogenen Daten innerhalb des Unternehmens des Dienstleisters gelegt. Neben bewährten Zertifizierungen (z. B. ISO) wird auch das Vorhandensein eines Datenschutzkonzeptes (abgeleitet aus den Artikeln 5 Abs. 2, 7, 24, 28 und 30 DSGVO) vorausgesetzt. Auch eine regelmäßige Aktualisierung der technisch-organisatorischen Maßnahmen (TOM) inkl. Auditbericht wird meist vorgegeben und Zusatzvorgaben im Bereich der IT-Sicherheit verlangt. Zwischenzeitlich sind auch Datenschutz- oder Produkt-Zertifizierungen oftmals ein ausschlaggebendes Kriterium für die Auswahl eines Dienstleisters. Sind diese Unterlagen oder Zertifizierungen im Unternehmen nicht vorhanden, ist es möglich, dass man den Zuschlag für den Auftrag nicht erhält.

Neben den technischen Vorkehrungen, die zum Schutz von personenbezogenen Daten getroffen werden müssen, stolpern viele Unternehmen im Bereich der Pflichterfüllung bei Anfragen von Betroffenen (Artt. 13 - 22 DSGVO). Zu den wichtigsten Rechten von Betroffenen zählen:

  • Recht auf Information / Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung oder Einschränkung der Verarbeitung
  • Recht auf Widerspruch
  • Recht auf Datenübertragbarkeit

Anfragen werden teilweise übersehen, nicht ernst genommen oder gar bewusst ignoriert. Ob die Ursache hierfür fehlende Prozesse, mangelnde innerbetriebliche Kommunikation oder tatsächlich Desinteresse ist, spielt keine Rolle. Sie sind als Unternehmen rechtlich verpflichtet, Betroffenenanfragen nachzukommen. Auf diese ist unverzüglich, jedoch spätestens innerhalb von 30 Tagen, zu antworten. Hiervon abweichende Sonderregelungen liegen nur in den seltensten Fällen vor. Kommen Sie dem Ersuchen nicht nach, hat der bzw. die Betroffene das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Gerät dieser Prozess in Gang, können Sie davon ausgehen, dass die Behörde der Beschwerde nachgehen wird und Sie kontaktiert. Kommt es zu einem derartigen Anschreiben, erfragt die Behörde weitaus mehr Informationen im Rahmen des Datenschutzes, als Sie aufgrund der Betroffenenanfrage hätten bereitstellen müssen. Gemäß den Kriterien des Art. 83 DSGVO legt die Behörde die entsprechende Geldbuße und deren Höhe fest. Aus diesem Grund sollten Sie im Unternehmen einen Prozess etablieren, wie mit Anfragen von Betroffenen umzugehen ist, sodass Sie alle Vorgaben der DSGVO erfüllen.

Fazit

Im Umgang mit personenbezogenen Daten sind seitens des Verantwortlichen nicht nur die Vorgaben der DSGVO umzusetzen. Ebenso ist darauf zu achten, dass es zu keinen Pannen oder Verstößen kommt, deren Behebung nicht nur zeit- sondern auch kostenintensiv ist. Teilweise kann mit einfachen Maßnahmen einem Vorfall entgegengewirkt werden, sodass sich dieser vermeiden lässt. Die dacuro GmbH bietet, neben den klassischen Dienstleistungen inkl. der vollständigen Betreuung als externer Datenschutzbeauftragter ebenfalls Dienstleistungen an, um Ihr Unternehmen im Bereich des Datenschutzes zu stärken. Hierunter fallen, neben der Unterstützung bei der Erstellung der Verzeichnisse der Verarbeitungstätigkeiten, Schulungen (live und online) sowie Seminare für Geschäftsführer und Datenschutzkoordinatoren ebenfalls Website- und Social Media Checks als auch Zertifizierungen. Unser Team, welches neben der Datenschutzkompetenz auch über juristische und IT-technische Fachkenntnis verfügt, agiert bundesweit. Gerne stehen wir bei Fragen zur Verfügung und finden für Sie die richtige Datenschutz-Lösung.

TAGS

Zurück

Einen Kommentar schreiben

Bitte addieren Sie 2 und 3.

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.