Die sechs häufigsten Datenschutzfehler in Unternehmen
Datenschutz, Informationssicherheit und die DSGVO: Immer wieder passieren Unternehmen die gleichen Fehler und Fehlinterpretationen. Die Konsequenzen reichen von kleinen Unannehmlichkeiten für die Firma oder deren Kunden über negative Bewertungen auf Vergleichsportalen bis hin zu teuren Bußgeldern.
Über welche Fallstricke viele Firmen stolpern und wie Sie es besser machen können, zeigen die folgenden sechs Tipps.
1. Fehlversendung von E-Mails
Der Klassiker unter den Datenschutzverletzungen ist eine E-Mail mit Empfängern in cc, die da nicht hingehören.
Die Rechtslage: Solange sich die E-Mail-Adresse einer natürlichen Person zuordnen lässt, gilt sie nach Art. 4 Nr. 1 DSGVO als personenbezogenes Datum. Dieses darf Dritten nur mit Einwilligung oder einer anderen entsprechenden Rechtsgrundlage zur Verfügung gestellt werden. Wird die E-Mail-Adresse wie im Fall der offenen E-Mail-Liste ohne entsprechende Rechtsgrundlage geteilt, liegt ein Verstoß gegen den Datenschutz vor.
So geht es besser: Statt des cc-Feldes sollten Sie das bcc-Feld nutzen; die Empfänger dieser Zeile sehen nur den Absender und den Inhalt der E-Mail oder des E-Mail-Verlaufs. Vor dem Weiterleiten an weitere Empfänger lohnt sich ein zusätzlicher Check: Sind alle Informationen für die neuen Empfänger geeignet? Für Newsletter eignen sich dedizierte Tools, die direkt auch andere Datenschutzgrundsätze wie die Einwilligung durch das Double-Opt-in-Verfahren erlauben und speichern, sowie Links zur Abmeldung mitversenden.
2. Ausufernde CV-Datenbanken
Viele Personalabteilungen legen sich ganze Datenbanken voller Lebensläufe und Arbeitszeugnisse an, damit sie für jede offene Stelle mögliche Kandidaten parat haben.
Die Rechtslage: Lebensläufe, Arbeitszeugnisse und Bewerberakten gehören zur Kategorie der personenbezogenen Daten. Damit muss sich ihre Verarbeitung und Speicherung auf eine Rechtsgrundlage stützen (Art. 6 DSGVO). Verfällt diese Rechtsgrundlage (etwa, wenn ein Bewerber abgelehnt wird), sind die Daten zu löschen. Zudem müssen Betroffene unter anderem über den Zweck und die Dauer der Datenverarbeitung informiert werden, wie in Art. 13/Art. 14 DSGVO beschrieben.
So geht es besser: Unternehmen sollten ihren Prozess für Bewerber unter die Lupe nehmen. Werden die Kandidaten beispielsweise über Zweck und Dauer der Datenverarbeitung in Kenntnis gesetzt? Wenn nicht, könnte die E-Mail zur Eingangsbestätigung der Bewerbung entsprechend ergänzt werden. Gibt es ein Löschkonzept für die Daten von Bewerbern oder eine Anfrage für die Einwilligung einer längeren Speicherung, um etwa für zukünftige offene Stellen berücksichtigt zu werden? Viele Recruiter nutzen längst professionelle Netzwerke wie Xing und LinkedIn, um mit Bewerbern in Kontakt zu bleiben. Das hat Vor- und Nachteile: Einerseits wird ein LinkedIn-Profil laufend aktualisiert und die Kontaktaufnahme ist unkompliziert, andererseits gehen die so geknüpften Verbindungen verloren, wenn ein Recruiter die Firma verlässt. Dennoch ist die Nutzung von beruflichen Netzwerken eine sinnvolle Ergänzung.
3. Falsche oder sinnlose Checkboxen unter Formularen auf der Website
Der Datenverarbeitung zu Marketingzwecken wird gern die Einwilligung der Betroffenen als Rechtsgrundlage zugrunde gelegt. Das leuchtet ein, da die anderen Rechtsgrundlagen bei Kontakten, die noch keine Kunden sind, meist nicht einschlägig sind. Es werden also fleißig Einwilligungen eingeholt.
Die Rechtslage: Auf einem Formular müssen unter anderem die folgenden Elemente abgebildet werden: Aufklärung über den Zweck der Datenerhebung (Zweckbindungsprinzip gemäß Art. 5 Abs. 1 lit. b DSGVO), Hinweis auf die Widerrufbarkeit der Einwilligung oder freiwillige Checkbox zur Einwilligung in die Zusendung von Marketinginformationen und/oder Kontaktaufnahme durch den Vertrieb.
So geht es besser: Bei Einwilligungen muss für den Nutzer klar und deutlich erkennbar sein, wozu er zustimmt. Die Checkbox darf dabei nicht schon vorangekreuzt sein, da eine aktive Zustimmung des Nutzers notwendig ist. Zudem darf ein Hinweis zur Möglichkeit zum Widerruf nicht fehlen – diesen schreibt die DSGVO explizit vor.
Trennen Sie das Notwendige vom Optionalen: Fordert ein Website-Besucher eine Checkliste an, die per E-Mail versandt wird, führt kein Weg an der Datenverarbeitung für genau diesen Zweck vorbei. Optional sind allerdings weiterführende Marketing-Informationen wie Newsletter. Diese beiden Zwecke sollten nicht miteinander vermischt werden – die Einwilligung zum Newsletter etwa muss freiwillig bleiben und sollte nicht im Gegenzug für ein kostenloses Angebot wie ein E-Book oder Webinar eingefordert werden.
4. Fehlende Mitarbeiterschulung zu Datenschutzthemen
Egal, wie gut Ihre Serverräume überwacht werden, wie ausgeklügelt Ihre Kryptografie und wie wasserdicht Ihre Auftragsverarbeitungsverträge sind – wenn Ihre Mitarbeiter nicht aufpassen, herrscht keine Datensicherheit.
Die Rechtslage: Die Mitarbeiterschulung gehört laut DSGVO zu den Kernaufgaben eines Datenschutzbeauftragten (DSB). Art. 39 DSGVO listet die Aufgaben, dazu zählen Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.
So geht es besser: Wie genau Schulungen aussehen, in welcher Form (online, persönlich, schriftlich) und in welchen Abständen sie stattfinden sollen, gibt die DSGVO nicht vor. Da sich Verarbeitungsvorgänge jedoch laufend verändern, neue Technologien zum Einsatz kommen und Menschen das Gelernte ohne Wiederholungen schnell vergessen, sollten Schulungen mindestens jährlich stattfinden.
Themen: Besonders wichtig ist der Umgang mit Mitarbeiterdaten. Auch Bereiche wie Datenschutzgrundsätze, Rechtsgrundlagen, Betroffenenrechte, Verhalten im Fall eines Datenschutzverstoßes, Verhalten im direkten Kontakt mit Kunden, Partnern, Bewerbern und anderen externen Stakeholdern, BOYD und die Verwendung mobiler Endgeräte sollten abgedeckt werden. Am besten enthält die Schulung zudem rollenspezifische Trainings je nach Tätigkeitsbereich, wird mit vielen Beispiele aus der Praxis angereichert, ist interaktiv und auf Abruf online verfügbar.
5. Falsche Abgrenzung von Verantwortlichkeit und Auftragsverarbeitung
Kundendaten in einem SaaS-CRM verwalten, die Lohnbuchhaltung über einen Drittanbieter abwickeln oder einfach nur Newsletter über eine Marketing-Software rausschicken – all das sind Beispiele für die Auftragsverarbeitung. Bei dieser werden Daten gemäß den Weisungen des Verantwortlichen durch ein anderes Unternehmen (den Auftragsverarbeiter) verarbeitet. Immer wieder kommt es dabei zu Unklarheiten, wer welche Pflichten zu erfüllen hat.
Die Rechtsgrundlage: Die Verarbeitung geschieht vollständig auf Weisung des Verantwortlichen. Somit ist dieser auch für die Erstellung einer Datenschutzerklärung zuständig und muss den Auftragsverarbeiter in sein Verzeichnis von Verarbeitungstätigkeiten (VVT) mit aufnehmen. Der Vertrag, der die Zusammenarbeit regelt, nennt sich Auftragsverarbeitungsvertrag (AVV). Er wird üblicherweise durch den Auftraggeber als verantwortliche Stelle angefertigt und dem Auftragsverarbeiter zur Unterzeichnung zur Verfügung gestellt. Der Auftragsverarbeiter wiederum muss entsprechende Verarbeitungstätigkeiten in einem „Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeiter“ nach Art. 30 Abs. 2 DSGVO listen.
So geht es besser:
Die Pflichten des Verantwortlichen:
1. Sicherstellen, dass der AVV alle Punkte aus Art. 28 der DSGVO abdeckt. Dabei ist unter anderem auf Folgendes zu achten: Eine gut definierte Leistungsbeschreibung, aus der genau hervorgeht, welche Teilleistung der Auftragsverarbeiter erbringt; Datenkategorien, die nicht nur oberflächlich, sondern detailliert erklärt sind; eine Auflistung der Subauftragsverarbeiter des Auftragsverarbeiters und Nachweise über die Prüfung derer Datensicherheit.
2. Prüfung der Dokumentation der technischen und organisatorischen Maßnahmen (TOM) des Auftragsverarbeiters. Die TOM zeigen, wie sicher ein Auftragsverarbeiter mit den Daten seiner Kunden umgeht und sind ein wesentlicher Bestandteil von Auftragsverarbeitungsverträgen.
3. Unter Umständen die Erstellung einer Datenschutz-Folgenabschätzung. Insbesondere beim Einsatz neuer Technologien – wie SaaS-Lösungen – können im Verarbeitungsprozess Risiken für Rechte und Freiheiten Ihrer Kunden und Mitarbeiter entstehen, die eine Datenschutz-Folgenabschätzung erfordern können.
Die Pflichten des Auftragsverarbeiters: Der Auftragsverarbeiter ist dafür verantwortlich, die Daten gemäß den Weisungen des Verantwortlichen zu verarbeiten. Dabei müssen die Grundsätze der DSGVO eingehalten werden, die auch für andere Unternehmen gelten. Hinzu kommt eine wichtige und oft vergessene Pflicht: Verstößt eine Weisung des Verantwortlichen gegen die DSGVO, so muss der Auftragsverarbeiter den Verantwortlichen darüber informieren (Art. 28 Abs. 3 DSGVO). Zudem besteht eine Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen (Art. 33 Abs. 2 DSGVO).
6. Datenpanne nicht melden
Die Datenpanne ist passiert. Sie erhalten Post vom Finanzamt, von einem Gericht, der Bank oder einer Aufsichtsbehörde und verfallen in Panik.
Die Rechtslage: Die Aufsichtsbehörde ist keine rechtssprechende Instanz, sondern unterstützt Unternehmen in der Umsetzung von Datenschutzgesetzen und steht bei Fragen zur Verfügung. Neben der beratenden Funktion übernehmen Aufsichtsbehörden auch eine Kontrollfunktion und passen auf, dass Regeln eingehalten werden. Die Zusammenarbeit mit der zuständigen Aufsichtsbehörde gehört nach Art. 39 DSGVO zu den Aufgaben des Datenschutzbeauftragten. Nimmt eine Aufsichtsbehörde also Kontakt mit Ihnen auf, obliegt die offene Kommunikation dem Datenschutzbeauftragten und dem Verantwortlichen. Gab es in Ihrem Unternehmen einen Datenschutzverstoß, müssen Sie diesen innerhalb von 72 Stunden von sich aus bei der zuständigen Aufsichtsbehörde melden. Bei hohen Risiken müssen Sie zusätzlich die Betroffenen informieren.
So geht es besser: Kooperieren Sie mit den Aufsichtsbehörden und gehen Sie Gesprächen nicht aus dem Weg. Fragt eine Aufsichtsbehörde bestimmte Unterlagen an, zählt proaktives und umsichtiges Verhalten. Eine bereitwillige, offene Zusammenarbeit kann sich mildernd auf ein Urteil auswirken. Bei Datenpannen ist es besonders wichtig, keine Fristen verstreichen zu lassen. Auch, wenn der erste Impuls eine Art Schockstarre sein kann oder der Wunsch, den Vorfall still und heimlich unter den Teppich zu kehren, wäre genau das die falsche Reaktion. Mit einer sofortigen Meldung an die Aufsichtsbehörde beweisen Sie als Unternehmen, dass Sie den Datenschutz ernst nehmen, und Sie schützen sich eher vor hohen Geldstrafen.
Fazit
Kein Unternehmen macht in Sachen Datenschutz immer alles richtig. Es gibt einige Hürden und Fallstricke, die zu Fehlern und Missverständnissen führen können. Wichtig ist es, am Ball zu bleiben, den eigenen Datenschutz konstant unter die Lupe zu nehmen und stetig zu verbessern.