2021/11 | Fachbeitrag | Digitalisierung

Die sechs häufigsten Datenschutzfehler in Unternehmen

Datenschutz, Informationssicherheit und die DSGVO: Immer wieder passieren Unternehmen die gleichen Fehler und Fehlinterpretationen. Die Konsequenzen reichen von kleinen Unannehmlichkeiten für die Firma oder deren Kunden über negative Bewertungen auf Vergleichsportalen bis hin zu teuren Bußgeldern. Über welche Fallstricke viele Firmen stolpern und wie Sie es besser machen können, zeigen die folgenden sechs Tipps.

Bildquelle: (C) Christoph Meinersmann / Pixabay

1. Fehlversendung von E-Mails

Der Klassiker unter den Datenschutzverletzungen ist eine E-Mail mit Empfängern in cc, die da nicht hingehören.

Die Rechtslage: Solange sich die E-Mail-Adresse einer natürlichen Person zuordnen lässt, gilt sie nach Art. 4 Nr. 1 DSGVO als personenbezogenes Datum. Dieses darf Dritten nur mit Einwilligung oder einer anderen entsprechenden Rechtsgrundlage zur Verfügung gestellt werden. Wird die E-Mail-Adresse wie im Fall der offenen E-Mail-Liste ohne entsprechende Rechtsgrundlage geteilt, liegt ein Verstoß gegen den Datenschutz vor.

So geht es besser: Statt des cc-Feldes sollten Sie das bcc-Feld nutzen; die Empfänger dieser Zeile sehen nur den Absender und den Inhalt der E-Mail oder des E-Mail-Verlaufs. Vor dem Weiterleiten an weitere Empfänger lohnt sich ein zusätzlicher Check: Sind alle Informationen für die neuen Empfänger geeignet? Für Newsletter eignen sich dedizierte Tools, die direkt auch andere Datenschutzgrundsätze wie die Einwilligung durch das Double-Opt-in-Verfahren erlauben und speichern, sowie Links zur Abmeldung mitversenden.

2. Ausufernde CV-Datenbanken

Viele Personalabteilungen legen sich ganze Datenbanken voller Lebensläufe und Arbeitszeugnisse an, damit sie für jede offene Stelle mögliche Kandidaten parat haben.

Die Rechtslage: Lebensläufe, Arbeitszeugnisse und Bewerberakten gehören zur Kategorie der personenbezogenen Daten. Damit muss sich ihre Verarbeitung und Speicherung auf eine Rechtsgrundlage stützen (Art. 6 DSGVO). Verfällt diese Rechtsgrundlage (etwa, wenn ein Bewerber abgelehnt wird), sind die Daten zu löschen. Zudem müssen Betroffene unter anderem über den Zweck und die Dauer der Datenverarbeitung informiert werden, wie in Art. 13/Art. 14 DSGVO beschrieben.

So geht es besser: Unternehmen sollten ihren Prozess für Bewerber unter die Lupe nehmen. Werden die Kandidaten beispielsweise über Zweck und Dauer der Datenverarbeitung in Kenntnis gesetzt? Wenn nicht, könnte die E-Mail zur Eingangsbestätigung der Bewerbung entsprechend ergänzt werden. Gibt es ein Löschkonzept für die Daten von Bewerbern oder eine Anfrage für die Einwilligung einer längeren Speicherung, um etwa für zukünftige offene Stellen berücksichtigt zu werden? Viele Recruiter nutzen längst professionelle Netzwerke wie Xing und LinkedIn, um mit Bewerbern in Kontakt zu bleiben. Das hat Vor- und Nachteile: Einerseits wird ein LinkedIn-Profil laufend aktualisiert und die Kontaktaufnahme ist unkompliziert, andererseits gehen die so geknüpften Verbindungen verloren, wenn ein Recruiter die Firma verlässt. Dennoch ist die Nutzung von beruflichen Netzwerken eine sinnvolle Ergänzung.

3. Falsche oder sinnlose Checkboxen unter Formularen auf der Website

Der Datenverarbeitung zu Marketingzwecken wird gern die Einwilligung der Betroffenen als Rechtsgrundlage zugrunde gelegt. Das leuchtet ein, da die anderen Rechtsgrundlagen bei Kontakten, die noch keine Kunden sind, meist nicht einschlägig sind. Es werden also fleißig Einwilligungen eingeholt.

Die Rechtslage: Auf einem Formular müssen unter anderem die folgenden Elemente abgebildet werden: Aufklärung über den Zweck der Datenerhebung (Zweckbindungsprinzip gemäß Art. 5 Abs. 1 lit. b DSGVO), Hinweis auf die Widerrufbarkeit der Einwilligung oder freiwillige Checkbox zur Einwilligung in die Zusendung von Marketinginformationen und/oder Kontaktaufnahme durch den Vertrieb.

So geht es besser: Bei Einwilligungen muss für den Nutzer klar und deutlich erkennbar sein, wozu er zustimmt. Die Checkbox darf dabei nicht schon vorangekreuzt sein, da eine aktive Zustimmung des Nutzers notwendig ist. Zudem darf ein Hinweis zur Möglichkeit zum Widerruf nicht fehlen - diesen schreibt die DSGVO explizit vor.

Trennen Sie das Notwendige vom Optionalen: Fordert ein Website-Besucher eine Checkliste an, die per E-Mail versandt wird, führt kein Weg an der Datenverarbeitung für genau diesen Zweck vorbei. Optional sind allerdings weiterführende Marketing-Informationen wie Newsletter. Diese beiden Zwecke sollten nicht miteinander vermischt werden - die Einwilligung zum Newsletter etwa muss freiwillig bleiben und sollte nicht im Gegenzug für ein kostenloses Angebot wie ein E-Book oder Webinar eingefordert werden.

4. Fehlende Mitarbeiterschulung zu Datenschutzthemen

Egal, wie gut Ihre Serverräume überwacht werden, wie ausgeklügelt Ihre Kryptografie und wie wasserdicht Ihre Auftragsverarbeitungsverträge sind - wenn Ihre Mitarbeiter nicht aufpassen, herrscht keine Datensicherheit.

Die Rechtslage: Die Mitarbeiterschulung gehört laut DSGVO zu den Kernaufgaben eines Datenschutzbeauftragten (DSB). Art. 39 DSGVO listet die Aufgaben, dazu zählen Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

So geht es besser: Wie genau Schulungen aussehen, in welcher Form (online, persönlich, schriftlich) und in welchen Abständen sie stattfinden sollen, gibt die DSGVO nicht vor. Da sich Verarbeitungsvorgänge jedoch laufend verändern, neue Technologien zum Einsatz kommen und Menschen das Gelernte ohne Wiederholungen schnell vergessen, sollten Schulungen mindestens jährlich stattfinden.

Themen: Besonders wichtig ist der Umgang mit Mitarbeiterdaten. Auch Bereiche wie Datenschutzgrundsätze, Rechtsgrundlagen, Betroffenenrechte, Verhalten im Fall eines Datenschutzverstoßes, Verhalten im direkten Kontakt mit Kunden, Partnern, Bewerbern und anderen externen Stakeholdern, BOYD und die Verwendung mobiler Endgeräte sollten abgedeckt werden. Am besten enthält die Schulung zudem rollenspezifische Trainings je nach Tätigkeitsbereich, wird mit vielen Beispiele aus der Praxis angereichert, ist interaktiv und auf Abruf online verfügbar.

5. Falsche Abgrenzung von Verantwortlichkeit und Auftragsverarbeitung

Kundendaten in einem SaaS-CRM verwalten, die Lohnbuchhaltung über einen Drittanbieter abwickeln oder einfach nur Newsletter über eine Marketing-Software rausschicken - all das sind Beispiele für die Auftragsverarbeitung. Bei dieser werden Daten gemäß den Weisungen des Verantwortlichen durch ein anderes Unternehmen (den Auftragsverarbeiter) verarbeitet. Immer wieder kommt es dabei zu Unklarheiten, wer welche Pflichten zu erfüllen hat.

Die Rechtsgrundlage: Die Verarbeitung geschieht vollständig auf Weisung des Verantwortlichen. Somit ist dieser auch für die Erstellung einer Datenschutzerklärung zuständig und muss den Auftragsverarbeiter in sein Verzeichnis von Verarbeitungstätigkeiten (VVT) mit aufnehmen. Der Vertrag, der die Zusammenarbeit regelt, nennt sich Auftragsverarbeitungsvertrag (AVV). Er wird üblicherweise durch den Auftraggeber als verantwortliche Stelle angefertigt und dem Auftragsverarbeiter zur Unterzeichnung zur Verfügung gestellt. Der Auftragsverarbeiter wiederum muss entsprechende Verarbeitungstätigkeiten in einem "Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeiter" nach Art. 30 Abs. 2 DSGVO listen.

So geht es besser:

Die Pflichten des Verantwortlichen:

  1. Sicherstellen, dass der AVV alle Punkte aus Art. 28 der DSGVO abdeckt. Dabei ist unter anderem auf Folgendes zu achten: Eine gut definierte Leistungsbeschreibung, aus der genau hervorgeht, welche Teilleistung der Auftragsverarbeiter erbringt; Datenkategorien, die nicht nur oberflächlich, sondern detailliert erklärt sind; eine Auflistung der Subauftragsverarbeiter des Auftragsverarbeiters und Nachweise über die Prüfung derer Datensicherheit.
  2. Prüfung der Dokumentation der technischen und organisatorischen Maßnahmen (TOM) des Auftragsverarbeiters. Die TOM zeigen, wie sicher ein Auftragsverarbeiter mit den Daten seiner Kunden umgeht und sind ein wesentlicher Bestandteil von Auftragsverarbeitungsverträgen.
  3. Unter Umständen die Erstellung einer Datenschutz-Folgenabschätzung. Insbesondere beim Einsatz neuer Technologien - wie SaaS-Lösungen - können im Verarbeitungsprozess Risiken für Rechte und Freiheiten Ihrer Kunden und Mitarbeiter entstehen, die eine Datenschutz-Folgenabschätzung erfordern können.

Die Pflichten des Auftragsverarbeiters: Der Auftragsverarbeiter ist dafür verantwortlich, die Daten gemäß den Weisungen des Verantwortlichen zu verarbeiten. Dabei müssen die Grundsätze der DSGVO eingehalten werden, die auch für andere Unternehmen gelten. Hinzu kommt eine wichtige und oft vergessene Pflicht: Verstößt eine Weisung des Verantwortlichen gegen die DSGVO, so muss der Auftragsverarbeiter den Verantwortlichen darüber informieren (Art. 28 Abs. 3 DSGVO). Zudem besteht eine Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen (Art. 33 Abs. 2 DSGVO).

6. Datenpanne nicht melden

Die Datenpanne ist passiert. Sie erhalten Post vom Finanzamt, von einem Gericht, der Bank oder einer Aufsichtsbehörde und verfallen in Panik.

Die Rechtslage: Die Aufsichtsbehörde ist keine rechtssprechende Instanz, sondern unterstützt Unternehmen in der Umsetzung von Datenschutzgesetzen und steht bei Fragen zur Verfügung. Neben der beratenden Funktion übernehmen Aufsichtsbehörden auch eine Kontrollfunktion und passen auf, dass Regeln eingehalten werden. Die Zusammenarbeit mit der zuständigen Aufsichtsbehörde gehört nach Art. 39 DSGVO zu den Aufgaben des Datenschutzbeauftragten. Nimmt eine Aufsichtsbehörde also Kontakt mit Ihnen auf, obliegt die offene Kommunikation dem Datenschutzbeauftragten und dem Verantwortlichen. Gab es in Ihrem Unternehmen einen Datenschutzverstoß, müssen Sie diesen innerhalb von 72 Stunden von sich aus bei der zuständigen Aufsichtsbehörde melden. Bei hohen Risiken müssen Sie zusätzlich die Betroffenen informieren.

So geht es besser: Kooperieren Sie mit den Aufsichtsbehörden und gehen Sie Gesprächen nicht aus dem Weg. Fragt eine Aufsichtsbehörde bestimmte Unterlagen an, zählt proaktives und umsichtiges Verhalten. Eine bereitwillige, offene Zusammenarbeit kann sich mildernd auf ein Urteil auswirken. Bei Datenpannen ist es besonders wichtig, keine Fristen verstreichen zu lassen. Auch, wenn der erste Impuls eine Art Schockstarre sein kann oder der Wunsch, den Vorfall still und heimlich unter den Teppich zu kehren, wäre genau das die falsche Reaktion. Mit einer sofortigen Meldung an die Aufsichtsbehörde beweisen Sie als Unternehmen, dass Sie den Datenschutz ernst nehmen, und Sie schützen sich eher vor hohen Geldstrafen.

Fazit

Kein Unternehmen macht in Sachen Datenschutz immer alles richtig. Es gibt einige Hürden und Fallstricke, die zu Fehlern und Missverständnissen führen können. Wichtig ist es, am Ball zu bleiben, den eigenen Datenschutz konstant unter die Lupe zu nehmen und stetig zu verbessern.


Die Autorin:

Marijam Özdemir ist Volljuristin und zertifizierte Datenschutzbeauftragte. Durch ihre langjährige Expertise als Rechtsanwältin und Beraterin im Datenschutzrecht sticht sie als Senior Privacy Consultant bei DataGuard besonders durch pragmatische Lösungen heraus, die ihre Kunden handlungs- und zukunftsfähig machen.

Web: www.dataguard.de

Diese Artikel könnten Sie auch interessieren

Agilität: Auf dem Weg zum Composable Enterprise?

Neue Marktgegebenheiten und der digitale Wandel fordern von Unternehmen mehr Anpassungsfähigkeit und Flexibilität. In diesem Zusammenhang wird immer häufiger vom Ansatz des Composable Enterprise gesprochen. Diesem Konzept zufolge bestehen Unternehmen oder auch ganze Branchen aus unterschiedlichen Bausteinen, die immer wieder neu zusammengestellt, ausgetauscht, einzeln oder insgesamt erneuert und fl...

Weiterlesen

Dokumentenmanagement in Zeiten von New Work: Was muss ein DMS können? Und was kann es leisten?

WISSENplus
Dokumenten-Management-Systeme (DMS) sind heute aus vielen Unternehmen nicht mehr wegzudenken. Während es anfangs zunächst darum ging, mit solchen Lösungen ein zentrales Repository für alle Dokumente zur Verfügung zu stellen und deren langfristige Aufbewahrung abzusichern, steht heute insbesondere das Optimieren der Arbeit mit den Dokumenten im Zentrum. In einer zunehmend datengetriebenen Geschäf...

Weiterlesen

Cloud Computing im Bankensektor: Die 3 größten Gefahren

WISSENplus
Sollen Banken ihre IT in die Cloud verlagern? Das ist inzwischen keine Frage mehr des "Ob" - sondern vielmehr eine Frage des "Wann" und "Wie". Damit die Migration jedoch reibungslos und erfolgreich abläuft, müssen die Rahmenbedingungen stimmen. Denn auf dem Weg in die Cloud lauern sehr reale Gefahren. ...

Weiterlesen

Raus aus der ERP-Falle: Low Code macht’s möglich!

WISSENplus
Die Beziehung zwischen ERP-Anbieter und Unternehmen scheint oft unzertrennlich. Immerhin bedeutet jede Veränderung - ob Neukauf oder Migration - einen erheblichen Aufwand. Starre, schlecht erweiterbare System-Architekturen, Feature Bloat sowie hohe Betriebskosten sind dennoch gute Gründe, nach Alternativen zu suchen. Durchgängige Low-Code-Lösungen versprechen einen kostengünstigen und flexiblen A...

Weiterlesen

Employer Branding: So werden mittelständische Unternehmen zum Magneten für qualifizierte Bewerber

"Kostenlos Kaffee und Kekse zur Verfügung zu stellen, reicht einfach nicht mehr aus, um als gute Arbeitgebermarke wahrgenommen zu werden. Qualifizierte Arbeitskräfte stellen heute ganz andere Ansprüche", erklärt Norbert Nagy. Als Unternehmensberater für mittelständische Unternehmen weiß der Experte genau, welche Benefits ein Unternehmen zu einer starken Marke machen. Doch mit welchen ...

Weiterlesen

Das digitale Büro bei Heineken

Die Brauerei Heineken bietet ihren Mitarbeitenden im polnischen Krakau eine moderne Arbeitsumgebung. Für fast 1.500 Mitarbeitende wird damit ein hybrides Arbeitsmodell möglich. Das Modell dient zudem als Blaupause für alle anderen Heineken-Büros.​...

Weiterlesen

IT-Service-Management im Helmholtz-Zentrum Dresden-Rossendorf

Einst ein Relikt des Kalten Krieges, heute unverzichtbarer Zukunftsstandort. Am Helmholtz-Zentrum Dresden-Rossendorf, kurz HZDR, arbeiten rund 1.500 Wissenschaftler, um die Forschung in den Bereichen Materie, Gesundheit und Energie voranzubringen. Doch um einen reibungslosen Ablauf zu gewährleisten, war ein neues IT-Service-Management-System dringend notwendig. Hilfe fanden die Verantwortlichen im nahen C...

Weiterlesen

Wertschöpfung durch Wissen: Digitales Wissensmanagement mit Confluence und Microsoft 365

Um sich als Organisation den zahlreichen Herausforderungen anzupassen, die der digitale Wandel mit sich bringt, ist es wichtig, ein modernes Wissensmanagement zu betreiben. Neben einem deutlich spürbaren Anstieg der Mitarbeitenden- und Kundenzufriedenheit, können so auch Arbeitsprozesse besser skaliert und damit z.B. die Einarbeitungszeit für neue Mitarbeitende gesenkt sowie die Qualität der Arbeitserge...

Weiterlesen