2021/11 | Fachbeitrag | Digitalisierung

Die sechs häufigsten Datenschutzfehler in Unternehmen

Datenschutz, Informationssicherheit und die DSGVO: Immer wieder passieren Unternehmen die gleichen Fehler und Fehlinterpretationen. Die Konsequenzen reichen von kleinen Unannehmlichkeiten für die Firma oder deren Kunden über negative Bewertungen auf Vergleichsportalen bis hin zu teuren Bußgeldern. Über welche Fallstricke viele Firmen stolpern und wie Sie es besser machen können, zeigen die folgenden sechs Tipps.

Bildquelle: (C) Christoph Meinersmann / Pixabay

1. Fehlversendung von E-Mails

Der Klassiker unter den Datenschutzverletzungen ist eine E-Mail mit Empfängern in cc, die da nicht hingehören.

Die Rechtslage: Solange sich die E-Mail-Adresse einer natürlichen Person zuordnen lässt, gilt sie nach Art. 4 Nr. 1 DSGVO als personenbezogenes Datum. Dieses darf Dritten nur mit Einwilligung oder einer anderen entsprechenden Rechtsgrundlage zur Verfügung gestellt werden. Wird die E-Mail-Adresse wie im Fall der offenen E-Mail-Liste ohne entsprechende Rechtsgrundlage geteilt, liegt ein Verstoß gegen den Datenschutz vor.

So geht es besser: Statt des cc-Feldes sollten Sie das bcc-Feld nutzen; die Empfänger dieser Zeile sehen nur den Absender und den Inhalt der E-Mail oder des E-Mail-Verlaufs. Vor dem Weiterleiten an weitere Empfänger lohnt sich ein zusätzlicher Check: Sind alle Informationen für die neuen Empfänger geeignet? Für Newsletter eignen sich dedizierte Tools, die direkt auch andere Datenschutzgrundsätze wie die Einwilligung durch das Double-Opt-in-Verfahren erlauben und speichern, sowie Links zur Abmeldung mitversenden.

2. Ausufernde CV-Datenbanken

Viele Personalabteilungen legen sich ganze Datenbanken voller Lebensläufe und Arbeitszeugnisse an, damit sie für jede offene Stelle mögliche Kandidaten parat haben.

Die Rechtslage: Lebensläufe, Arbeitszeugnisse und Bewerberakten gehören zur Kategorie der personenbezogenen Daten. Damit muss sich ihre Verarbeitung und Speicherung auf eine Rechtsgrundlage stützen (Art. 6 DSGVO). Verfällt diese Rechtsgrundlage (etwa, wenn ein Bewerber abgelehnt wird), sind die Daten zu löschen. Zudem müssen Betroffene unter anderem über den Zweck und die Dauer der Datenverarbeitung informiert werden, wie in Art. 13/Art. 14 DSGVO beschrieben.

So geht es besser: Unternehmen sollten ihren Prozess für Bewerber unter die Lupe nehmen. Werden die Kandidaten beispielsweise über Zweck und Dauer der Datenverarbeitung in Kenntnis gesetzt? Wenn nicht, könnte die E-Mail zur Eingangsbestätigung der Bewerbung entsprechend ergänzt werden. Gibt es ein Löschkonzept für die Daten von Bewerbern oder eine Anfrage für die Einwilligung einer längeren Speicherung, um etwa für zukünftige offene Stellen berücksichtigt zu werden? Viele Recruiter nutzen längst professionelle Netzwerke wie Xing und LinkedIn, um mit Bewerbern in Kontakt zu bleiben. Das hat Vor- und Nachteile: Einerseits wird ein LinkedIn-Profil laufend aktualisiert und die Kontaktaufnahme ist unkompliziert, andererseits gehen die so geknüpften Verbindungen verloren, wenn ein Recruiter die Firma verlässt. Dennoch ist die Nutzung von beruflichen Netzwerken eine sinnvolle Ergänzung.

3. Falsche oder sinnlose Checkboxen unter Formularen auf der Website

Der Datenverarbeitung zu Marketingzwecken wird gern die Einwilligung der Betroffenen als Rechtsgrundlage zugrunde gelegt. Das leuchtet ein, da die anderen Rechtsgrundlagen bei Kontakten, die noch keine Kunden sind, meist nicht einschlägig sind. Es werden also fleißig Einwilligungen eingeholt.

Die Rechtslage: Auf einem Formular müssen unter anderem die folgenden Elemente abgebildet werden: Aufklärung über den Zweck der Datenerhebung (Zweckbindungsprinzip gemäß Art. 5 Abs. 1 lit. b DSGVO), Hinweis auf die Widerrufbarkeit der Einwilligung oder freiwillige Checkbox zur Einwilligung in die Zusendung von Marketinginformationen und/oder Kontaktaufnahme durch den Vertrieb.

So geht es besser: Bei Einwilligungen muss für den Nutzer klar und deutlich erkennbar sein, wozu er zustimmt. Die Checkbox darf dabei nicht schon vorangekreuzt sein, da eine aktive Zustimmung des Nutzers notwendig ist. Zudem darf ein Hinweis zur Möglichkeit zum Widerruf nicht fehlen - diesen schreibt die DSGVO explizit vor.

Trennen Sie das Notwendige vom Optionalen: Fordert ein Website-Besucher eine Checkliste an, die per E-Mail versandt wird, führt kein Weg an der Datenverarbeitung für genau diesen Zweck vorbei. Optional sind allerdings weiterführende Marketing-Informationen wie Newsletter. Diese beiden Zwecke sollten nicht miteinander vermischt werden - die Einwilligung zum Newsletter etwa muss freiwillig bleiben und sollte nicht im Gegenzug für ein kostenloses Angebot wie ein E-Book oder Webinar eingefordert werden.

4. Fehlende Mitarbeiterschulung zu Datenschutzthemen

Egal, wie gut Ihre Serverräume überwacht werden, wie ausgeklügelt Ihre Kryptografie und wie wasserdicht Ihre Auftragsverarbeitungsverträge sind - wenn Ihre Mitarbeiter nicht aufpassen, herrscht keine Datensicherheit.

Die Rechtslage: Die Mitarbeiterschulung gehört laut DSGVO zu den Kernaufgaben eines Datenschutzbeauftragten (DSB). Art. 39 DSGVO listet die Aufgaben, dazu zählen Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

So geht es besser: Wie genau Schulungen aussehen, in welcher Form (online, persönlich, schriftlich) und in welchen Abständen sie stattfinden sollen, gibt die DSGVO nicht vor. Da sich Verarbeitungsvorgänge jedoch laufend verändern, neue Technologien zum Einsatz kommen und Menschen das Gelernte ohne Wiederholungen schnell vergessen, sollten Schulungen mindestens jährlich stattfinden.

Themen: Besonders wichtig ist der Umgang mit Mitarbeiterdaten. Auch Bereiche wie Datenschutzgrundsätze, Rechtsgrundlagen, Betroffenenrechte, Verhalten im Fall eines Datenschutzverstoßes, Verhalten im direkten Kontakt mit Kunden, Partnern, Bewerbern und anderen externen Stakeholdern, BOYD und die Verwendung mobiler Endgeräte sollten abgedeckt werden. Am besten enthält die Schulung zudem rollenspezifische Trainings je nach Tätigkeitsbereich, wird mit vielen Beispiele aus der Praxis angereichert, ist interaktiv und auf Abruf online verfügbar.

5. Falsche Abgrenzung von Verantwortlichkeit und Auftragsverarbeitung

Kundendaten in einem SaaS-CRM verwalten, die Lohnbuchhaltung über einen Drittanbieter abwickeln oder einfach nur Newsletter über eine Marketing-Software rausschicken - all das sind Beispiele für die Auftragsverarbeitung. Bei dieser werden Daten gemäß den Weisungen des Verantwortlichen durch ein anderes Unternehmen (den Auftragsverarbeiter) verarbeitet. Immer wieder kommt es dabei zu Unklarheiten, wer welche Pflichten zu erfüllen hat.

Die Rechtsgrundlage: Die Verarbeitung geschieht vollständig auf Weisung des Verantwortlichen. Somit ist dieser auch für die Erstellung einer Datenschutzerklärung zuständig und muss den Auftragsverarbeiter in sein Verzeichnis von Verarbeitungstätigkeiten (VVT) mit aufnehmen. Der Vertrag, der die Zusammenarbeit regelt, nennt sich Auftragsverarbeitungsvertrag (AVV). Er wird üblicherweise durch den Auftraggeber als verantwortliche Stelle angefertigt und dem Auftragsverarbeiter zur Unterzeichnung zur Verfügung gestellt. Der Auftragsverarbeiter wiederum muss entsprechende Verarbeitungstätigkeiten in einem "Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeiter" nach Art. 30 Abs. 2 DSGVO listen.

So geht es besser:

Die Pflichten des Verantwortlichen:

  1. Sicherstellen, dass der AVV alle Punkte aus Art. 28 der DSGVO abdeckt. Dabei ist unter anderem auf Folgendes zu achten: Eine gut definierte Leistungsbeschreibung, aus der genau hervorgeht, welche Teilleistung der Auftragsverarbeiter erbringt; Datenkategorien, die nicht nur oberflächlich, sondern detailliert erklärt sind; eine Auflistung der Subauftragsverarbeiter des Auftragsverarbeiters und Nachweise über die Prüfung derer Datensicherheit.
  2. Prüfung der Dokumentation der technischen und organisatorischen Maßnahmen (TOM) des Auftragsverarbeiters. Die TOM zeigen, wie sicher ein Auftragsverarbeiter mit den Daten seiner Kunden umgeht und sind ein wesentlicher Bestandteil von Auftragsverarbeitungsverträgen.
  3. Unter Umständen die Erstellung einer Datenschutz-Folgenabschätzung. Insbesondere beim Einsatz neuer Technologien - wie SaaS-Lösungen - können im Verarbeitungsprozess Risiken für Rechte und Freiheiten Ihrer Kunden und Mitarbeiter entstehen, die eine Datenschutz-Folgenabschätzung erfordern können.

Die Pflichten des Auftragsverarbeiters: Der Auftragsverarbeiter ist dafür verantwortlich, die Daten gemäß den Weisungen des Verantwortlichen zu verarbeiten. Dabei müssen die Grundsätze der DSGVO eingehalten werden, die auch für andere Unternehmen gelten. Hinzu kommt eine wichtige und oft vergessene Pflicht: Verstößt eine Weisung des Verantwortlichen gegen die DSGVO, so muss der Auftragsverarbeiter den Verantwortlichen darüber informieren (Art. 28 Abs. 3 DSGVO). Zudem besteht eine Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen (Art. 33 Abs. 2 DSGVO).

6. Datenpanne nicht melden

Die Datenpanne ist passiert. Sie erhalten Post vom Finanzamt, von einem Gericht, der Bank oder einer Aufsichtsbehörde und verfallen in Panik.

Die Rechtslage: Die Aufsichtsbehörde ist keine rechtssprechende Instanz, sondern unterstützt Unternehmen in der Umsetzung von Datenschutzgesetzen und steht bei Fragen zur Verfügung. Neben der beratenden Funktion übernehmen Aufsichtsbehörden auch eine Kontrollfunktion und passen auf, dass Regeln eingehalten werden. Die Zusammenarbeit mit der zuständigen Aufsichtsbehörde gehört nach Art. 39 DSGVO zu den Aufgaben des Datenschutzbeauftragten. Nimmt eine Aufsichtsbehörde also Kontakt mit Ihnen auf, obliegt die offene Kommunikation dem Datenschutzbeauftragten und dem Verantwortlichen. Gab es in Ihrem Unternehmen einen Datenschutzverstoß, müssen Sie diesen innerhalb von 72 Stunden von sich aus bei der zuständigen Aufsichtsbehörde melden. Bei hohen Risiken müssen Sie zusätzlich die Betroffenen informieren.

So geht es besser: Kooperieren Sie mit den Aufsichtsbehörden und gehen Sie Gesprächen nicht aus dem Weg. Fragt eine Aufsichtsbehörde bestimmte Unterlagen an, zählt proaktives und umsichtiges Verhalten. Eine bereitwillige, offene Zusammenarbeit kann sich mildernd auf ein Urteil auswirken. Bei Datenpannen ist es besonders wichtig, keine Fristen verstreichen zu lassen. Auch, wenn der erste Impuls eine Art Schockstarre sein kann oder der Wunsch, den Vorfall still und heimlich unter den Teppich zu kehren, wäre genau das die falsche Reaktion. Mit einer sofortigen Meldung an die Aufsichtsbehörde beweisen Sie als Unternehmen, dass Sie den Datenschutz ernst nehmen, und Sie schützen sich eher vor hohen Geldstrafen.

Fazit

Kein Unternehmen macht in Sachen Datenschutz immer alles richtig. Es gibt einige Hürden und Fallstricke, die zu Fehlern und Missverständnissen führen können. Wichtig ist es, am Ball zu bleiben, den eigenen Datenschutz konstant unter die Lupe zu nehmen und stetig zu verbessern.


Die Autorin:

Marijam Özdemir ist Volljuristin und zertifizierte Datenschutzbeauftragte. Durch ihre langjährige Expertise als Rechtsanwältin und Beraterin im Datenschutzrecht sticht sie als Senior Privacy Consultant bei DataGuard besonders durch pragmatische Lösungen heraus, die ihre Kunden handlungs- und zukunftsfähig machen.

Web: www.dataguard.de

Diese Artikel könnten Sie auch interessieren

Was KI leisten kann – und wie dieser Change gelingt

WISSENplus
Die künstliche Intelligenz wird künftig der stärkste Changetreiber in unserer Gesellschaft sein. Davon ist Innovations- und KI-Experte Dr. Jens-Uwe Meyer überzeugt. Aber vor allem viele Mittelständler haben die Bedeutung von KI noch nicht vollumfänglich erkannt - bzw. zögern noch, auf den KI-Zug aufzuspringen. Warum Abwarten keine Option ist und wie man sich dem Thema KI am besten nähert, erkl...

Weiterlesen

Esprit, Bonita & Co.: Filialmanagement ist Wissensmanagement

WISSENplus
Mehr als 6000 Filialen von knapp 50 Kunden wie Bonita, C&A oder Depot betreut die Seybold GmbH in Stuttgart derzeit mit 24 Mitarbeitern. Allein 2023 kamen 1.000 Läden von Discountern und Supermärkten hinzu, so Geschäftsführer Marcus Seybold, der seine Dienstleistung 2007 gegründet hat. Berufserfahrung sammelte der heute 47-Jährige im dualen Studium bei Kaufland im Fachbereich Handel. Der gebürtige Cr...

Weiterlesen

Standardisierung, Digitalisierung, Automatisierung: Die Schlüsselfaktoren für erfolgreiches Wissensmanagement

WISSENplus
In der heutigen digitalen Ära, in der der Wettbewerb intensiver und der technologische Fortschritt schneller als je zuvor voranschreitet, ist ein effektives Wissensmanagement von entscheidender Bedeutung. Unternehmen stehen vor der Herausforderung, die wachsende Flut an Informationen zu bewältigen und diese in einen strategischen Vorteil umzuwandeln. Drei wesentliche Faktoren spielen dabei eine zent...

Weiterlesen

Komplexe Angebote auf Knopfdruck? Mit GenAI funktioniert’s!

WISSENplus
Die Generative KI und Large Language Models (LLMs) bieten mit ihren enormen Fähigkeiten bei der Sprachverarbeitung und -generierung großes Potenzial für das Wissensmanagement. Aufgrund der gigantischen Datenmengen, mit denen sie trainiert wurden, sind die Ergebnisse sowohl beim Verstehen von Eingaben als auch bei der Ausgabe von Antworten beeindruckend. Der Nutzer hat den Eindruck, er kommuniziere ...

Weiterlesen

5 Tipps: So holen Sie das Maximum aus ihren Daten heraus

Nicht alle Daten sind für Reportings geeignet oder gleichermaßen wertvoll. Die Kunst liegt einerseits darin, die richtigen für den jeweiligen Use Case zu identifizieren. Andererseits müssen Unternehmen sie dann auch sinnvoll auswerten, um den maximalen Nutzen aus ihnen zu ziehen. Doch welche Daten sind die richtigen?...

Weiterlesen

Analogt Ihr noch oder digitalisiert Ihr schon?

WISSENplus
Aktuell schaltet die Digitalisierung den Turbo an. Neue KI-gestützte Technologien verändern die Spielregeln in der Wirtschafts- und Arbeitswelt radikal. Nur wer hier alte Gewohnheiten loslässt, tradierte Geschäftsprozesse ändert und Disruption als Chance begreift, kann in einer diskontinuierlichen Welt bestehen. Wie aber funktioniert das? ...

Weiterlesen