Diese sieben alltäglichen Szenarien erscheinen zum Teil banal – doch gehören zu den häufigsten Datenschutzpannen in Unternehmen.
Ja, die DSGVO kann für Unternehmer*innen anstrengend sein. Doch geht es um die eigenen personenbezogenen Daten, kennen wir auch keinen Spaß. Drum heißt es auch von Unternehmensseite: Datenschutz muss sein! Und sinnvoll ist er, wie eben festgestellt, ja auch. Doch dass der Teufel oft im Detail steckt, ist hier genauso der Fall wie anderswo. Mindestens eine der folgenden Situationen dürfte Unternehmer*innen täglich unterkommen – und bietet hohes Datenschutzfallen-Potential.
1. Die Mitarbeiter*innen-Frage
Bereits ab 20 Mitarbeiter*innen wird ein (externer) Datenschutzbeauftragter nötig, das ist mittlerweile den meisten Unternehmer*innen bekannt. Doch Vorsicht: Dazu zählen auch Teilzeitkräfte, Freelancer*innen, Praktikant*innen und Werkstudent*innen, auch wenn diese vielleicht nur einmal im Monat oder noch weniger fürs Unternehmen arbeiten. Hier schauen die Behörden oftmals besonders genau hin – und ein schmerzhaft hohes Bußgeld ist schnell verhängt. Unter den bereits belangten Unternehmen in Deutschland sind übrigens überraschend viele Startups wie das Fintech N26. Und gerade Start-Ups oder kleine Unternehmen werden von Bußgeldern besonders hart getroffen. Dabei sind die Bußgelder nur die Spitze des Eisbergs, denn hinzu kommen noch Anwalts- und evtl. Gerichtskosten, interne Ablenkung und der Reputationsschaden sowie mögliche Auftragsverzögerungen und ähnliches. Also lieber noch einmal nachdenken, wie viele Leute – und sei es noch so selten – für das eigene Unternehmen arbeiten.
2. Die Website-Frage
Die DSGVO verlangt eine Datenschutzerklärung, die auch von jeder Unterseite aus erreichbar ist, über die Art und den Zweck der Besucherdatenverarbeitung informiert und Name und Kontaktdaten des/der Verantwortlichen enthält. Dies wird mittlerweile von den meisten Website-Betreiber*innen umgesetzt. Es gibt aber noch wesentlich mehr Punkte, die die Datenschutzerklärung zwingend enthalten muss. Eine saubere Lösung hierfür ist, sich eine korrekte, auf die eigene Branche angepasste Datenschutzerklärung erstellen zu lassen. Dies geht zum Beispiel mit einem juristisch fundiert arbeitenden Datenschutzerklärungs-Generator. Doch das war noch nicht alles – folgende Dinge sind die Ersten, die bei Websites falsch gemacht werden und von Aufsichtsbehörden (die auch gerne mal von der Konkurrenz eingeschaltet werden) abgemahnt werden:
- Falsch eingebundene Social-Share-Buttons
- Fehlerhaft anonymisierte IP-Adressen
- Lückenhaftes oder fehlendes Impressum
- Veraltete Cookie-Banner bzw. unerlaubtes Tracking.
Das alles sind Bücher mit 7 Siegeln? Infos und Hilfe gibt’s hier und für das Cookie-Thema hier.
3. Die Geheimhaltungs-Frage
Zwar müssen Geheimhaltungsvereinbarungen mit niemandem abgeschlossen werden. Doch in manchen Fällen kann es mehr als sinnvoll sein, das zu tun. Geheimhaltungsvereinbarungen, auch Non-Disclosure-Agreement genannt, werden von Unternehmen (meist aus eigenem Antrieb) abgeschlossen, um Informationen wie Betriebs- und Geschäftsgeheimnisse oder aber auch personenbezogene Daten zu schützen. Werden beispielsweise sensible Unternehmensdaten weitergegeben, ist eine solche Geheimhaltungsvereinbarung sehr sinnvoll. Aber auch, wenn sich ein Unternehmen mit sensiblen oder sehr innovativen Themen befasst, ist zu überlegen, eine Geheimhaltungsvereinbarung mit allen Mitarbeiter*innen abzuschließen, sofern eine solche nicht bereits Bestandteil des Arbeitsvertrags ist. Übrigens betrifft das auch Service- und Reinigungskräfte, die Zugang zu den Büroräumen haben.
4. Die Tool- und SaaS-Frage
Software-as-a-Service-Lösungen (SaaS) sind Anwendungen, die von einem externen Anbieter für Kund*innen zur Verfügung gestellt werden und von diesen als Service genutzt werden. Doch schon bei der Auswahl gilt es, insbesondere zwei grundsätzliche Dinge zu beachten:
- Werden über eines der angewendeten Tools personenbezogene Daten verarbeitet?
Personenbezogene Daten sind sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In der DSGVO umfassen diese Daten u.a. Informationen zur genetischen, wirtschaftlichen, kulturellen und sozialen Identität von Personen. Aber auch Daten, die eine Zuordnung zu einer Kennung oder zu Standortdaten ermöglichen, fallen darunter. Somit sind eindeutig auch Website-Besucher bzw. deren IP-Adresse als personenbezogene Daten zu sehen. Ohne eine explizite Einwilligung und Information in der Datenschutzerklärung (s. Punkt 2) sollte kein neues Tool auf der Website eingebunden und angewendet werden. - Gibt es bei dem Tool datenschutzrechtliche Bedenken?
Für die Nutzung eines Tools ist es vorteilhaft, wenn dieses nicht bereits durch Datenschutzverletzungen aufgefallen ist. Zudem ist der Standort der Datenverarbeitung entscheidend: Nutzt das Tool Speicherorte außerhalb der EU und beispielsweise im US-amerikanischen Raum, sollte dieses Unternehmen im EU-U.S. Privacy Shield registriert sein. Ob personenbezogene Daten im Tool selbst korrekt geschützt werden, lassen technische und organisatorische Maßnahmen (TOMs) erkennen (z.B. der Einsatz von Verschlüsselungen oder Pseudonymisierung). Auch wichtig ist die datenschutzkonforme Löschung von Daten sowie die ununterbrochene Wahrung der Vertraulichkeit der verarbeiteten Daten. Letzteres kann beispielsweise durch ein geeignetes Berechtigungskonzept erfolgen.
Am Ende liegt die Entscheidungshoheit über den Einsatz neuer Tools immer bei den Verantwortlichen, also meist den Unternehmer*innen selbst. Daher können sich diese bei einem Fehler bzw. Missbrauch durch die Tool-Anbieter nicht aus der Verantwortung ziehen.
5. Die Account-Frage
Gemeinschafts- bzw. Shared Accounts? Lieber nicht. Jede*r Mitarbeiter*in, der/die ein bestimmtes Tool nutzt, sollte einen eigenen Account bekommen. Zugänge sollten generell also immer personalisiert sein, denn Account-Sharing ist datenschutzrechtlich problematisch. Zudem dürfen Passwörter mit keinem Dritten geteilt werden. Geteilte Zugänge verhindern außerdem Zugriffe, Löschungen oder unbemerkte Veränderungen von Daten. Für administrative Zugänge oder Fernzugänge gelten besondere Anforderungen, etwa hinsichtlich der Länge und Komplexität von Passwörtern. Hier ist es besonders wichtig, dass diese sicher verwahrt werden. Empfehlenswert ist hier der Einsatz geeigneter Passwortverwaltungs-Tools. Diese erlauben das Sammeln und Speichern von diversen Passwörtern in einer zentralen Datenbank. Diese PW-Tools sind übrigens auch beim Offboarding von Mitarbeiter*innen sehr nützlich, da Passwörter einfach und schnell geändert bzw. entzogen werden können.
6. Die E-Mail-Frage
Mit der potenziellen Kundschaft in Kontakt zu treten und zu bleiben, ist wichtig. Doch auch, wenn eine ganze Menge an Kontakten im E-Mail-Adressbuch und in etlichen Excel-Listen vor sich hinschlummern – einfach mal eben einen Newsletter schicken geht nicht. Denn bereits eine einzige E-Mail-Adresse, die unerlaubt (zu werblichen Zwecken) genutzt wird, kann eine Abmahnung zur Folge haben. Soll ein Newsletter verschickt werden, muss vorher, sofern nicht die Ausnahmeregelung für Bestandskunden greift, immer eine Einwilligung der Empfänger vorliegen. In Deutschland funktioniert das über das sog. doi-Verfahren (double opt in): Erst, wenn Interessenten in selbst angeforderten Bestätigungsmails den Link anklicken, dass ein Newsletter ausdrücklich erwünscht ist, dürfen solche auch verschickt werden.
7. Die Notfall-Frage
Viele Unternehmer*innen sind sich sicher, dass es in ihrem Unternehmen noch nie eine meldepflichtige Datenschutzverletzung gab. Doch Datenschutzpannen sind alltäglich: bereits ein unverschlüsselter USB-Stick, der verlorenging, eine unbedacht geöffnete Phishing-Mail oder eine E-Mail, die personenbezogene Daten enthält und an den falschen Empfänger verschickt wurde, stellen meldepflichtige Vorfälle dar. Sie nicht zu melden und unter den Teppich zu kehren kann weitreichende Folgen für Unternehmen haben. Neben einem enormen Imageschaden drohen auch empfindliche Geldbußen – vom Kund*innen-Verlust ganz zu schweigen. Darum bietet sich ein Notfallplan an, sollte es zu einer Datenschutzpanne kommen. Denn hier gilt: Jede Minute zählt (und dies nicht nur, um die gesetzlichen Vorschriften einzuhalten).
Fazit
Auch Alltagssituationen können sich datenschutztechnisch als knifflig herausstellen – mit dem nötigen Wissen können aber viele potenzielle Gefahren umgangen werden. Darum sollten Mitarbeiter*innen auch immer auf diese Themen sensibilisiert werden, denn Datenschutz im Unternehmen lässt sich nur gemeinschaftlich umsetzen. Und auch bei diesem Thema gilt: Vorsicht ist besser als Nachsicht.