Gefahren bei der Anwendung der EU-DSGVO

Gefahren bei der Anwendung der EU-DSGVO

 

Zwei Jahre hatten Unternehmen und Institutionen Zeit, Maßgaben der europaweit geltenden Datenschutzgrundver­ordnung (EU-DSGVO) im der eigenen Organisation umzusetzen. Bereits im Jahr 2016 war die EU-DSGVO verabschiedet worden, seit dem 25. Mai 2018 ist ihre aktive Anwendung bei der (teil-)automatisierten Verarbeitung personenbezogener Daten verpflichtend.

 

Nach wie vor existieren Schwierigkeiten bei der praktischen Anwendung der EU-DSGVO im Unternehmen – bei der Unternehmungsführung genauso wie bei den Mitarbeitern, die täglich mit den personenbezogenen Daten umgehen und sie verarbeiten. Sie sind an spezielle Kriterien geknüpft, die sie ausmachen, denn sie müssen

 

  • rechtmäßig erhoben,
  • nachvollziehbar,
  • zweckgebunden,
  • Datensparsam und
  • inhaltlich korrekt

 

erhoben sein. Jederzeit muss ein angemessener Schutz dieser Daten gegeben sein, sodass personenbezogene Daten nicht (un-)beabsichtigt verlorengehen, gelöscht oder manipuliert werden können.

 

Für Unternehmen hat sich Einiges geändert, seitdem die EU-DSGVO in Kraft ist. Sie hat zu europäisch übergreifenden Regelungen und einheitlichen Umgang mit personenbezogenen Daten geführt. Vorrangig ändert sich die Umkehr der Beweislast vom betroffenen Personen zum datenverarbeitenden Unternehmen. Vor Einführung der EU-DSGVO mussten Betroffene nachweisen, dass ihre personenbezogenen Daten durch das Unternehmen nicht ausreichend geschützt sind. Nun sind Unternehmen und öffentliche Stellen verpflichtet, die strengen Richtlinien der EU-DSGVO dauerhaft eingehalten zu haben.

 

Diese Beweislast macht es für Organisationen so bedeutsam, den Aufsichtsbehörden des Datenschutzes jederzeit eine lückenlose Dokumentation über die Nutzung der personenbezogenen Daten vorlegen zu können. Dazu ist eine Erweiterung der Dokumentation notwendig, einschließlich einer genauen Aufklärung darüber, inwiefern und zu welchem Zweck diese Daten von Kunden, eigenen Mitarbeitern und Partnern verarbeitet werden. In dem Verzeichnis der Verarbeitungstätigkeiten werden tabellarisch alle Informationen zur Verarbeitung personenbezogener Daten verschriftlicht.

 

 

Risiko für Unternehmen: gefährliches Halbwissen

 

Nach Artikel 2, Absatz 1 EU-DSGVO gilt die EU-DSGVO für alle Unternehmen und Institutionen, die personenbezogene Daten von Kunden, Partnern oder Mitarbeitern automatisiert oder teilautomatisiert verarbeiten und erheben – im Grunde jedes Unternehmen. Dennoch haben viele Unternehmen bis heute Probleme bei der Umsetzung, sodass Großteile Verordnung noch nicht im normalen Geschäftsablauf berücksichtigt werden. Mittlerweile ahnden die Aufsichtsbehörden für Datenschutz aufgedeckte oder angezeigte Verstöße gegen die EU-DSGVO mit teils empfindlich hohen Bußgeldern.

 

Ein verbreiteter Irrglaube ist, dass Unternehmen die EU-DSGVO nicht umsetzen müssen, wenn sie ihren Unternehmenssitz ins außereuropäische Ausland, sogenannte Drittländer, verlagern. Ein solcher Schritt ist erfolglos, sobald personenbezogene Daten von europäischen Bürgern erhoben oder verarbeitet werden.  Unabhängig vom außereuropäischen Standort des Unternehmenssitzes muss ein Vertreter in einem Mitgliedsstaat innerhalb der europäischen Union benannt werden, wo die Verarbeitung der personenbezogenen Daten stattfindet.

 

Wird ein Verstoß der EU-DSGVO durch die Aufsichtsbehörden des Datenschutzes festgestellt, muss das Unternehmen beweisen, dass es angemessene technische und organisatorische Maßnahmen umgesetzt hat, um dem Datenschutz nachgekommen. Aus Eigeninteresse und Selbstschutz sollten Unternehmen die Wichtigkeit einer lückenlosen Dokumentation erkennen und Sorge tragen, dass alle notwendigen Daten einschließlich dem Zweck der Anwendung erfasst und dokumentiert werden.

 

 

Alltäglich Fallen bei der praktischen Anwendung der EU-DSGVO

 

Der Teufel liegt im Detail – dies gilt auch für die Anwendung der EU-DSGVO im Arbeitsalltag. Ein Verstoß der EU-DSGVO ist schnell geschehen, selbst die telefonische Weitergabe personenbezogener Daten ohne Einwilligung an Dritte stellt einen Verstoß dar. Mehrere unabhängige Untersuchungen zeigen, dass aufgrund der fehlenden Sensibilisierung das größte Risiko in der fehlerhaften Verarbeitung personenbezogener Daten der Mitarbeiter einer Organisation ist. Oft bemerken Mitarbeiter nicht, dass sie unbewusst mit ihren Handlungen gegen die EU-DSGVO verstoßen.

 

Die Fehler bei der Einhaltung des Datenschutzes, die die Mitarbeiter eines Unternehmens machen können, haben viele Facetten. Zumeist sind es scheinbare Kleinigkeiten, wie eine teilweise automatisierte Eingabe der Daten in Onlinemasken oder eine unverschlüsselte Übertragung sensibler Daten, die weitreichende Folgen haben können. Diese Funktionen sollten die Mitarbeiter beachten, um nicht auf Konfrontationskurs mit der EU-DSGVO zu gehen – wobei es sich nur um eine Auswahl handelt:

 

  1. Autovervollständigung beim Ausfüllen von Online-Formularen abstellen

Bei der Eingabe von Namen bietet das System automatisch mögliche Adressangaben an. Wurden diese Daten nicht durch den Mitarbeiter überprüft, kann es schnell passieren, dass falsche Daten versandt wurden, womit ein Verstoß durch die EU-DSGVO im Raum steht.

 

  1. Sensible Daten nach Artikel 9, Absatz 1 nur verschlüsselt versenden

Biometrische Daten oder Daten zum Gesundheitszustand einer Person gelten als besonders schützenswert. Das ist grundsätzlich nichts Neues, doch durch eine fehlende Verschlüsselung steigt das Risiko an, dass diese sensiblen Daten korrumpiert werden oder in falsche Hände geraten.

 

  1. Unternehmenseigene Geräte nicht für private Zwecke nutzen

Die Mitarbeiter eines Unternehmens sollten die digitalen Endgeräte, wie ein Handy oder Tablet, die ihnen vom Arbeitgeber für die Ausführung ihrer Arbeit zur Verfügung gestellt   werden, ausschließlich für berufliche Zwecke nutzen.

 

  1. Datenschutzsicheres Arbeitsumfeld schaffen

Schon ein falsches Wort an falscher Stelle kann einen Verstoß gegen die EU-DSGVO       darstellen. Ein klassisches Beispiel wäre hier der telefonische Abgleich von Kundendaten, die von anderen Personen mitgehört werden könnten. Auch die Dauer der Datenspeicherung              sollte sich am Verarbeitungszweck festmachen. Sie sollten nur so lange gespeichert werden,             wie es zur Ausführung des Erhebungszweckes notwendig ist.

 

Insgesamt kann allerdings festgehalten werden, dass die Schaffung eines datenschutzkonformen Arbeitsplatzes viele Risiken von vorneherein minimieren kann. Dazu müssen zunächst mögliche Gefahren für die Sicherheit der personenbezogenen Daten ermittelt werden. Im zweiten Schritt müssen Arbeitsabläufe entwickelt werden, die bei der Verarbeitung der personenbezogenen Daten berücksichtigt werden müssen. Nun müssen die Mitarbeiter, die später diese Abläufe im Umgang mit den Daten nutzen, geschult werden und eine gründliche Einarbeitung erhalten.

 

 

Sonderfall: EU-DSGVO bei Bewerbungen

 

In allen Unternehmensbereichen, in denen personenbezogene Daten verarbeitet werden, greift die EU-DSGVO. So ist auch die Personalabteilung betroffen, die Stellen ausschreibt und die Bewerbungen von Interessenten liest und bewertet. Auch hier müssen die Daten der sich um Arbeit Bewerbenden geschützt werden.

 

Doch wo lauern die Fallstricke, die zu einer Missachtung der EU-DSGVO bei eingehenden Bewerbungen führen könnte? Grundsätzlich ist es erforderlich, den Bewerber über seine Rechte aufzuklären und die Bewerbung selbst muss mit Datenschutzhinweisen zu versehen. Die erhaltenen Bewerbungsunterlagen sollten umgehend an die verantwortliche Stelle weitergeleitet werden, die personenbezogenen Daten des Bewerbers dürfen zunächst nicht gelöscht werden.

 

 

Achtung! Datenpannen sind meldepflichtig

 

Ist es durch Hacking-Attacken, einem Fehlverhalten eines Mitarbeiters oder anderen technischen Problemen zu Datendiebstählen gekommen, müssen diese den Datenschutzbehörden zeitnah mitgeteilt werden. Danach geht es allerdings erst einmal darum, herauszufinden, wann eine Datenpanne vorliegt. Allerdings braucht nicht bei jedem Datenleck eine Meldung eingereicht zu werden. Nach Artikel 4, Nummer 12 EU-DSGVO muss eine Datenpanne lediglich dann anzugeben, wenn personenbezogene Daten verlorengegangen sind oder sie zerstört wurden.

 

Die Meldepflichten bei einer Cyber-Attacke werden in den Artikeln 33 und 34 EU-DSGVO geregelt, die festlegen, dass zwischen dem Vorfall und der Meldung bei der Datenschutzbehörde höchstens 72 Stunden vergehen dürfen. Wird diese Zeitspanne überschritten, ist es unbedingt erforderlich, zu erklären, warum es zu dieser Verzögerung gekommen ist.