Gefahren durch DSGVO-Anwendung

Gefahren durch DSGVO-Anwendung

Zwei Jahre hatten Unternehmen und Institutionen Zeit, Maßgaben der europaweit geltenden Datenschutzgrundver­ordnung (DSGVO) im der eigenen Organisation umzusetzen. Bereits im Jahr 2016 war die DSGVO verabschiedet worden, seit dem 25. Mai 2018 ist ihre aktive Anwendung bei der (teil-)automatisierten Verarbeitung personenbezogener Daten verpflichtend.

Nach wie vor existieren Schwierigkeiten bei der praktischen Anwendung der DSGVO im Unternehmen – bei der Unternehmungsführung genauso wie bei den Mitarbeitern, die täglich mit den personenbezogenen Daten umgehen und sie verarbeiten. Sie sind an spezielle Kriterien geknüpft, die sie ausmachen, denn sie müssen

  • rechtmäßig erhoben,
  • nachvollziehbar,
  • zweckgebunden,
  • Datensparsam und
  • inhaltlich korrekt

erhoben sein. Jederzeit muss ein angemessener Schutz dieser Daten gegeben sein, sodass personenbezogene Daten nicht (un-)beabsichtigt verloren gehen, gelöscht oder manipuliert werden können.

Für Unternehmen hat sich Einiges geändert, seitdem die DSGVO in Kraft ist. Sie hat zu europäisch übergreifenden Regelungen und einheitlichen Umgang mit personenbezogenen Daten geführt. Vorrangig ändert sich die Umkehr der Beweislast vom betroffenen Personen zum datenverarbeitenden Unternehmen. Vor Einführung der DSGVO mussten Betroffene nachweisen, dass ihre personenbezogenen Daten durch das Unternehmen nicht ausreichend geschützt sind. Nun sind Unternehmen und öffentliche Stellen verpflichtet, die strengen Richtlinien der DSGVO dauerhaft eingehalten zu haben.

Diese Beweislast macht es für Organisationen so bedeutsam, den Aufsichtsbehörden des Datenschutzes jederzeit eine lückenlose Dokumentation über die Nutzung der personenbezogenen Daten vorlegen zu können. Dazu ist eine Erweiterung der Dokumentation notwendig, einschließlich einer genauen Aufklärung darüber, inwiefern und zu welchem Zweck diese Daten von Kunden, eigenen Mitarbeitern und Partnern verarbeitet werden. In dem Verzeichnis der Verarbeitungstätigkeiten werden tabellarisch alle Informationen zur Verarbeitung personenbezogener Daten verschriftlicht.

Risiko für Unternehmen: gefährliches Halbwissen

Nach Artikel 2, Absatz 1 DSGVO gilt die DSGVO für alle Unternehmen und Institutionen, die personenbezogene Daten von Kunden, Partnern oder Mitarbeitern automatisiert oder teilautomatisiert verarbeiten und erheben – im Grunde jedes Unternehmen. Dennoch haben viele Unternehmen bis heute Probleme bei der Umsetzung, sodass Großteile Verordnung noch nicht im normalen Geschäftsablauf berücksichtigt werden. Mittlerweile ahnden die Aufsichtsbehörden für Datenschutz aufgedeckte oder angezeigte Verstöße gegen die DSGVO mit teils empfindlich hohen Bußgeldern.

Ein verbreiteter Irrglaube ist, dass Unternehmen die DSGVO nicht umsetzen müssen, wenn sie ihren Unternehmenssitz ins außereuropäische Ausland, sogenannte Drittländer, verlagern. Ein solcher Schritt ist erfolglos, sobald personenbezogene Daten von europäischen Bürgern erhoben oder verarbeitet werden.  Unabhängig vom außereuropäischen Standort des Unternehmenssitzes muss ein Vertreter in einem Mitgliedsstaat innerhalb der europäischen Union benannt werden, wo die Verarbeitung der personenbezogenen Daten stattfindet.

Wird ein Verstoß der DSGVO durch die Aufsichtsbehörden des Datenschutzes festgestellt, muss das Unternehmen beweisen, dass es angemessene technische und organisatorische Maßnahmen umgesetzt hat, um dem Datenschutz nachgekommen. Aus Eigeninteresse und Selbstschutz sollten Unternehmen die Wichtigkeit einer lückenlosen Dokumentation erkennen und Sorge tragen, dass alle notwendigen Daten einschließlich dem Zweck der Anwendung erfasst und dokumentiert werden.

Gefahren DSGVO und sonstige alltägliche Fallen bei der praktischen DSGVO-Anwendung

Der Teufel liegt im Detail – dies gilt auch für die Anwendung der DSGVO im Arbeitsalltag. Ein Verstoß der DSGVO ist schnell geschehen, selbst die telefonische Weitergabe personenbezogener Daten ohne Einwilligung an Dritte stellt einen Verstoß dar. Mehrere unabhängige Untersuchungen zeigen, dass aufgrund der fehlenden Sensibilisierung das größte Risiko in der fehlerhaften Verarbeitung personenbezogener Daten der Mitarbeiter einer Organisation ist. Oft bemerken Mitarbeiter nicht, dass sie unbewusst mit ihren Handlungen gegen die DSGVO verstoßen. Dies ist können weitere DSGVO Gefahren zur FOrlge haben.

Die Fehler bei der Einhaltung des Datenschutzes, die die Mitarbeiter eines Unternehmens machen können, haben viele Facetten. Zumeist sind es scheinbare Kleinigkeiten, wie eine teilweise automatisierte Eingabe der Daten in Onlinemasken oder eine unverschlüsselte Übertragung sensibler Daten, die weitreichende Folgen haben können. Diese Funktionen sollten die Mitarbeiter beachten, um nicht auf Konfrontationskurs mit der DSGVO zu gehen – wobei es sich nur um eine Auswahl handelt:

  1. Autovervollständigung beim Ausfüllen von Online-Formularen abstellen

Bei der Eingabe von Namen bietet das System automatisch mögliche Adressangaben an. Wurden diese Daten nicht durch den Mitarbeiter überprüft, kann es schnell passieren, dass falsche Daten versandt wurden, womit ein Verstoß durch die DSGVO im Raum steht.

  1. Sensible Daten nach Artikel 9, Absatz 1 nur verschlüsselt versenden

Biometrische Daten oder Daten zum Gesundheitszustand einer Person gelten als besonders schützenswert. Das ist grundsätzlich nichts Neues, doch durch eine fehlende Verschlüsselung steigt das Risiko an, dass diese sensiblen Daten korrumpiert werden oder in falsche Hände geraten.

  1. Unternehmenseigene Geräte nicht für private Zwecke nutzen

Die Mitarbeiter eines Unternehmens sollten die digitalen Endgeräte, wie ein Handy oder Tablet, die ihnen vom Arbeitgeber für die Ausführung ihrer Arbeit zur Verfügung gestellt   werden, ausschließlich für berufliche Zwecke nutzen.

  1. Datenschutzsicheres Arbeitsumfeld schaffen

Schon ein falsches Wort an falscher Stelle kann einen Verstoß gegen die DSGVO darstellen. Ein klassisches Beispiel wäre hier der telefonische Abgleich von Kundendaten, die von anderen Personen mitgehört werden könnten. Auch die Dauer der Datenspeicherung sollte sich am Verarbeitungszweck festmachen. Sie sollten nur so lange gespeichert werden, wie es zur Ausführung des Erhebungszweckes notwendig ist.

Fazit

Insgesamt kann allerdings festgehalten werden, dass die Schaffung eines datenschutzkonformen Arbeitsplatzes viele Risiken und Gefahren DSGVO von vorneherein minimieren kann. Dazu müssen zunächst mögliche Gefahren für die Sicherheit der personenbezogenen Daten ermittelt werden. Im zweiten Schritt müssen Arbeitsabläufe entwickelt werden, die bei der Verarbeitung der personenbezogenen Daten berücksichtigt werden müssen. Nun müssen die Mitarbeiter, die später diese Abläufe im Umgang mit den Daten nutzen, geschult werden und eine gründliche Einarbeitung erhalten. Wenn die Organisation schnell professionellen Handelsbedarf für Datenschutz und die DSGVO hat, sollte ist eine externe Beratung für einen Datenschutzcheck durch einen externen Datenschutzbeauftragten sinnvoll oder eine Software die mit Handlungsempfehlungen digital unterstützt.

Sonderfall: Gefahren DSGVO bei Bewerbungen

In allen Unternehmensbereichen, in denen personenbezogene Daten verarbeitet werden, greift die DSGVO. So ist auch die Personalabteilung betroffen, die Stellen ausschreibt und die Bewerbungen von Interessenten liest und bewertet. Auch hier müssen die Daten der sich um Arbeit Bewerbenden geschützt werden.

Doch wo lauern die Fallstricke, die zu einer Missachtung der DSGVO bei eingehenden Bewerbungen führen könnte? Grundsätzlich ist es erforderlich, den Bewerber über seine Rechte aufzuklären und die Bewerbung selbst muss mit Datenschutzhinweisen zu versehen. Die erhaltenen Bewerbungsunterlagen sollten umgehend an die verantwortliche Stelle weitergeleitet werden, die personenbezogenen Daten des Bewerbers dürfen zunächst nicht gelöscht werden.

Achtung! Datenpannen sind meldepflichtig

Ist es durch Hacking-Attacken, einem Fehlverhalten eines Mitarbeiters oder anderen technischen Problemen zu Datendiebstählen gekommen, müssen diese den Datenschutzbehörden zeitnah mitgeteilt werden. Danach geht es allerdings erst einmal darum, herauszufinden, wann eine Datenpanne vorliegt. Allerdings braucht nicht bei jedem Datenleck eine Meldung eingereicht zu werden. Nach Artikel 4, Nummer 12 DSGVO muss eine Datenpanne lediglich dann anzugeben, wenn personenbezogene Daten verlorengegangen sind oder sie zerstört wurden.

Die Meldepflichten bei einer Cyber-Attacke werden in den Artikeln 33 und 34  DSGVO geregelt, die festlegen, dass zwischen dem Vorfall und der Meldung bei der Datenschutzbehörde höchstens 72 Stunden vergehen dürfen. Wird diese Zeitspanne überschritten, ist es unbedingt erforderlich, zu erklären, warum es zu dieser Verzögerung gekommen ist.

Hier finden Sie einen weiterführenden Link, die bei der Einführung der DSGVO helfen können: Einführung der DSGVO für Nachzügler und Spätzünder