Ein Jahr DSGVO – viele Unternehmen haben noch immer Handlungsbedarf

7. Mai 2019 Weser-Ems-Wirtschaft Blog, IT & Kommunikation Kommentare deaktiviert für Ein Jahr DSGVO – viele Unternehmen haben noch immer Handlungsbedarf
Der zertifizierte Datenschutzbeauftragte Haye Hösel ist Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, die bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit berät.
Der zertifizierte Datenschutzbeauftragte Haye Hösel ist Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, die bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit berät.

Ein Jahr DSGVO – viele Unternehmen haben noch immer Handlungsbedarf

Gastbeitrag: Am 25. Mai 2019 jährt sich das Inkrafttreten der Datenschutz-Grundverordnung, kurz DSGVO, zum ersten Mal. Sie wurde mit dem Ziel eingeführt, den Schutz personenbezogener Daten zu wahren. Als personenbezogen gelten alle Informationen, „die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

Das bedeutet, nicht nur Namen, sondern auch Daten wie Telefonnummern, Kontodaten oder IP-Adressen zählen dazu. Was viele Unternehmen dabei vergessen: Die DSGVO gilt nicht nur im Umgang mit Kundendaten, sondern auch Mitarbeiter- sowie Lieferantendaten unterliegen den Datenschutzregelungen. Doch noch immer besteht zumindest teilweise Handlungsbedarf.

Dabei reicht es nicht alleine aus, Mitarbeitern DSGVO-konformes Handwerkszeug zur Verfügung zu stellen. Vielmehr gilt es alle über die Wichtigkeit des Datenschutzes aufzuklären und ein allgemeines Bewusstsein zu schaffen. Nicht immer lassen sich Verletzungen der Datenschutzgesetze für Ungeschulte als solche offensichtlich identifizieren – regelmäßige Schulungen sollten deshalb zur Tagesordnung gehören.

 

Datenschutzbeauftragter in wichtiger Funktion

Unternehmen, Vereine und andere Organisationen mit mehr als 10 Mitarbeitern müssen einen Datenschutzbeauftragten benennen. Dies kann sowohl ein interner Mitarbeiter als auch jemand Externes sein. Insbesondere für kleine und mittelständische Unternehmen lohnt es sich, einen externen Datenschutzbeauftragten zu beauftragen.

Datenschutzbeauftragte übernehmen unterrichtende sowie beratende Tätigkeiten und dienen als Ansprechpartner für betroffene Personen, Mitarbeiter sowie die Geschäftsführung. Im Einzelnen übernimmt er also Aufgaben wie die Überwachung der Einhaltung der Datenschutzgesetze sowie der EU-DSGVO und die Mitarbeiterschulung in allen Belangen hinsichtlich des Datenschutzes. Darüber hinaus entwickelt er ein Datenschutzkonzept in Zusammenarbeit mit der Geschäftsführung und unterstützt bei Anfragen der entsprechenden Aufsichtsbehörde.

 

Datenschutzerklärung für die Website – auf die Details kommt es an

Artikel 13 der DSGVO zufolge müssen betreffende Personen bei der Erhebung personenbezogener Daten informiert werden. Da bereits IP-Adressen dazu zählen, braucht jede Website, die diese speichert, eine Datenschutzerklärung – das sind nahezu alle, da selbst Under-Construction-Websites oder Web- Visitenkarten diese speichern.

Noch immer lassen sich im Internet viele Unternehmenswebsites finden, die nicht den aktuellen Gesetzesbestimmungen entsprechen. Der Grund hierfür: Jede Website verfügt über eine individuelle Struktur und es kommen unterschiedliche Plug-ins, Cookies oder Tracking- Tools zum Einsatz. Deshalb reicht es nicht aus, eine allgemeine Datenschutzerklärung irgendwo zu kopieren oder automatisch zu generieren, um sie anschließend auf der Website zu veröffentlichen, um so der Informationspflicht nachzukommen.

Inhaltlich enthält eine korrekt formulierte Datenschutzerklärung Informationen darüber, welches Interesse an der Verarbeitung der Daten besteht. Sie muss zudem Details der Betroffenenrechte beinhalten. Neben dem Beschwerderecht zählt dazu unter anderem das Recht auf Widerruf. Besteht die Möglichkeit, dass eine Übertragung der Daten an Drittstaaten erfolgt, muss auch darüber eine Aufklärung erfolgen. Darüber hinaus gehören die Kontaktdaten des Datenschutzbeauftragten in die Erklärung.

Beim Verfassen der Erklärung kommt es auf eine korrekte Formulierung an. Das Gesetz schreibt vor, dass sie in „klarer und einfacher Sprache“ erfolgen muss. Zudem muss sie in „präziser, transparenter, verständlicher und leicht zugänglicher Form“ den Usern zur Verfügung stehen. Praktisch umgesetzt bedeutet dies, dass User sie von jeder Unterseite aus mit einem Klick erreichen können und sie kein Bestandteil des Impressums darstellen darf, wenn darüber keine eindeutige Kennzeichnung erfolgt. Es empfiehlt sich darum, Impressum und Datenschutzerklärung über zwei unterschiedliche Menüpunkte zu verlinken.

 

Tracking darf nur noch datenschutzkonform erfolgen

Unternehmen verwenden Tracking-Tools, um nachzuvollziehen, welche User für wie lange auf der Website verbleiben. Mithilfe der Analyse des Userverhaltens erstellen sie dann Nutzerprofile, die das Ausspielen personalisierter Werbung ermöglichen.

Um DSGVO-konform zu tracken, gibt es zwei Möglichkeiten: einerseits das Erstellen anonymisierter und andererseits das Erfassen von pseudonymisierten Nutzerprofilen. Bei Ersterem werden nur Daten wie Datum und Uhrzeit des Besuchs erfasst, weil sie weder personenbezogen noch personenbeziehbar sind.

Bei der zweiten Variante erhalten Nutzer Pseudonyme. Wenn Unternehmen diese Möglichkeiten nicht nutzen wollen, müssen sie auf der Website eine Opt-in-Option einrichten: Hierbei müssen User der Nutzung ihrer Daten aktiv zustimmen und die Möglichkeit eines Widerrufs haben.

 

Sonderfall Personalabteilung

Mitarbeiter haben im Umgang mit personenbezogenen Daten die gleichen Rechte wie die Kunden eines Unternehmens. Aus diesem Grund haben Beschäftigte in der Personalabteilung eine besondere Verantwortung. So gilt es für sie Personalunterlagen unter Verschluss zu halten und darauf zu achten, dass die Übermittlung von Mitarbeiterdaten per E-Mail ausschließlich verschlüsselt erfolgt.

Neben der Informationspflicht kommt auch dem Auskunftsrecht eine besondere Bedeutung in der DSGVO zu. Das bedeutet, wenn Mitarbeiter Datenauskunft fordern – beispielsweise aufgrund einer Kündigung – müssen Personalverantwortliche innerhalb eines Monats eine Kopie jeglicher personenbezogenen Daten, die verarbeitet werden, aushändigen.

Aus diesem Grund empfiehlt es sich, bereits im Vorfeld hierzu bestimmte Prozesse festzulegen. Gleiches gilt auch für den Fall, dass Mitarbeiterinnen in den Mutterschutz gehen. Auch hier muss bereits vorher feststehen, welche Zugänge gesperrt werden müssen.

 

Sichere Passwörter verwenden

Nicht nur bei der Verwendung des Dienstcomputers oder Laptops muss ein sicheres Passwort zum Einsatz kommen. Auch zum Schutz von Diensthandys muss anstelle eines einfachen Wischmusters oder einer vierstelligen Zahlenkombination ein sicheres Passwort Verwendung finden. Es besteht aus acht bis zwölf Zeichen in Groß- und Kleinschreibung und enthält neben Buchstaben auch Ziffern sowie Sonderzeichen. Zudem gilt es Passwörter regelmäßig zu ändern.

 

Datenschutzherausforderung Messengerdienste fürs Handy

Auch die dienstliche Nutzung von Handys birgt datenschutzrechtliche Gefahren, da beispielsweise Anwendungen wie WhatsApp nicht nur Zugriff auf alle in einem Smartphone gespeicherten Kontaktdaten haben, sondern sie auch in die USA sowie weitere Staaten, die als Drittländer gelten, übermitteln.

Da dies der DSGVO zufolge bereits eine Übermittlung personenbezogener Daten darstellt, bedarf es einer Rechtsgrundlage. Aus diesem Grund betrachten die deutschen Aufsichtsbehörden für Datenschutz viele Messenger als nicht datenschutzkonform.

Sie sollten darum nicht in Unternehmen zum Einsatz kommen. Wenn Unternehmen nicht auf Messengerdienste verzichten wollen, müssen sie auf Dienste ausweichen, die den deutschen Gesetzen und der DSGVO entsprechen. Eine weitere Lösung stellt das Nutzen von sogenannten Containern dar, bei denen die Speicherung sensibler Daten in einem verschlüsselten Bereich erfolgt, sodass bestimmte Anwendungen nicht mehr darauf zugreifen können.

 

Sichtschutz gegen unbefugte Mitleser

Homeoffice und die freie Einteilung der Arbeitszeiten gehören für viele Arbeitnehmer mittlerweile zum Alltag. Auch die Arbeit von unterwegs auf dem Weg zu einem Termin stellt dank technischer Innovationen keinen Einzelfall mehr da. Was viele hierbei gar nicht bedenken: Aus Datenschutzsicht kann dabei ein Problem entstehen, wenn unbefugte Sitznachbarn so die Möglichkeit bekommen, Firmeninterna zu lesen. Die Verwendung von Blickschutzfiltern sollte deshalb eine Selbstverständlichkeit darstellen, sobald außerhalb des Büros der Zugriff auf sensible Firmendaten erfolgt. Weitere Informationen unter www.hubit.de

 

 

Autorenporträt:

Der zertifizierte Datenschutzbeauftragte Haye Hösel ist Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, die bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit berät.

Er arbeitet auch als externer Fachberater für den TÜV Süd im Bereich Datenschutz. Das mittlerweile elfköpfige Team setzt sich aus zertifizierten Datenschutzbeauftragten, Juristen sowie IT-Experten zusammen und hat sich auf die Erarbeitung von individuellen Datenschutzkonzepten spezialisiert.

Damit Kunden deutschlandweit einen Ansprechpartner vor Ort haben,ist der Aufbau des HUBIT Datenschutz Franchise-Netzwerks geplant.

 

Das könnte Sie auch interessieren

Hebebühnen: Was man über sie wissen sollte 
Auftragseingänge im November 2023: Nachfrage nach niedersächsischen Industriegütern im Vergleich zum...
WERBUNG: Nachhaltiges Marketing: Wie Greengiving mit umweltfreundlichen Werbegeschenken punktet
Promi und Politiker Datenklau - Veröffentlichung von persönlichen Daten und Dokumenten im Internet
Digitale Außenwerbung wirkt
Passende Medientechnik für den Besprechungsraum
Gute Arbeitskleidung – clever anschaffen und richtig pflegen
Aufholjagd bei Digitalisierung in Niedersachsen ist im vollen Gange

Ähnliche Artikel

EuGH-Urteil und DSGVO: Zustimmung ist bei Cookies gefragt
IT & Kommunikation

EuGH-Urteil und DSGVO: Zustimmung ist bei Cookies gefragt

31. Januar 2020 WEWRedakteur IT & Kommunikation Kommentare deaktiviert für EuGH-Urteil und DSGVO: Zustimmung ist bei Cookies gefragt

EuGH-Urteil und DSGVO: Zustimmung ist bei Cookies gefragt Seit einigen Jahren gehören „Cookie-Boxen“ zur alltäglichen Nutzer-Erfahrung in Deutschland. Wer eine Webseite aufruft, erhält eine Einblendung, welche „Kekse“ gesetzt sind, die das Surfverhalten der Besucher verfolgen […]

IT-Berufsausbildung von Grund auf neu gestaltet
Karriere

IT-Berufsausbildung von Grund auf neu gestaltet

27. Juli 2020 WEWRedakteur Karriere Kommentare deaktiviert für IT-Berufsausbildung von Grund auf neu gestaltet

IT-Berufsausbildung von Grund auf neu gestaltet Ab August gelten neue Ausbildungsverordnungen für die vier IT-Berufe Anpassung an wirtschaftliche und technologische Entwicklung Mit dem neuen Ausbildungsjahr können Auszubildende im Bereich Informationstechnik aus vier neu gestalteten Berufen […]

LfD Niedersachsen unterstützt Betriebe bei datenschutzkonformer Umsetzung der Corona-Verordnung
Corona Krise in Weser-Ems

LfD Niedersachsen unterstützt Betriebe bei datenschutzkonformer Umsetzung der Corona-Verordnung

27. Mai 2020 WEWRedakteur Corona Krise in Weser-Ems, IT & Kommunikation Kommentare deaktiviert für LfD Niedersachsen unterstützt Betriebe bei datenschutzkonformer Umsetzung der Corona-Verordnung

LfD Niedersachsen unterstützt Betriebe bei datenschutzkonformer Umsetzung der Corona-Verordnung Hinweise zur Dokumentation Die Corona–Verordnung des Landes Niedersachsen sieht für zahlreiche Branchen und Einrichtungen Dokumentationspflichten vor, um Infektionsketten nachvollziehen zu können. Viele Verantwortliche wissen nicht genau, […]