Die Fallen der Datenschutz-Grundverordnung (DSGVO) im Unternehmen im Zeitalter der Digitalisierung

Ungeschulte Mitarbeiter können im Zeitalter der Digitalisierung schnell in eine Fallgrube tappen, wenn sie personenbezogene Daten ohne Berechtigung weitergeben. Dies kann nicht nur zur ungewollten Herausgabe von Kundendaten führen und die Unternehmensreputation schädigen, sondern auch teure Bußgelder für das Unternehmen zur Folge haben. Im Folgenden erhalten Sie eine Kurzübersicht über die „beliebtesten“ Datenschutzfallen und Tipps um sie zu vermeiden.

Fast jeder hat in den letzten Monaten mehrere Emails von Unternehmen bekommen und wurde auf die neue Datenschutz-Grundverordnung (DSGVO) aufmerksam gemacht. Diese ist am 25. Mai in Kraft getreten und bringt einige Fallen für Unternehmen und deren Mitarbeiter mit. Die DSGVO verpflichtet Unternehmen in der gesamten Europäischen Union nun noch strenger den Zugriff auf personenbezogene Daten vor unberechtigten Dritten zu schützen. Diese strikten Regeln haben mittlerweile auch schon dazu geführt, dass manche Unternehmen aus Angst vor Bußgeldern und Abmahnungen ihren Onlinedienst eingestellt haben. Derzeit kann das Bußgeld bis zu 20.000.000 € oder 4 % des globalen Umsatzes betragen. Allerdings gelten manche Regeln nicht für alle Unternehmen. Dies ist abhängig von verschiedenen Kriterien wie bspw. die Unternehmensgröße. Falls die DSVGO für das Unternehmen Anwendung findet, unterliegt das Unternehmen zudem einer Meldepflicht. Dies bedeutet, dass beispielsweise bei einer Datenpanne, diese innerhalb von 72 Stunden angezeigt werden muss. Gemäß Art. 33 DSGVO sind Unternehmen von der Meldepflicht allerdings ausgenommen, wenn diese Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Welche Fallen Mitarbeiter besonders Beachtung schenken sollten, werden im Folgenden näher erläutert:

1. Autovervollständigung

Manche Programme enthalten eine nützliche Autovervollständigungsfunktion, die jedoch nach hinten los gehen kann. Wenn das Programm die falschen Daten vervollständigt und der Mitarbeiter aus Unachtsamkeit sie nicht mehr kontrolliert, können personenbezogene Daten von Dritten an den falschen Adressaten gelangen. Solche Fehler können auch aus Zeitdruck oder bei gängigen Namen wie Thomas Müller passieren. Deshalb ist es empfehlenswert die Autovervollständig auszuschalten oder die Mitarbeiter entsprechend zu schulen sorgfältig zu arbeiten.

2. Unverschlüsselte Emails

Biometrische Daten, Gesundheitsdaten und Daten zur sexuellen Orientierung genießen nach der DSGVO in Artikel 9 (1) einen besonderen Schutz. Solche Daten müssen verschlüsselt versendet werden. Falls dies nicht geschieht, verstoßt das Unternehmen gegen die DSGVO und riskiert damit ein Bußgeldverfahren. Um das Problem zu umgehen, sollte Verschlüsselungstechnologie auf dem Computer und Smartphone installiert werden. In Deutschland empfiehlt die Landesdatenschutzbehörde NRW beispielsweise für Emails das Verschlüsselungsverfahren GPG.

3. Datenherausgabe am Telefon

Sobald Mitarbeiter telefonisch über bereits gespeicherte personenbezogene Daten mit Kunden reden, muss der Kunde zuvor verifiziert werden. Dies kann beispielsweise passieren, wenn der Kunde telefonisch Daten ändern oder eine Bestellung vornehmen möchte. Dabei sollte immer eine Identitätsprüfung vom Mitarbeiter durchgeführt werden, bevor dieser Kundendaten herausgibt. Die Identitätsprüfung kann beispielsweise durch eine Stimmabgleichung, sofern dies vorher eingerichtet wurde, erfolgen, mit Hilfe eines Pins verifiziert oder durch Bestätigung von Identitätsmerkmalen wie Name, Geburtsdatum oder Adresse sichergestellt werden.

4. Whatsapp

Bei dem beliebten Messengerdienst Whatsapp ist besondere Vorsicht geboten. Whatsapp greift auf alle Kontakte im Smartphone zu und verstößt dadurch gegen die DSGVO. Daher sollten im Unternehmen Whatsapp-Alternativen verwendet werden, die nicht alle Kontakte scannt.  Beispielsweise gibt es die Apps „Threema“ und „Wire“ aus der Schweiz, „Hoccer“ aus Deutschland, „Signal“ aus den USA und weitere Messengerdienste.

5. Personenbezogene Daten in öffentlichen Geschäftsräumen

Bei Meetings mit Kunden in Gesprächsräumen sollte vorher stets kontrolliert werden, ob personenbezogene Daten von Dritten im Raum sind. Falls solche durch den Kunden einsehbar sind, verstößt dies gegen die DSGVO und das Unternehmen riskiert ein Bußgeldverfahren. Zudem könnte es auf den Kunden unprofessionell wirken, wenn Kundendaten Dritter öffentlich einsehbar sind, da der Kunde dies meist selbst auch nicht möchte.

6. Daten im Papierkorb

Manche nicht mehr benötigte Dokumente können problemlos von den Mitarbeitern in den Papierkorb geworfen werden. Allerdings dürfen Personalakten, Bewerbungen und ähnliche Dokumente nicht einfach zerrissen und in den Mülleimer geworfen werden. Gemäß DIN 66399, müssen bestimmte Sicherheitsstufen für verschiedene Arten von Daten eingehalten werden. Beispielsweise müssen Personaldaten und Arbeitsverträge in einem Aktenvernichter geschreddert werden. Beschäftigen Sie sich oder Ihr Datenschutzbeauftragten deshalb mit der DIN 66399, um mit dem Gesetz konform zu bleiben.

7. Betrügerische Mails

Viele von uns haben schon einmal Emails bekommen, die von einem betrügerischen Absender stammen. Diese Onlinediebe möchten meistens Daten und Geld rechtswidrig ergreifen. Falls diese Daten unberechtigt herausgegeben werden, verstößt dies gegen die DSGVO. Mittlerweile sind die Datendiebe professionell und es ist manchmal schwierig sie anhand einer Email zu erkennen. Deshalb sollten die Mitarbeiter geschult werden und bei bedenklichen Mails auf keine Links klicken oder Daten herausgeben und den entsprechenden IT-Experten kontaktieren.

Allerdings sind die oben genannten Fallen nur Musterbeispiele und deswegen ist es empfehlenswert, entsprechende Hilfe von Datenschutzexperten für das Unternehmen einzuholen um Bußgelder zu vermeiden und die Reputation zu schützen.

Florian Pichlmaier

Florian Pichlmaier ist serial entrepreneur. Er hat an der Hochschule Pforzheim (AACSB akkreditiert) Wirtschaftsrecht (LL.B.) studiert und anschließend einen LL.M. in Großbritannien mit Schwerpunkt Foreign Direct Investment absolviert. Schon seit Beginn seines ersten Studiums hatte er starkes Interesse an der Wirtschaftsentwicklung Chinas gezeigt und mehrere Unternehmen gegründet. Durch seine häufigen Aufenthalte in China hat er seine Vorliebe für Innovationen im technischen Bereich entdeckt und unterstützt seitdem europäische Tech-Startups dabei, auf dem chinesischen Markt Fuß zu fassen. Des Weiteren hat er ein CBD/ Hanf Unternehmen, welches die größte unabhängige Plattform für Hanfprodukte (www.cbd-now.de) bietet und eine eigene Endkonsumenten/ Lifestyle CBD-Marke (www.cbd-buddy.de).