Wer die wichtigsten Grundlagen berücksichtigt, kann selbst eine gute Basis für ein datenschutzkonformes Arbeiten legen. Lernen Sie hier die wichtigsten Datenschutz-Fehler kennen und erfahren Sie, wie Sie diese vermeiden.
1. Keine Datenschutzerklärung
Ob Online-Shop, kleiner Handwerkerbetrieb oder stationärer Handel: Eine fehlende Datenschutzerklärung auf der eigenen Website ist ein grober Datenschutz-Fehler. Sie gibt Nutzerinnen und Nutzern u. a. Auskunft über die Speicherung und Verarbeitung von Daten, auch die Verwendung von Analyse-Tools wie etwa Google Analytics muss gelistet werden. Zudem muss, wenn gefordert, ein Datenschutzbeauftragter benannt sein, an den sich Nutzerinnen und Nutzer bei Fragen oder Hinweisen wenden können.
To Do
Eine Datenschutzerklärung sollte immer von Datenschutzexperten angefertigt oder zumindest geprüft werden. Nur so können Website-Betreiber sicher gehen, dass alle Bereiche, in denen nutzerbezogene Daten verarbeitet oder gespeichert werden, erfasst sind. Da jede Website individuell ist, sollte auch die Datenschutzerklärung individualisiert sein.
2. Druckerzeugnisse nicht schreddern
Wenn Unterlagen, Dokumente oder Notizzettel nicht mehr benötigt werden, landen sie oft im Papierkorb. Dabei kann es sich um einen Datenschutz-Fehler handeln. Finden sich auf einem solchen Papier personenbezogene Daten, dürfen diese nicht einfach im Papierkorb geworfen werden. Dort können Unbefugte noch immer auf die Daten zugreifen, was eine Datenschutzverletzung darstellt.
To Do
Deshalb müssen Unternehmen dafür Sorge tragen, dass solche Unterlagen geschreddert und damit unbrauchbar gemacht werden. In Datenschutz-Schulungen werden Mitarbeitende für den datenschutzkonformen Umgang mit gedruckten Unterlagen sensibilisiert.
ShapeMinds
3. Nutzung von unsicheren Cloud-Lösungen
Cloud-Lösungen wie Google Drive oder Dropbox sind wirklich sehr praktisch: Hier können große Datenmengen gespeichert werden, bei Bedarf können mehrere Benutzerinnen und Benutzer auf die Daten zugreifen und die Speicherkapazität der unternehmensinternen Rechner werden entlastet.
Solche Cloud-Lösungen sind aber nicht immer mit der DSGVO kompatibel. Das ist beispielsweise der Fall, wenn sich die Server im Nicht-EU-Ausland befinden. Dort greift die DSGVO nicht, weshalb die Datensicherheit nicht gewährleistet werden kann.
To Do
Wenn Sie mit Cloud-Lösungen arbeiten, sollten Sie die wichtigsten Tipps zur datenschutzkonformeren Nutzung von Cloud Computing beachten. Um eine höchstmögliche Sicherheit von personenbezogenen Daten zu gewährleisten, sollten diese zudem nicht in Clouds abgespeichert werden.
4. Unberechtige Auskünfte geben
Es kann so schnell gehen: Eine unbedachte Äußerung während eines Telefonates, eine Anfrage von einer Behörde oder eine Mail ohne authentifizierten Absender – werden personenbezogene Daten an Unbefugte kommuniziert, handelt es sich um einen Datenschutz-Fehler.
To Do
Mitarbeitende sollten in Datenschutz-Schulungen dafür sensibilisiert werden, wie sie mit Anfragen zu personenbezogenen Daten umgehen, wann und wie Auskünfte zu erteilen sind und welche internen Schritte dafür notwendig sind. Hilfreich ist auch ein Datenschutzzeichen zu Auskunftsersuchen.
ShapeMinds
5. Ungeschützte Arbeitsbereiche
Unverschlossene Bürotüren, frei zugängliche Aktenschränke und Computer ohne Bildschirmsperre: Ein oft unbedachter Datenschutz-Fehler ist der eigene Arbeitsplatz. Das wird spätestens dann kritisch, wenn auch unternehmensexterne Personen Zutritt zum Gebäude und den jeweiligen Abteilungen haben oder es sich um besucherintensive Behörden handelt.
To Do
Unternehmen müssen alle notwendigen Maßnahmen treffen, um Akten, digitale Medien und Dokumente, die sensible Daten enthalten, vor unberechtigten Zugriffen zu schützen. Dabei können Datenschutzzeichen helfen, die Mitarbeitenden klare Anweisungen für das Benutzen von Aktenschränken geben. Auch das Abschließen von Türen sowie ein stringentes Besuchermanagement können helfen.
ShapeMinds
6. Schwache Passwörter
Einer der häufigsten Datenschutz-Fehler ist das fehlende Passwortmanagement. Umfragen bestätigen immer wieder, das viele Nutzerinnen und Nutzer auf unsichere Passwörter setzen, die zu leicht zu erraten sind – oder sie benutzen an verschiedener Stelle immer dasselbe Passwort. Das erleichtert Cyberattacken, die einem Unternehmen sehr schaden können.
To Do
Im besten Fall ist die Vergabe von Passwörtern zentral gesteuert. So erhalten Mitarbeitende alle notwendigen Informationen, um ein sicheres Passwort gemäß der unternehmensinternen Vorgaben zu generieren.
Zum Passwortmanagement gehört es auch, dass die Zugriffsrechte administrativ geregelt sind. Die oberste Regel: Mitarbeitende sollten nur Zugriffsrechte erhalten, die für ihre Tätigkeit unbedingt erforderlich sind. So wird das Risiko einer Datenschutzverletzung durch Cyberattacken, die auf das gesamte System zielen, minimiert.
7. Fehlende Kapazitäten für Datenschutz-Themen
Zur Einführung der DSGVO wurden schnell die wichtigsten Änderungen an der Website in Auftrag gegeben und die unterschriebenen Datenschutzinformationsblätter sammeln Sie in einem Schuhkarton? Über kurz oder lang wird diese Herangehensweise nicht erfolgreich sein. Der Datenschutz wird weiterhin ein Thema sein, mit Einführung des Telekommunikations-, Telemedien- Datenschutz-Gesetz (TTDGS) dürfte die Situation für viele Unternehmen noch komplexer werden.
To Do
Deshalb sollte der Datenschutz in den unternehmensinternen Prozessen einen festen Platz haben und in jeder unternehmerischen Entscheidung mitgedacht werden. Nur wer seine Maßnahmen für datenschutzkonformes Arbeiten kontinuierlich weiterentwickelt und neueste Entwicklungen verfolgt, kann kleine und größere Datenpannen vorbeugen. Bei fehlenden HR-Kapazitäten kann ein externer Datenschutzbeauftragter Abhilfe schaffen.