Wer die wichtigsten Grundlagen berücksichtigt, kann selbst eine gute Basis für ein datenschutzkonformes Arbeiten legen. Lernen Sie hier die wichtigsten Datenschutz-Fehler kennen und erfahren Sie, wie Sie diese vermeiden.
1. Keine Datenschutzerklärung
Ob Online-Shop, kleiner Handwerkerbetrieb oder stationärer Handel: Eine fehlende Datenschutzerklärung auf der eigenen Website ist ein grober Datenschutz-Fehler. Sie gibt Nutzerinnen und Nutzern u. a. Auskunft über die Speicherung und Verarbeitung von Daten, auch die Verwendung von Analyse-Tools wie etwa Google Analytics muss gelistet werden. Zudem muss, wenn gefordert, ein Datenschutzbeauftragter benannt sein, an den sich Nutzerinnen und Nutzer bei Fragen oder Hinweisen wenden können.
To Do
Eine Datenschutzerklärung sollte immer von Datenschutzexperten angefertigt oder zumindest geprüft werden. Nur so können Website-Betreiber sicher gehen, dass alle Bereiche, in denen nutzerbezogene Daten verarbeitet oder gespeichert werden, erfasst sind. Da jede Website individuell ist, sollte auch die Datenschutzerklärung individualisiert sein.
2. Druckerzeugnisse nicht schreddern
Wenn Unterlagen, Dokumente oder Notizzettel nicht mehr benötigt werden, landen sie oft im Papierkorb. Dabei kann es sich um einen Datenschutz-Fehler handeln. Finden sich auf einem solchen Papier personenbezogene Daten, dürfen diese nicht einfach im Papierkorb geworfen werden. Dort können Unbefugte noch immer auf die Daten zugreifen, was eine Datenschutzverletzung darstellt.
To Do
Deshalb müssen Unternehmen dafür Sorge tragen, dass solche Unterlagen geschreddert und damit unbrauchbar gemacht werden. In Datenschutz-Schulungen werden Mitarbeitende für den datenschutzkonformen Umgang mit gedruckten Unterlagen sensibilisiert.
3. Nutzung von unsicheren Cloud-Lösungen
Cloud-Lösungen wie Google Drive oder Dropbox sind wirklich sehr praktisch: Hier können große Datenmengen gespeichert werden, bei Bedarf können mehrere Benutzerinnen und Benutzer auf die Daten zugreifen und die Speicherkapazität der unternehmensinternen Rechner werden entlastet.
Solche Cloud-Lösungen sind aber nicht immer mit der DSGVO kompatibel. Das ist beispielsweise der Fall, wenn sich die Server im Nicht-EU-Ausland befinden. Dort greift die DSGVO nicht, weshalb die Datensicherheit nicht gewährleistet werden kann.
To Do
Wenn Sie mit Cloud-Lösungen arbeiten, sollten Sie die wichtigsten Tipps zur datenschutzkonformeren Nutzung von Cloud Computing beachten. Um eine höchstmögliche Sicherheit von personenbezogenen Daten zu gewährleisten, sollten diese zudem nicht in Clouds abgespeichert werden.
4. Unberechtige Auskünfte geben
Es kann so schnell gehen: Eine unbedachte Äußerung während eines Telefonates, eine Anfrage von einer Behörde oder eine Mail ohne authentifizierten Absender – werden personenbezogene Daten an Unbefugte kommuniziert, handelt es sich um einen Datenschutz-Fehler.
To Do
Mitarbeitende sollten in Datenschutz-Schulungen dafür sensibilisiert werden, wie sie mit Anfragen zu personenbezogenen Daten umgehen, wann und wie Auskünfte zu erteilen sind und welche internen Schritte dafür notwendig sind. Hilfreich ist auch ein Datenschutzzeichen zu Auskunftsersuchen.
5. Ungeschützte Arbeitsbereiche
Unverschlossene Bürotüren, frei zugängliche Aktenschränke und Computer ohne Bildschirmsperre: Ein oft unbedachter Datenschutz-Fehler ist der eigene Arbeitsplatz. Das wird spätestens dann kritisch, wenn auch unternehmensexterne Personen Zutritt zum Gebäude und den jeweiligen Abteilungen haben oder es sich um besucherintensive Behörden handelt.
To Do
Unternehmen müssen alle notwendigen Maßnahmen treffen, um Akten, digitale Medien und Dokumente, die sensible Daten enthalten, vor unberechtigten Zugriffen zu schützen. Dabei können Datenschutzzeichen helfen, die Mitarbeitenden klare Anweisungen für das Benutzen von Aktenschränken geben. Auch das Abschließen von Türen sowie ein stringentes Besuchermanagement können helfen.
6. Schwache Passwörter
Einer der häufigsten Datenschutz-Fehler ist das fehlende Passwortmanagement. Umfragen bestätigen immer wieder, das viele Nutzerinnen und Nutzer auf unsichere Passwörter setzen, die zu leicht zu erraten sind – oder sie benutzen an verschiedener Stelle immer dasselbe Passwort. Das erleichtert Cyberattacken, die einem Unternehmen sehr schaden können.
To Do
Im besten Fall ist die Vergabe von Passwörtern zentral gesteuert. So erhalten Mitarbeitende alle notwendigen Informationen, um ein sicheres Passwort gemäß der unternehmensinternen Vorgaben zu generieren.
Zum Passwortmanagement gehört es auch, dass die Zugriffsrechte administrativ geregelt sind. Die oberste Regel: Mitarbeitende sollten nur Zugriffsrechte erhalten, die für ihre Tätigkeit unbedingt erforderlich sind. So wird das Risiko einer Datenschutzverletzung durch Cyberattacken, die auf das gesamte System zielen, minimiert.
7. Fehlende Kapazitäten für Datenschutz-Themen
Zur Einführung der DSGVO wurden schnell die wichtigsten Änderungen an der Website in Auftrag gegeben und die unterschriebenen Datenschutzinformationsblätter sammeln Sie in einem Schuhkarton? Über kurz oder lang wird diese Herangehensweise nicht erfolgreich sein. Der Datenschutz wird weiterhin ein Thema sein, mit Einführung des Telekommunikations-, Telemedien- Datenschutz-Gesetz (TTDGS) dürfte die Situation für viele Unternehmen noch komplexer werden.
To Do
Deshalb sollte der Datenschutz in den unternehmensinternen Prozessen einen festen Platz haben und in jeder unternehmerischen Entscheidung mitgedacht werden. Nur wer seine Maßnahmen für datenschutzkonformes Arbeiten kontinuierlich weiterentwickelt und neueste Entwicklungen verfolgt, kann kleine und größere Datenpannen vorbeugen. Bei fehlenden HR-Kapazitäten kann ein externer Datenschutzbeauftragter Abhilfe schaffen.
Glossar zum Thema Datenschutz
Anonymisierung
Ein Verfahren, bei dem personenbezogene Daten so verändert werden, dass die betroffene Person nicht mehr identifiziert werden kann.
Dies ist besonders wichtig bei der externen Datenmigration, um den Datenschutz gemäß DSGVO zu gewährleisten.
Mehr erfahren
Betriebliches Eingliederungsmanagement (BEM)
Ein Prozess, der darauf abzielt, Mitarbeiter nach längerer Krankheit wieder in den Arbeitsprozess zu integrieren.
Dabei müssen datenschutzrechtliche Aspekte berücksichtigt werden, insbesondere die Verarbeitung sensibler personenbezogener Daten.
Mehr erfahren
Datenschutzbeauftragter
Eine Person oder Stelle, die Unternehmen in Datenschutzfragen berät und die Einhaltung der DSGVO überwacht.
Unternehmen können einen internen oder externen Datenschutzbeauftragten bestellen.
Mehr erfahren
Datenschutz-Folgeabschätzung (DSFA)
Ein Verfahren zur Bewertung der Auswirkungen geplanter Datenverarbeitungen auf den Schutz personenbezogener Daten.
Es dient dazu, Risiken für die Rechte und Freiheiten betroffener Personen frühzeitig zu erkennen und zu minimieren.
Mehr erfahren
Datenschutzmanagementsystem (DSMS)
Ein strukturiertes System, das Unternehmen dabei unterstützt, Datenschutzanforderungen systematisch umzusetzen und zu überwachen.
Es umfasst Prozesse, Richtlinien und Verfahren zur Einhaltung der DSGVO.
Mehr erfahren
Datenschutzerklärung
Ein Dokument, das Besucher einer Website darüber informiert, welche personenbezogenen Daten erhoben, verarbeitet und gespeichert werden.
Jede Website benötigt eine individuelle Datenschutzerklärung, die alle spezifischen Datenverarbeitungen abdeckt.
Mehr erfahren
Datenmigration
Der Prozess des Übertragens von Daten zwischen verschiedenen Systemen oder Formaten.
Bei der Datenmigration müssen datenschutzrechtliche Aspekte berücksichtigt werden, um die Sicherheit und Vertraulichkeit personenbezogener Daten zu gewährleisten.
Mehr erfahren
Differential Privacy
Ein Datenschutzansatz, bei dem Daten durch Hinzufügen von „Rauschen“ verfälscht werden, um die Identifizierbarkeit einzelner Personen zu verhindern.
Dies ist besonders relevant bei der externen Datenmigration.
Mehr erfahren
Pseudonymisierung
Ein Verfahren, bei dem personenbezogene Daten so verarbeitet werden, dass sie ohne zusätzliche Informationen nicht mehr einer spezifischen Person zugeordnet werden können.
Dies dient dem Schutz der Privatsphäre und ist ein zentrales Element der DSGVO.
Mehr erfahren
Technische und organisatorische Maßnahmen (TOMs)
Maßnahmen, die Unternehmen ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten.
Dazu gehören beispielsweise Verschlüsselung, Zugangskontrollen und regelmäßige Schulungen der Mitarbeiter.
Mehr erfahren