DSGVO – 10 Anzeichen für Unternehmen, dass mehr Datenschutz nötig

Datenschutz ist längst nicht bei allen Unternehmen angekommen

Die Datenschutzgrundverordnung (DSGVO) gibt es seit Mai 2018. Sie kam nicht besonders überraschend und wurde vorher angekündigt. Einige wenige Unternehmen erfüllten praktisch mit Inkrafttreten der Verordnung alle Richtlinien.

Die meisten jedoch schönsten jede Art der Veränderung im Bereich des Datenschutzes konsequent vor sich her. Viele der älteren Unternehmen, die vielleicht auch von eher älteren Vorständen geführt werden, taten sich schwer mit entsprechenden Veränderungen. Viele von ihnen tun dies noch immer. Datenschutz für Unternehmen ist jedoch sehr wichtig und kann in letzter Konsequenz vor Abmahnungen und sehr empfindlichen Geldstrafen schützen. Bei welchen Symptomen ist der Datenschutzbeauftragte aufzusuchen? Dieser Frage wollen wir uns im Folgenden widmen.

 

Viele Unternehmen scheuen sich

 

Die Welt des Datenschutzes mag mit seiner schier unendlichen Anzahl an Regeln und Verordnungen recht abschreckend wirken. Daher versuchen manche Unternehmen auch heute noch, sich vor der finalen Umsetzungen aller Regeln im Sinne der DSGVO umzusetzen. Doch diese Ersparnisse an Zeit und Geld können sich schnell in Luft auflösen, wenn die ersten Abmahnungen ins Haus flattern. Daher gilt es die Symptome der Datenschutz-Prokastination frühzeitig zu erkennen und die entsprechenden Gegenmaßnahmen zu treffen.

1. Keine Zeit

Selbstverständlich kostet es Zeit, sich mit den ständig wechselnden und erneuertn datenschutzrechtlichen Vorgaben vertraut zu machen. Egal welche Person oder welche Mitarbeiter des Unternehmens sich mit dem Thema beschäftigen sollen, es wird eine gewisse Zeit des Selbststudiums und für Fortbildungen notwendig sein. In dieser Zeit steht der Mitarbeiter selbstverständlich nicht für seine eigentliche Tätigkeit im Unternehmen zur Verfügung. Die Bereitschaft, etwas Zeit in den Datenschutz zu investieren, muss sich erst in den Köpfen der Geschäftsführung festsetzen.

2. Kein qualifizierter Datenschutzbeauftragter

Jedes Unternehmen hat mindestens einen Datenschutzbeauftragten. Dabei kann es sich entweder um eine Person mit fundierten Kenntnissen, oder um eine eher zwangsweise bestimmte Person handeln. Leider ist bei vielen Unternehmen Letzteres der Fall. Entweder entscheidet ein Los oder es wird einfach ein Mitarbeiter durch die Geschäftsführung bestimmt. Das Problem liegt dabei auf der Hand. Sollte ein Mitarbeiter die Stelle bekleiden müssen, obwohl er nicht möchte, wird er das Thema entsprechend stiefmütterlich behandeln. Im Endeffekt führt das zu keinem optimalen Ergebnis.

3. Das Thema wird nicht ernst genommen

In jedem Unternehmen muss ein neuer Mitarbeiter einige Richtlinien zur Arbeitsweise und zum Datenschutz unterschreiben. Dabei gibt es vielerorts einen alten und verstaubten Ordner, der jedes Jahr ein Mal aus dem Schrank geholt wird. Jeder leistet eine Unterschrift und gibt damit an, diese Richtlinien gelesen und verstanden zu haben. Jedoch liest niemand diese Richtlinien. Im besten Fall sind sie in einem Digitalen Ordner gespeichert und man kann über die Suchfunktion nach bestimmt Regelungen und Paragraphen suchen.
Leider ist es jedoch in zu vielen Unternehmen der Alte und staubige Ordner.

4. Einwilligungen

Es werden zu viele oder gar keine Einwilligungen eingeholt. Werden keine Einwilligungen eingeholt geht es auf jeden Fall nicht mit rechten Dingen zu. Das Unternehmen handelt nicht nach den geltenden Richtlinien. Für das Erheben und Speichern von personenbezogenen Daten bedarf es immer der ausdrücklichen Zustimmung der betreffenden Person.
Sollten ständig Einwilligungen für alles Mögliche eingeholt werden, zeugt das von Unsicherheit des Unternehmens. Wer die Datenschutz-Richtlinien kennt, der weiß wofür es einer Einwilligung bedarf und wofür nicht. Unsichere Unternehmen sichern sich lieber öfter ab, um damit ihre Unwissenheit auszugleichen.

5. Das Unternehmen sammelt Kundendaten

Unternehmen sind immer darauf aus, ihre Kunden möglichst lange an sich zu binden. Dafür sind sie immer bestrebt im Besitz der aktuellen Daten wie Anschrift und Telefonnummer zu sein. In bestimmten Abständen erfolgt dann eine Art Erinnerung, dass man sich ja Mal wieder die Produkte oder Dienstleistungen des Unternehmens anschauen könnte.
Dabei vergessen viele Unternehmen, dass sie die Daten von Kunden nach Beendigung eines Geschäfts oder einer Geschäftsbeziehung umgehend löschen müssen.

6. Der Datenschutzbeauftragte

Der Datenschutzbeauftragte hängt sich nicht rein und lässt die meisten Verstöße durchgehen. Dies geschieht häufig dann, wenn die restliche Belegschaft und die Geschäftsleitung die Regeln und Verordnungen als unnötig abtun. Dann arbeitet eine Person gegen viele andere an und resigniert dadurch wesentlich schneller. Es bedarf also einer Zusammenarbeit aller Beschäftigten, damit die Regeln des Datenschutzes optimal umgesetzt werden können.

7. Keine Grenzen

Den einzelnen Abteilungen werden keine vernünftigen und klaren Grenzen gesetzt. Dadurch werden viele über die Stränge schlagen und datenschutzrechtliche Verstöße begehen.

8. Marketing darf alles

Marketing ist wichtig. Daher sind die meisten Abteilungen in diesem Bereich mit vielen Befugnissen und einem entsprechenden Budget ausgestattet. Die Marketing-Abteilung sammelt Kundendaten und wertet diese aus. Das ist zwar wichtig für ihre Arbeit, verstößt jedoch häufig gegen die Bestimmungen.

9. Große Versprechungen

Ihr Unternehmen nimmt die persönliche Freiheit sehr ernst. Natürlich können alle Mitarbeiter frei entscheiden, was sie nutzen möchten. Die einzigen Voraussetzungen: Es muss einfach zu bedienen, günstig und am besten aus den USA sein. Wenn der Dienstleister noch mit „100 % Datenschutzkonformität“ wirbt, ist die Sache auf der sicheren Seite. Wenn der eine oder andere noch Bedenken hat, wird die Software einfach konzernweit zur Pflichtnutzung ausgerollt.

10. Sichere Technik und Datenspeicher

Daten müssen gespeichert werden. Die Durchführung und der Umfang der Speicherung können jedoch sehr unterschiedlich ausfallen. Dabei kann man viel Geld für teure Datentechnik und Verschlüsselung ausgeben, oder es sich einfach machen. Je einfacher und günstiger ein Unternehmen seine IT gestaltet, desto unsicherer ist sie in der Regel. Dadurch besteht eine erhöhte Gefahr, dass die Kundendaten durch ein Versehen oder aber einen Angriff von außen offengelegt werden.

 

Was tun?

 

Zunächst besteht die Möglichkeit, einen unabhängigen Datenschutzbeauftragten zu engagieren, der zumindest die groben Verstöße im Unternehmen aufdeckt und Änderungsvorschläge machen kann. Natürlich wird dieser ein entsprechendes Honorar verlangen, die Kosten werden jedoch Früchte tragen. Die Änderungen können langfristig zu einer erhöhten Datensicherheit im Unternehmen führen.

 

Weiteres-Gut zu wissen

 

1. Private Nutzung von E-Mail und Internet

Viele Mitarbeiter nutzen das berufliche E-Mail-Programm und das Internet, um private Dinge zu erledigen. Das ist für den Mitarbeiter einfach, birgt jedoch die Gefahr, dass die internen Daten nach außen gelangen.
Die Versuchung, ein Firmen-E-Mail-Konto oder einen Internetzugang während der Geschäftszeiten privat zu nutzen, ist für Mitarbeiter groß. Gerade weil es die Kommunikation komfortabler macht und die Menge privater Daten auf Smartphones schützt, nutzen viele Mitarbeiter das Gerät für ihre eigenen Zwecke. Ob damit eine widrige Nutzung einhergeht, sollten Arbeitgeber durch eigene Regelungen zur IT-Nutzung klären. Dadurch können Unsicherheiten und Fehlverhalten in der Belegschaft verhindert oder minimiert werden.

 

2. Nötige Folgeabschätzung

Nicht jede Verarbeitung personenbezogener Daten greift in gleichem Maße in die Persönlichkeitsrechte der Betroffenen ein. Durch eine Datenschutz-Folgenabschätzung (DSFA) sollte der Verantwortliche die möglichen Risiken und Folgen der Datenverarbeitung für die Betroffenen abschätzen. Unser Praxisleitfaden hilft Ihnen beim Einstieg!

Lesen sie hierzu unseren Beitrag zur Folgenabschätzung:

 

 

  1. Was tun bei einem Verkauf des Unternehmens?Wird ein Unternehmen verkauft, fallen oft auch Kundendaten in den Besitz des neuen Eigentümers. Es ist jedoch Vorsicht geboten, da die erhobenen Kundendaten personenbezogene Daten sind und oft über reine Leistungsdaten hinausgehen. Aufgrund geltender Datenschutzgesetze dürfen solche personenbezogenen Daten nur mit Zustimmung der betroffenen Person oder mit Verweis auf eine einschlägige Rechtsgrundlage verarbeitet werden. Die Übertragung von Daten an den neuen Eigentümer kann eine Verarbeitung im Sinne der Richtlinien darstellen.

 

Fazit

Es gibt viele Anzeichen, die auf Missstände beim Datenschutz hinweisen können. Es liegt an jedem einzelnen Mitarbeiter und insbesondere am Datenschutzbeauftragten, diese Missstände aufzudecken und sich für Verbesserungen einzusetzen.
Um ein Unternehmen endgültig umzustellen, bedarf es der Mitarbeit aller Beschäftigten und der Geschäftsführung. Leider wird man eine besonders sture und hartnäckige Geschäftsführung erst umstimmen müssen, um freie Hand bei eventuellen Änderungen in den Abläufen zu haben.
Die technische Datensicherheit ist ebenfalls ein wichtiger Faktor und meistens mit Kosten verbunden. Hier muss die Bereitschaft des Unternehmens gegeben sein, den ein oder anderen Euro für die technischen Sicherheitseinrichtungen auszugeben.

Früher oder später werden sich alle Unternehmen der Macht des Datenschutzes unterwerfen müssen. Wer die Umstellungen und Verbesserungen auf eine längere Zeit strecken kann, entgeht einer hohen Belastung. Daher lohnt es sich in jedem Fall, Datenschutzrechtliche Problemstellungen frühzeitig anzugehen.

 

Beratung über Max2-Consulting GmbH:

 

Max2-Consulting GmbH bietet Datenschutzlösungen für alle Unternehmen. Der Gründer und Geschäftsführer ist TÜV-geprüfter Datenschutzauditor, Datenschutzbeauftragter (IHK) und außerdem als Datenschutzberater tätig.

Haben Sie Fragen, wir helfen gerne: https://datenschutzbeauftragter-dsgvo.com/

Weitere News zur DSGVO:

DSGVO – Auftragsdatenverarbeiter – Was Beachten – Richtiger Umgang

https://datenschutzbeauftragter-dsgvo.com/dsgvo-auftragsdatenverarbeiter-beachten-richtiger-umgang/

 

DSGVO – Verantwortlicher und welche Verantwortung