DSGVO – die 5 häufigsten Stolperfallen & Fehlerquellen sowie Tipps zur Verbesserung

Auch heute noch fällt es vielen Unternehmen schwer, den seit Mai 2018 geltenden datenschutzrechtlichen Vorgaben gerecht zu werden. Bei Zuwiderhandlung drohen hohe Bußgelder, im schlimmsten Fall sogar Freiheitsstrafen. Manchmal sind Nachlässigkeit oder sogar Untätigkeit der Verantwortlichen der Grund für Beanstandungen und Abmahnungen durch die Aufsichtsbehörde.

Doch auch die Komplexität der Datenschutzgrundverordnung DSGVO sorgt immer noch für Unsicherheiten bei Umsetzung und Durchführung. Die beste Möglichkeit, um Abmahnungen und Strafzahlungen im Datenschutz zu vermeiden, ist die Bestellung eines Datenschutzbeauftragten. Diese ist in bestimmten Fällen ohnehin zwingend erforderlich. Der Datenschutzbeauftragte berät die Verantwortlichen für den Datenschutz in allen datenschutzrechtlichen Fragen und unterstützt diese bei der Durchführung der datenschutzrechtlichen Anforderungen. Somit ist er der Schlüssel zur effizienten, fehlerfreien Umsetzung der datenschutzrechtlichen Pflichten in einem Unternehmen.

 

  1. Unsichere Praktiken im Arbeitsalltag

Der sorglose Umgang mit Passwörtern durch Mitarbeiter ist eine oft unterschätzte Ursache für Datenpannen in Unternehmen. Mitarbeiter neigen dazu, ihre Passwörter und PINs aufzuschreiben oder immer die gleichen Passwörter zu verwenden. Auch die Gestaltung der Passwörter ist oftmals unzureichend. So werden gerne einfache Passwörter gewählt, die leicht zu merken sind. Dieses Verhalten öffnet Hackern Tor und Tür. Es ist für Hacker ein Leichtes und dauert nur wenige Sekunden, um z. B. 8-stellige, nur aus Kleinbuchstaben bestehende Passwörter zu knacken. Dagegen hilft vor allem, die Passwörter ausreichend lang und komplex zu gestalten sowie ein regelmäßiger Wechsel. Viele Unternehmen erzwingen den regelmäßigen Wechsel mittlerweile auch maschinell. Um Passwörter sicherzumachen, hilft z. B. eine Kombination von Klein- und Großschreibung sowie dem Einsatz von Sonderzeichen und Zahlen anstelle von Buchstaben. Bewährt hat sich auch die Praxis, sich ein Sprichwort als Eselsbrücke zu überlegen und für die Erstellung des Passworts beispielsweise nur die Anfangs- und/oder Endbuchstaben der einzelnen Worte zu nutzen. Auch die von vielen Unternehmen eingeführte 2-Faktor-Authentifizierung (z. B. TAN/OTP-Systeme, Security-Token, Chipkarte, TAN-Generator oder Biometrie (z.B. Fingerabdrucksensor)) kann die Sicherheit von Passwörtern noch erheblich erweitern. Hacker haben dann in der Regel keine Chance mehr, diese zu knacken.

 

  1. Unrechtmäßige Verarbeitung personenbezogener Daten durch Mitarbeiter

Die Sensibilität von Mitarbeitern im beim Umgang mit den personenbezogenen Daten ihres Unternehmens lässt oft zu wünschen über. Schlimmstenfalls fehlt sogar die Kenntnis darüber, welche Daten wann verarbeitet werden dürfen. Darunter fällt auch die Datensammlung und Löschung. Unternehmen sind gut beraten, wenn sie ihre Mitarbeiter regelmäßig im Umgang mit sensiblen Daten schulen. Nachlässigkeiten bei der Mitarbeiterschulung zahlen sich nicht aus. Ein falscher Gebrauch, Zweckentfremdung oder eine Erhebung ohne festgelegten Zweck von Daten kann mit hohen Bußgeldern geahndet und strafrechtlich verfolgt werden.

 

  1. Nutzung von zu unsicherer Cloud-Lösungen

Clouds sind Datenspeicher, die sich auf einem mit dem Internet verbundenen externen Server befinden und jederzeit über einen gängigen Webbrowser abgerufen und bearbeitet werden können. Nutzer sogenannter Cloud-Dienste müssen so ihre Daten, (Dokumente, Fotos, Filme) nicht mehr auf der eigenen Festplatte zu Hause speichern. Cloud-basierte Lösungen sind heutzutage für viele Unternehmen alltägliche Verfahren. Doch Vorsicht, nicht immer ist auch eine DSGVO-Konformität gewährleistet. Das betrifft insbesondere solche Cloud-Dienstleister, die die Daten in US-amerikanischen Rechenzentren speichern. Nach in den USA geltendem Recht müssen diese Daten auf Anfrage dortiger Geheimdienste offengelegt werden. US-Behörden erlangen so Zugriff auf persönliche oder firmeninterne Daten, was ein Verstoß gegen die Datenschutzverordnung bedeutet. In diesem Fall haftet das cloudnutzende Unternehmen. Dagegen hilft ausschließlich auf solche Anbieter zu setzen, die die Daten in europäischen oder deutschen Rechenzentren speichern. Eine andere, gleichfalls sichere Alternative bieten auch sogenannte On-Premises-Modelle. Im Unterschied zur Clöud-Lösung wird die dafür benötigte On-Premises-Software lokal auf den Computern und Servern des Unternehmens installiert. Die Datenverwaltung, speziell der Zugriff, unterliegt somit weiterhin der Kontrolle des Unternehmens.

  1. Mangelhafte Datenschutzerklärungen

Ein oft unterschätztes Potenzial vermeidbarer Fehlerquellen beinhalten Datenschutzerklärungen. Hauptsächlich veraltete, fehlerhafte oder unvollständige Datenschutzerklärungen auf den Webseiten der Unternehmen bergen das Risiko eines Datenschutzverstoßes, was erhebliche Bußgelder nach sich ziehen kann. Im Internet gibt es zwar vorgefertigte, rechtskonforme Datenschutzerklärungen, die Unternehmen für ihren eigenen Web-Auftritt nutzen können. Doch das birgt auch Risiken. Die teils sehr auseinandergehenden Informationen auf den Webseiten der Websitenbetreiber erfordern oft individuelle Lösungen. Das betrifft nicht nur spezielle Angaben zum Umfang und Zweck der Datenverarbeitung, sondern insbesondere auch unterschiedliche Löschfristen. Pauschal formulierte Datenschutzerklärungen sind da eher bedenklich und sollten gegebenenfalls überprüft, und angepasst werden. Wer auf Nummer sicher gehen will, kann die eigene Rechtsabteilung (falls vorhanden), den Datenschutzbeauftragen oder externe Berater einbeziehen.

 

  1. In der Datenspeicherung zu unklare Prozesse

Die datenschutzkonforme Archivierung, hauptsächlich aber die Löschung von Daten ist oft unzureichend geregelt. Der Überblick, was wo und wie lange gespeichert ist, geht verloren. Hiergegen hilft am besten eine genaue Systematisierung bzw. Kategorisierung aller sensiblen Daten.

 

Fazit: Prognose

Um Verstöße zu vermeiden und der wachsenden Bedeutung des Datenschutzes aus Sicht der Verbraucher Rechnung zu tragen, rechnet sich Datenschutz allemal. Das bedeutet, gängige Stolperfallen beim Datenschutz zu kennen und umgehend zu beseitigen. Infolge von Datenschutzverletzung entstehende Reputationsverluste kann sich kein Unternehmen leisten.

Weitere News zur DSGVO:

DSGVO – Auftragsdatenverarbeiter – Was Beachten – Richtiger Umgang

https://datenschutzbeauftragter-dsgvo.com/dsgvo-auftragsdatenverarbeiter-beachten-richtiger-umgang/

 

DSGVO – Verantwortlicher und welche Verantwortung

DSGVO – Verantwortlicher und welche Verantwortung