Lesen sie hier den Beitrag:

Die sechs häufigsten Datenschutzfehler in Unternehmen

Datenschutz, Informationssicherheit und die DSGVO: Immer wieder passieren Unternehmen die gleichen Datenschutzfehler und Fehlinterpretationen. Die Konsequenzen reichen von kleinen Unannehmlichkeiten für die Firma oder deren Kunden über negative Bewertungen auf Vergleichsportalen bis hin zu teuren Bußgeldern.

Die sechs häufigsten Datenschutzfehler in Unternehmen

Über welche Fallstricke viele Firmen stolpern und wie Sie es besser machen können, zeigen die folgenden sechs Tipps.

Datenschutzfehler 1: Fehlversendung von E-Mails

Der Klassiker unter den Datenschutzverletzungen ist eine E-Mail mit Empfängern in cc, die da nicht hingehören.

Die Rechtslage

Solange sich die E-Mail-Adresse einer natürlichen Person zuordnen lässt, gilt sie nach Art. 4 Nr. 1 DSGVO als personenbezogenes Datum. Dieses darf Dritten somit nur mit Einwilligung oder einer anderen entsprechenden Rechtsgrundlage zur Verfügung gestellt werden. Wird die E-Mail-Adresse wie im Fall der offenen E-Mail-Liste ohne entsprechende Rechtsgrundlage geteilt, liegt ein Verstoß gegen den Datenschutz vor.

So geht es besser

Statt des cc-Feldes sollten Sie das bcc-Feld nutzen; die Empfänger dieser Zeile sehen nur den Absender und den Inhalt der E-Mail oder des E-Mail-Verlaufs. Vor dem Weiterleiten an weitere Empfänger lohnt sich ein zusätzlicher Check: Sind alle Informationen für die neuen Empfänger geeignet? Für Newsletter eignen sich dedizierte Tools, die direkt auch andere Datenschutzgrundsätze wie die Einwilligung durch das Double-Opt-in-Verfahren erlauben und speichern, sowie Links zur Abmeldung mitversenden.

Datenschutzfehler 2: Ausufernde CV-Datenbanken

Viele Personalabteilungen legen sich ganze Datenbanken voller Lebensläufe und Arbeitszeugnisse an, damit sie für jede offene Stelle mögliche Kandidaten parat haben.

Die Rechtslage

Lebensläufe, Arbeitszeugnisse und Bewerberakten gehören zur Kategorie der personenbezogenen Daten. Damit muss sich ihre Verarbeitung und Speicherung auf eine Rechtsgrundlage stützen (Art. 6 DSGVO). Verfällt diese Rechtsgrundlage (etwa, wenn ein Bewerber abgelehnt wird), sind die Daten zu löschen. Zudem müssen Betroffene unter anderem über den Zweck und die Dauer der Datenverarbeitung informiert werden, wie in Art. 13/Art. 14 DSGVO beschrieben.

So geht es besser

Unternehmen sollten ihren Prozess für Bewerber unter die Lupe nehmen. Werden die Kandidaten beispielsweise über Zweck und Dauer der Datenverarbeitung in Kenntnis gesetzt? Wenn nicht, könnte die E-Mail zur Eingangsbestätigung der Bewerbung entsprechend ergänzt werden. Gibt es ein Löschkonzept für die Daten von Bewerbern oder eine Anfrage für die Einwilligung einer längeren Speicherung, um etwa für zukünftige offene Stellen berücksichtigt zu werden? Viele Recruiter nutzen längst professionelle Netzwerke wie Xing und LinkedIn, um mit Bewerbern in Kontakt zu bleiben. Das hat Vor- und Nachteile: Einerseits wird ein LinkedIn-Profil laufend aktualisiert und die Kontaktaufnahme ist unkompliziert, andererseits gehen die so geknüpften Verbindungen verloren, wenn ein Recruiter die Firma verlässt. Dennoch ist die Nutzung von beruflichen Netzwerken eine sinnvolle Ergänzung.

Datenschutzfehler 3: Falsche oder sinnlose Checkboxen unter Formularen auf der Website

Der Datenverarbeitung zu Marketingzwecken wird gern die Einwilligung der Betroffenen als Rechtsgrundlage zugrunde gelegt. Das leuchtet ein, da die anderen Rechtsgrundlagen bei Kontakten, die noch keine Kunden sind, meist nicht einschlägig sind. Es werden also fleißig Einwilligungen eingeholt.

Die Rechtslage

Auf einem Formular müssen unter anderem die folgenden Elemente abgebildet sein: Aufklärung über den Zweck der Datenerhebung (Zweckbindungsprinzip gemäß Art. 5 Abs. 1 lit. b DSGVO), Hinweis auf die Widerrufbarkeit der Einwilligung oder freiwillige Checkbox zur Einwilligung in die Zusendung von Marketinginformationen und/oder Kontaktaufnahme durch den Vertrieb.

So geht es besser

Bei Einwilligungen muss für den Nutzer klar und deutlich erkennbar sein, wozu er zustimmt. Die Checkbox darf dabei nicht schon vorangekreuzt sein, da eine aktive Zustimmung des Nutzers notwendig ist. Zudem darf ein Hinweis zur Möglichkeit zum Widerruf nicht fehlen – diesen schreibt die DSGVO explizit vor.

Trennen Sie das Notwendige vom Optionalen: Fordert ein Website-Besucher eine Checkliste an, die per E-Mail versandt wird, führt kein Weg an der Datenverarbeitung für genau diesen Zweck vorbei. Optional sind allerdings weiterführende Marketing-Informationen wie Newsletter. Diese beiden Zwecke sollten nicht miteinander vermischt werden – die Einwilligung zum Newsletter etwa muss freiwillig bleiben und sollte nicht im Gegenzug für ein kostenloses Angebot wie ein E-Book oder Webinar eingefordert werden.

Datenschutzfehler 4: Fehlende Mitarbeiterschulung zu Datenschutzthemen

Egal, wie gut Ihre Serverräume überwacht werden, wie ausgeklügelt Ihre Kryptografie und wie wasserdicht Ihre Auftragsverarbeitungsverträge sind – wenn Ihre Mitarbeiter nicht aufpassen, herrscht keine Datensicherheit.

Die Rechtslage

Die Mitarbeiterschulung gehört laut DSGVO zu den Kernaufgaben eines datenschutz/" 56746 target="_self">Datenschutzbeauftragten (DSB). Art. 39 DSGVO listet die Aufgaben, dazu zählen Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

So geht es besser

Wie genau Schulungen aussehen, in welcher Form (online, persönlich, schriftlich) und in welchen Abständen sie stattfinden sollen, gibt die DSGVO nicht vor. Da sich Verarbeitungsvorgänge jedoch laufend verändern, neue Technologien zum Einsatz kommen und Menschen das Gelernte ohne Wiederholungen schnell vergessen, sollten Schulungen mindestens jährlich stattfinden.

Themen

Besonders wichtig ist der Umgang mit Mitarbeiterdaten. Auch Bereiche wie Datenschutzgrundsätze, Rechtsgrundlagen, Betroffenenrechte, Verhalten im Fall eines Datenschutzverstoßes, Verhalten im direkten Kontakt mit Kunden, Partnern, Bewerbern und anderen externen Stakeholdern, BOYD und die Verwendung mobiler Endgeräte sind abzudecken. Am besten enthält die Schulung zudem rollenspezifische Trainings je nach Tätigkeitsbereich, wird mit vielen Beispiele aus der Praxis angereichert, ist interaktiv und auf Abruf online verfügbar.

Datenschutzfehler im Unternehmen

Datenschutzfehler 5: Falsche Abgrenzung von Verantwortlichkeit und Auftragsverarbeitung

Kundendaten in einem SaaS-CRM verwalten, die Lohnbuchhaltung über einen Drittanbieter abwickeln oder einfach nur Newsletter über eine Marketing-Software rausschicken – all das sind Beispiele für die Auftragsverarbeitung. Bei dieser werden Daten gemäß den Weisungen des Verantwortlichen durch ein anderes Unternehmen (den Auftragsverarbeiter) verarbeitet. Immer wieder kommt es dabei zu Unklarheiten, wer welche Pflichten zu erfüllen hat.

Die Rechtsgrundlage

Die Verarbeitung geschieht vollständig auf Weisung des Verantwortlichen. Somit ist dieser auch für die Erstellung einer Datenschutzerklärung zuständig und muss den Auftragsverarbeiter in sein Verzeichnis von Verarbeitungstätigkeiten (VVT) mit aufnehmen. Der Vertrag, der die Zusammenarbeit regelt, nennt sich Auftragsverarbeitungsvertrag (AVV). Er wird üblicherweise durch den Auftraggeber als verantwortliche Stelle angefertigt und dem Auftragsverarbeiter zur Unterzeichnung zur Verfügung gestellt. Der Auftragsverarbeiter wiederum muss entsprechende Verarbeitungstätigkeiten in einem „Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeiter“ nach Art. 30 Abs. 2 DSGVO listen.

So geht es besser

Die Pflichten des Verantwortlichen:

  1. Sicherstellen, dass der AVV alle Punkte aus Art. 28 der DSGVO abdeckt. Dabei ist unter anderem auf Folgendes zu achten: Eine gut definierte Leistungsbeschreibung, aus der genau hervorgeht, welche Teilleistung der Auftragsverarbeiter erbringt; Datenkategorien, die nicht nur oberflächlich, sondern detailliert erklärt sind; eine Auflistung der Subauftragsverarbeiter des Auftragsverarbeiters und Nachweise über die Prüfung derer Datensicherheit.
  2. Prüfung der Dokumentation der technischen und organisatorischen Maßnahmen (TOM) des Auftragsverarbeiters. Die TOM zeigen, wie sicher ein Auftragsverarbeiter mit den Daten seiner Kunden umgeht und sind ein wesentlicher Bestandteil von Auftragsverarbeitungsverträgen.
  3. Unter Umständen die Erstellung einer Datenschutz-Folgenabschätzung. Insbesondere beim Einsatz neuer Technologien – wie SaaS-Lösungen – können im Verarbeitungsprozess Risiken für Rechte und Freiheiten Ihrer Kunden und Mitarbeiter entstehen, die eine Datenschutz-Folgenabschätzung erfordern können.

Die Pflichten des Auftragsverarbeiters: Der Auftragsverarbeiter ist dafür verantwortlich, die Daten gemäß den Weisungen des Verantwortlichen zu verarbeiten. Dabei müssen die Grundsätze der DSGVO eingehalten werden, die auch für andere Unternehmen gelten. Hinzu kommt eine wichtige und oft vergessene Pflicht: Verstößt eine Weisung des Verantwortlichen gegen die DSGVO, so muss der Auftragsverarbeiter den Verantwortlichen darüber informieren (Art. 28 Abs. 3 DSGVO). Zudem besteht eine Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen (Art. 33 Abs. 2 DSGVO).

Datenschutzfehler 6: Datenpanne nicht melden

Die Datenpanne ist passiert. Sie erhalten Post vom Finanzamt, von einem Gericht, der Bank oder einer Aufsichtsbehörde und verfallen in Panik.

Die Rechtslage

Die Aufsichtsbehörde ist keine rechtssprechende Instanz, sondern unterstützt Unternehmen in der Umsetzung von Datenschutzgesetzen und steht bei Fragen zur Verfügung. Neben der beratenden Funktion übernehmen Aufsichtsbehörden auch eine Kontrollfunktion und passen auf, dass Regeln eingehalten werden. Die Zusammenarbeit mit der zuständigen Aufsichtsbehörde gehört deswegen nach Art. 39 DSGVO zu den Aufgaben des datenschutz/" 56746 target="_self">Datenschutzbeauftragten. Nimmt eine Aufsichtsbehörde also Kontakt mit Ihnen auf, obliegt die offene Kommunikation dem datenschutz/" 56746 target="_self">Datenschutzbeauftragten und dem Verantwortlichen. Gab es in Ihrem Unternehmen einen Datenschutzverstoß, müssen Sie diesen innerhalb von 72 Stunden von sich aus bei der zuständigen Aufsichtsbehörde melden. Bei hohen Risiken müssen Sie zusätzlich die Betroffenen informieren.

So geht es besser

Kooperieren Sie mit den Aufsichtsbehörden und gehen Sie Gesprächen nicht aus dem Weg. Fragt eine Aufsichtsbehörde bestimmte Unterlagen an, zählt proaktives und umsichtiges Verhalten. Eine bereitwillige, offene Zusammenarbeit kann sich mildernd auf ein Urteil auswirken. Bei Datenpannen ist es besonders wichtig, keine Fristen verstreichen zu lassen. Auch, wenn der erste Impuls eine Art Schockstarre sein kann oder der Wunsch, den Vorfall still und heimlich unter den Teppich zu kehren, wäre genau das die falsche Reaktion. Mit einer sofortigen Meldung an die Aufsichtsbehörde beweisen Sie als Unternehmen, dass Sie den Datenschutz ernst nehmen, und Sie schützen sich eher vor hohen Geldstrafen.

Fazit

Kein Unternehmen macht in Sachen Datenschutz immer alles richtig. Es gibt einige Hürden und Fallstricke, die zu Fehlern und Missverständnissen führen können. Wichtig ist es, am Ball zu bleiben, den eigenen Datenschutz konstant unter die Lupe zu nehmen und stetig zu verbessern.

Autor: Marijam Özdemir

weitere Beiträge zum Thema:

 

Der EAS-Insider – Ihr Navigator zu einem erfolgreichem Business!

So kann Sie Unternehmenssoftware erfolgreicher machen:

Was ist Unternehmenssoftware?

Unternehmenssoftware ist eine Sammlung von Anwendungen und Tools, die speziell entwickelt wurden, um Geschäftsprozesse effizienter zu gestalten. Sie deckt eine Vielzahl von Funktionen ab, darunter Buchhaltung, Personalwesen, Kundenbeziehungsmanagement (CRM), Lieferkettenmanagement und Enterprise Resource Planning (ERP). Diese Softwarelösungen unterstützen Unternehmen dabei, ihre Abläufe zu automatisieren, Daten effizient zu verwalten und die Zusammenarbeit zwischen Abteilungen zu verbessern. Durch den Einsatz von Unternehmenssoftware können Unternehmen fundierte Entscheidungen treffen, indem sie Echtzeitdaten und Analysen nutzen. Darüber hinaus ermöglicht sie die Skalierung von Geschäftsaktivitäten, die Reduzierung von Kosten und die Verbesserung der Kundenzufriedenheit, was letztendlich zur Steigerung der Wettbewerbsfähigkeit beiträgt.

Wie kann Unternehmenssoftware ein Unternehmen digital erfolgreicher machen?

Unternehmenssoftware kann Unternehmen digital erfolgreicher machen, indem sie Geschäftsprozesse automatisiert und optimiert, wodurch Effizienz und Produktivität steigen. Sie ermöglicht die Integration verschiedener Abteilungen und fördert eine nahtlose Zusammenarbeit, indem sie Echtzeitdaten bereitstellt. Durch präzise Datenanalysen können Unternehmen fundierte Entscheidungen treffen und Markttrends schneller erkennen. Unternehmenssoftware verbessert zudem die Kundenbeziehungen durch effektives Kundenbeziehungsmanagement (CRM), was zu gesteigerter Kundenzufriedenheit und -bindung führt. Die Automatisierung von Routineaufgaben reduziert menschliche Fehler und spart Zeit und Ressourcen. Darüber hinaus unterstützt sie Unternehmen dabei, flexibel auf Veränderungen zu reagieren und ihre digitale Transformation voranzutreiben, um im Wettbewerbsumfeld erfolgreich zu bleiben.

Wichtige Schlagworte im Kontext von Unternehmenssoftware:

Digitalisierung

Der Prozess, bei dem analoge Geschäftsprozesse in gute und sinvolle digitale umgewandelt werden, um Effizienz und Produktivität zu steigern.

Integration

Die Verbindung verschiedener Softwarelösungen und Systeme, um einen reibungslosen Informationsfluss und eine einheitliche Datenbasis im Unternehmen zu gewährleisten.

Automatisierung

Der Einsatz von Software zur Durchführung wiederkehrender Aufgaben ohne menschliches Eingreifen, um Fehler zu reduzieren und Ressourcen zu sparen.

Aktuelle Beiträge zum Thema Unternehmenssoftware:

Unsere aktuellen Blog-Beiträge!

Das sind die aktuellen Beiträge zum Thema:

Aktuelle Beiträge zum Thema:
 

Datenschutz

Der Datenschutz bezieht sich auf den Schutz personenbezogener Daten vor unberechtigtem Zugriff, Missbrauch und Verlust. Unternehmen, die Software einsetzen, müssen sicherstellen, dass sie gesetzliche Anforderungen wie die DSGVO erfüllen. Dazu gehören Datensicherheit, Transparenz bei der Datenverarbeitung und das Recht auf Löschung oder Berichtigung. Datenschutzfunktionen in Unternehmenssoftware umfassen Verschlüsselung, Zugriffskontrollen, Audit-Protokolle und regelmäßige Sicherheitsupdates. Ein umfassendes Datenschutzmanagement minimiert das Risiko von Datenlecks und stärkt das Vertrauen der Kunden, während es gleichzeitig die rechtlichen und finanziellen Risiken für das Unternehmen verringert.

Datensicherheit

Datensicherheit bezeichnet den Schutz sensibler Informationen vor unautorisiertem Zugriff, Verlust oder Manipulation. Dies umfasst Maßnahmen wie Verschlüsselung, Zugriffskontrollen, Authentifizierung und regelmäßige Sicherheitsüberprüfungen. Unternehmenssoftware muss robuste Sicherheitsprotokolle integrieren, um Daten sowohl während der Speicherung als auch bei der Übertragung zu schützen. Datensicherheit ist entscheidend, um gesetzliche Anforderungen zu erfüllen, das Vertrauen von Kunden zu gewinnen und den Geschäftsbetrieb vor Cyberbedrohungen zu schützen. Sicherheitslücken können zu erheblichen finanziellen Verlusten und Reputationsschäden führen. Daher ist die Implementierung effektiver Datensicherheitsstrategien ein zentraler Bestandteil der IT-Infrastruktur in Unternehmen, um die Integrität und Verfügbarkeit der Daten zu gewährleisten.

 
Transparenzhinweis für Pressemitteilung
Die sechs häufigsten Datenschutzfehler in Unternehmen

Unternehmen

Autor

Marijam Özdemir

Marijam Özdemir ist Volljuristin und zertifizierte Datenschutzbeauftragte. Durch ihre langjährige Expertise als Rechtsanwältin und Beraterin im Datenschutzrecht sticht sie als Senior Privacy Consultant bei DataGuard besonders durch pragmatische Lösungen heraus, die ihre Kunden handlungs- und zukunftsfähig machen.