Obachgasse 10, A-1220 Wien        |  +43 (1) 3894444anrufen        |  dsgvo@erfolgundmehr.atE-Mail

Quelle: https://www.canva.com

   389
  
Typische Datenschutzverletzungen Mailverkehr Videoüberwachung Sensibilisierung von Mitarbeitern

Geschäftsführer und Gesellschafter eines KMU konzentrieren sich primär auf die eigene Kerntätigkeit des Unternehmens und legen oft nicht genug Wert auf den Datenschutz. Warum auch? „Wir verarbeiten doch keine personenbezogenen Daten, wir sind ein kleines Unternehmen, welches bloß Produkte und Dienstleistungen anbietet und die österreichische Wirtschaft ankurbelt!“

Leider stimmt diese Aussage nicht ganz. Wenn Sie Kunden, Mitarbeiter oder nur eine Webseite haben, können Sie grundsätzlich davon ausgehen, dass auch Sie von der DSGVO betroffen sind.

Wichtige Begriffsbestimmungen

Bevor wir zu dem eigentlichen Thema übergehen, werden wir kurz einige Begriffe aus der DSGVO definieren:

Was sind personenbezogene Daten? Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare oder identifizierte (lebende) natürliche Person beziehen. Beispiele dafür sind: Name, Telefonnummer, Anschrift, E-Mail-Adresse, Geburtsdatum, IP-Adresse oder eine Ausweisnummer. Für Sie bedeutet das, dass Sie sich im Anwendungsbereich der DSGVO befinden. Dabei ist es irrelevant, welche Kategorie von Daten Sie in Ihrem Unternehmen verarbeiten. Betroffen sind etwa Daten von Ihren Kunden, Lieferanten und Arbeitnehmern.

„Das stimmt aber nicht, ich verarbeite keine Daten, ich erfasse Sie bloß!“ Leider ist auch die Datenerfassung eine Datenverarbeitung. Grundsätzlich ist jeder im Zusammenhang mit personenbezogenen Daten stehender Vorgang (Erhebung, Löschung, Organisation, Speicherung, Anpassung oder Veränderung) eine Datenverarbeitung.

„Ok, das mag alles so sein, mein Unternehmen hat den Sitz aber außerhalb der EU, weshalb ich definitiv nicht von der DSGVO betroffen bin!“ Naja, das stimmt so nicht ganz.

Wir haben bereits festgestellt, dass der sachliche Anwendungsbereich der DSGVO die Verarbeitung von personenbezogenen Daten erfasst.

Räumlich erfasst die DSGVO zunächst die gesamte Union. Es ist aber zu beachten, dass der räumliche Anwendungsbereich nicht bloß auf diese eingeschränkt ist. Auch Unternehmen, die keinen Sitz in der EU haben, ihre Produkte und Leistungen aber an Kunden in der EU anbieten (das Angebot muss dabei „offensichtlich beabsichtigt“ sein), sind ebenfalls von der DSGVO umfasst. In den Anwendungsbereich der DSGVO fallen auch Unternehmen aus Drittländern, wenn Sie eine Zweigstelle/Abteilung/Filiale in der EU haben, auch wenn keine Rechtspersönlichkeit vorliegt und wenn keine Produkte oder Dienstleistungen angeboten werden (z. B. Datenverarbeitung in internen Abteilungen).

Bei der Verarbeitung von personenbezogenen Daten ist die Staatsangehörigkeit nicht ausschlaggebend, wichtig ist nur der Aufenthaltsort der Personen. Ein Spezialfall für die Anwendbarkeit der DSGVO im Ausland ist gegeben, wenn eine Niederlassung aufgrund von völkerrechtlichen Bestimmungen dem Unionsrecht bzw. dem innerstaatlichen Recht eines Mitgliedstaates unterliegt (z. B.: diplomatische Vertretungen).

Fünf Typische Datenschutzverletzungen

Da wir die grundlegenden Begriffe definiert haben, können wir jetzt zum eigentlichen Thema übergehen: Datenschutzverletzungen in Ihrem Unternehmen.

  1. 1. Offener Mailverkehr

    E-Mails werden oft als Mittel zur Übertragung von personenbezogenen Daten (Datenverarbeitung) verwendet. Im Rahmen der Übertragung per E-Mail gibt es einige riskante Themen, wir werden uns aber auf ein Problem fokussieren, welches Sie sofort und ohne zusätzliche Kosten beheben können, und zwar auf den offenen Mailverkehr. Von einem offenen Mailverkehr spricht man, wenn ein E-Mail für mehrere Empfänger bestimmt ist und diesen bekannt wird, welchen Personen dieses E-Mail noch zugestellt wurde. Problematisch hierbei ist, dass E-Mail-Adressen oft den Vor- und Nachnamen beinhalten, und ein Name zählt zu den personenbezogenen Daten. Eine Datenschutzverletzung bei mehreren Empfängern kann jedoch einfach umgangen werden, indem die Funktion „BCC“ statt den Funktionen „An“ und „CC“ verwendet wird.

  2. 2. Unzureichende Kennzeichnung der Videoüberwachung

    Mittlerweile verfügt ein Großteil der heimischen Unternehmen über eine eigene Anlage zur Videoüberwachung. Diese ist grundsätzlich unproblematisch, wenn entsprechende Maßnahmen umgesetzt werden, welche Eingriffe in die Rechte der Betroffenen verhindern. Ein Großteil der Maßnahmen betrifft Inhalte, die auf den Aufnahmen zu erkennen sind, Löschkonzepte und eingeschränkte Zugriffsmöglichkeiten der Mitarbeiter. Wir werden in diesem Beitrag erneut auf eine Maßnahme eingehen, die Sie schnell und kostengünstig umsetzen können, und zwar die Kennzeichnungspflicht.

    Folgende Informationen müssen gemäß Art. 13 DSGVO in Verbindung mit § 12 und § 13 DSG (in Österreich) und § 4 BDSG (in Deutschland) jedenfalls vorliegen:

    • Namen und Kontaktdaten des Verantwortlichen
    • Kontaktdaten des Datenschutzbeauftragten (nicht unbedingt notwendig)
    • Zweck der Verarbeitung
    • Berechtigte Interessen, die verfolgt werden
    • Speicherdauer oder Kriterien für die Festlegung der Speicherdauer (laut § 13 Abs. 3 DSG maximal 72 Stunden, ohne Begründung für die längere Dauer)
    • Weiterführende Informationen zu Betroffenenrechten gemäß Art. 13 ff. DSGVO
  3.  
  4. 3. Fahrlässiges Verhalten und Unwissenheit von Mitarbeitern

    Die Sensibilisierung und Aufklärung von Mitarbeitern ist in Anbetracht der Kosten eines Data Breach immer noch vergleichsweise günstig.

    Die DSGVO ist kein neues Thema, weshalb es bereits auch einige Statistiken in Bezug auf Datenschutzverletzungen gibt. Überwiegend kommen diese Statistiken zum selben Ergebnis:
    Die eigenen Mitarbeiter sind die größte Gefahrenquelle sowohl für Ihre Daten als auch für die Daten Ihrer Kunden.

    Mitarbeiter müssen beispielsweise darüber informiert werden, dass personenbezogene Daten, die versehentlich an den falschen Empfänger geraten (versehentliche Datenlecks), eine Datenschutzverletzung darstellen. Als solche darf sie nicht ignoriert werden, es müssen umgehend Maßnahmen gesetzt werden.

    Weitere Risiken sind:

    • fehlende clear-desk-policy und clear-screen-policy
    • keine Vorgaben in Bezug auf die regelmäßige Änderung von Zugangsdaten
    • keine Vorgaben für ein sicheres Passwort
    • Phishing-Attacken
    • keine Vorgaben für die rechtskonforme Löschung von Daten

    Einige dieser Probleme werden höchstwahrscheinlich in Ihrem Unternehmen regelmäßig auftreten, wenn Mitarbeiter nicht sensibilisiert werden.
    Am einfachsten können Sie diese Risiken durch jährliche Schulungen und interne Datenschutz-Richtlinien minimieren.

  5. Schulungsraum
    Unser Schulungsraum
  6.  
  7. 4. Verwendung von WhatsApp auf dem Firmenhandy

    „Wir versenden aber keine personenbezogenen Daten über WhatsApp. Die App nutzen wir lediglich privat.“ Auch wenn WhatsApp ausschließlich privat von Mitarbeitern genutzt wird, kann das ein Problem sein, wenn Mitarbeiter das private Smartphone auch zur Kommunikation mit Kunden verwenden oder wenn WhatsApp auf dem Firmenhandy benutzt wird.

    Das Problem liegt darin, dass WhatsApp einen Zugriff auf das Adressbuch hat und somit auch auf personenbezogene Daten (Name und Telefonnummer) zugreifen kann.
    Dieses Hindernis können Sie selbstverständlich umgehen, indem Sie auf die Benutzung von WhatsApp verzichten. Eine weitere Möglichkeit ist allerdings ein Daten-Container auf dem Smartphone. Solche Daten-Container sind geschützte Bereiche, die Firmendaten trennen und so eine Synchronisation von diesen Daten mit Apps wie WhatsApp verhindern können.

  8. 5. Löschung von Daten

    Grundsätzlich müssen personenbezogene Daten gelöscht werden, wenn sie für den Zweck, für den sie verarbeitet wurden, nicht länger notwendig sind, weshalb ein Löschkonzept im Unternehmen absolut notwendig ist. ACHTUNG: Es gibt gesetzliche Aufbewahrungsfristen wie z. B. § 132 BAO (Österreich) oder § 147 AO (Deutschland), die eine längere Aufbewahrungsfrist vorsehen, auch wenn der Zweck der Verarbeitung nicht länger gegeben ist.

    Die Löschung betrifft nicht ausschließlich digitale Daten, sondern auch physische Aktenordner, die nicht nach eigener Einschätzung entsorgt werden dürfen. Für personenbezogene Daten gilt immer mindestens die Sicherheitsstufe 3 gemäß der Norm DIN 66399.

Fazit

In jedem Unternehmen wird es zu Verletzungen der DSGVO kommen, wenn das Know-how fehlt und Mitarbeiter nicht regelmäßig sensibilisiert werden.
Das Risiko von intern-verursachten Verletzungen können Sie am besten durch die Bestellung eines Datenschutzbeauftragten und durch regelmäßige Schulungen senken. Weiterführende Informationen zu unserem DSGVO-Rundumschutz, können Sie hier einsehen.

Haftungsausschluss: Mit diesem Blog möchten wir nur die Aufmerksamkeit unserer Leser auf die Gefahren im Datenschutz lenken, weshalb der Blog nicht als rechtliche Beratung zu sehen ist und diese auch nicht ersetzen kann. Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für allfälligen Schadenersatz.


Milan Vasic, unser zertifizierter Datenschutzbeauftragter