Datenschutz bedeutet, dass ich meine Daten schützen und sichern muss – oder doch nicht? Kann man bei einer geringen Anzahl an Datensätzen über die DSGVO hinwegsehen? Lesen Sie hier, was die großen Missverständnisse bezüglich Datenschutz und DSGVO sind.

„Datenschutz bedeutet, Daten vor Verlust zu schützen und ausreichend zu sichern.“

Nun ja, diese Aussage ist teilweise richtig. Dieser Aspekt fällt tatsächlich unter den Datenschutz bzw. unter die DSGVO. Allerdings geht es dabei um vieles mehr! In erster Linie steht der Schutz der Privatsphäre des Menschen im Mittelpunkt.

„Datenschutz gilt nur für große Unternehmen, in denen viele Daten verarbeitet werden. Kleine Unternehmen können darüber hinwegsehen.“

Diese Behauptung ist nicht nur schlichtweg falsch, sondern vor allem gefährlich. Es wurden bereits gegen Kleinstunternehmen hohe DSGVO-Strafen verhängt. Der Datenschutz gilt für jedes Unternehmen, in dem personenbezogene Daten verarbeitet werden (aber auch zum Beispiel für Vereine!).

„Wir verarbeiten überhaupt keine personenbezogenen Daten.“

Wissen Sie, was alles unter den Begriff der personenbezogenen Daten fällt? Hierbei handelt es sich nicht bloß um sensible Daten, sondern um alle Informationen, die eine Person identifizierbar machen. Beispiele dafür sind der Name, die Wohnadresse, die Telefonnummer, die Email Adresse, der Geburtsort oder auch das Geburtsdatum. Aber ACHTUNG: Auch IP-/Mac-Adressen zählen dazu. Sie verarbeiten höchstwahrscheinlich die personenbezogenen Daten jedes Besuchers Ihrer Website – auch dann, wenn Sie nicht aktiv, zum Beispiel via Kontaktformular, Daten erheben.

„Die Datenschutzerklärung auf meiner Webseite reicht vollkommen aus – mehr ist nicht notwendig.“

Eine (korrekte!) Datenschutzerklärung erfüllt die Informationspflichten auf Websites. Aber erfüllen Sie auch die Informationspflichten gegenüber Kunden, Lieferanten, Geschäftfpartnern Ihres Unternehmmens? Wie sieht es mit den Personen aus, von denen Sie indirekt Daten bekommen? Zum Beispiel mitversicherte Personen oder Angehörige? Überprüfen Sie diesen Punkt umgehend: Erfüllung der Informationspflichten des Unternehmens.

Unser Fazit

• Wir empfehlen Ihnen den Datenschutz sehr ernst zu nehmen um hohe Strafen zu entgehen. Mehr Informationen zu unseren Weiterbildungen zum Thema Datenschutz finden Sie hier.
• Wenden Sie sich bei Fragen oder für eine Unterstützung bei der Datenschutz-Umsetzung jederzeit gerne an uns. Hier finden Sie unser Kontaktformular.

Ist Ihnen oder in Ihrem Unternehmen schon einmal eine Datenpanne passiert? Wenn ja, dann wissen Sie bestimmt, dass Sie nur sehr wenig Zeit haben, um die richtigen Schritte fristgerecht einzuleiten! Ein wichtiger Punkt hierzu ist die Meldung bei der Behörde. Darauf, wann es sich genau um eine Datenpanne handelt und was alles getan werden muss, sobald eine solche bekannt wird, sind wir letzte Woche detailliert eingegangen – lesen Sie hier gerne noch einmal nach.

Was bedeutet Data Breach Notification?

Der Begriff „Data Breach Notification“ klingt zwar sehr cool, bedeutet aber in Wahrheit nichts anderes als die Meldung einer Datenpanne bei der Datenschutzbehörde. ACHTUNG: Diese muss innerhalb von 72 Stunden nach internem Bemerken des Datenschutzvorfalles erfolgen – und zwar dann, wenn ein Risiko für die Gesundheit, den Ruf oder das „Vermögen“ der betroffenen Personen besteht. Wird eine solche Meldung gar nicht oder zu spät eingeleitet, muss ein Unternehmen mit hohen Strafen rechnen!

Wie sieht eine Data Breach Notification aus?

• Zu Beginn muss die Art der Datenverletzung detailliert beschrieben werden. Dabei muss angegeben werden, welche Datenkategorien betroffen sind. Außerdem muss sowohl genannt werden, wie viele Personen ungefähr betroffen sind, als auch die Anzahl der personenbezogenen Datensätze.

Beispiel: Verlust eines unverschlüsselten USB-Sticks durch den Geschäftsführer im Zug. Darauf gespeichert: Stammdaten (Namen, Adressen, Bankdaten, Kontaktdaten, Geburtsdatum) von 200 Mitarbeitern, insgesamt 1.000 Datensätze.

• Weiters muss angeführt werden, welche Folgen die Panne wahrscheinlich für die Betroffenen mit sich bringt. Beispiel: Auf dem USB-Stick befanden sich die Stammdaten der Mitarbeitenden; der Einschätzung nach besteht ein hohes Risiko für Betroffene, da private Adressen und Bankverbindungen in den Stammdaten verarbeitet waren.
• Besonders wichtig ist auch, dass die Kontaktdaten eines Ansprechpartners angeführt werden. Dabei kann es sich um den Datenschutzbeauftragten – sofern vorhanden – , um den intern zuständigen Datenschutzkoordinator, oder auch um die Geschäftsführung handeln.
• Die Datenschutzbehörde verlangt in der Meldung zusätzlich eine genaue Beschreibung der Maßnahmen, die betrieblich umgesetzt werden, um das Risiko unmittelbar einzudämmen und künftig einen Vorfall dieser Art zu verhindern.

Beispiel: Unmittelbare Maßnahmen: Mitarbeiter wurden über die Datenpanne informiert. Lost&Found des Bahnbetreibers wurde um Mithilfe gebeten. Geplante Maßnahmen: Neuerliche Schulung aller Mitarbeiter zur Zugriffskontrolle (Verschlüsselung von externen Datenträgern).

Unsere Praxistipps

• Halten Sie sich genau an die Inhaltspunkte, die wir oben aufgelistet haben. Die Datenschutzbehörde ist eine echte Straf-Behörde, und die Schonzeit ist vorbei. Stellen Sie sich vor, Ihre Daten wurden „verloren“ – da möchten Sie auch geschützt werden, nicht wahr?
• Sollten Sie vor der Aufgabe stehen, eine Data Breach Notification durchführen zu müssen, kontaktieren Sie uns jederzeit gerne und wir kümmern uns darum, Sie sicher und fristgerecht durch die Datenpanne zu geleiten.

Können Sie jede Verarbeitung von personenbezogenen Daten Ihrer Kunden, Mitarbeitenden und Lieferanten datenschutzrechtlich rechtfertigen? Die DSGVO schreibt vor, dass IMMER eine Rechtsgrundlage als Basis vorhanden sein muss.

Vorraussetzungen für eine Datenverarbeitung

Was kann man sich nun unter einer solchen Rechtsgrundlage vorstellen? Um die Zulässigkeit einer Verarbeitung von personenbezogenen Daten zu gewährleisten, muss mindestens einer der folgenden sechs Punkte erfüllt werden (in der betrieblichen Praxis sind die ersten 4 Grundlagen relevant):

1. Eine Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten liegt vor. Für Werbezusendungen oder die Verarbeitung sensibler Daten oder auch bei der Verwendung und Veröffentlichung von Fotos ist eine solche beispielsweise immer notwendig. Ganz neu: Nach dem Fall des „EU-US Privacy Shields“ benötigt die Beauftragung amerikanischer Unternehmen nun meistens eine Einwilligung der Betroffenen. Denken Sie dabei an die Dienste, die beispielsweise Google für Webseiten anbietet (Maps, Analytics).
2. Die Datenverarbeitung ist nötig, um einen Vertrag zu erfüllen. Ein Beispiel hierzu ist ein Vertrag zwischen Unternehmen und Kunden oder Lieferanten.
3. Es besteht eine rechtliche Verpflichtung zur Verarbeitung bestimmter personenbezogener Daten. Beispielsweise ist jeder Arbeitgebende dazu verpflichtet, Mitarbeitenden bei der Krankenkasse anzumelden.
4. Eine Datenverarbeitung unterliegt den berechtigten Interessen des Verantwortlichen. Wann ist das der Fall? Ein Beispiel hierzu sind technische Analysen in Form von Cookies, die als Ziel eine effizientere Website-Nutzung haben.

Beispiele für rechtmäßige Datenverarbeitungen

• Eine Verarbeitung ist zum Schutz lebenswichtiger Interessen notwendig. Ein Beispiel dazu ist die Erste Hilfe bei einem Unfall und die Verständigung der Rettung oder von Verwandten.
• Die Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, erfordert eine Datenverarbeitung. Behörden dürfen beispielsweise zum Schutz der Gesundheit der Bevölkerung Daten verarbeiten.

Unsere Praxistipps

• Stellen Sie sicher, dass ausnahmslos jede Verarbeitung personenbezogener Daten, die in Ihrem Unternehmen getätigt wird, durch eine der beschriebenen Rechtsgrundlagen gerechtfertigt und dokumentiert wird. Ansonsten drohen sehr hohe DSGVO-Strafen.
• Lesen Sie sich weitere Beiträge in unseren News durch um zu erfahren, was bei Nichteinhalten droht.
• Kontaktieren Sie uns bei Unklarheiten oder wenn Sie Unterstützung benötigen.

Ein Email, das versehentlich an den falschen Empfänger geschickt wird, das Entsorgen eines Formulars mit Namen eines Kunden oder der Verlust des unverschlüsselten Diensthandys in der Straßenbahn: Auch Ihnen kann eine Datenpanne passieren – und zwar schneller als Sie denken!

Datenpanne – Datenschutzverletzung – Datenschutzvorfall – Data Breach

Die Begriffe werden als synonym verwendet und beschreiben eine äußerst unangenehme Situation:

Bei einer Datenpanne wird die Datensicherheit verletzt, sprich: Ein angemessener Datenschutz kann nicht mehr gewährleistet werden.

Nun sehen wir uns Beispiele für Datenpannen an, um das Thema besonders praxisnah zu verstehen:

• Die Löschung von Daten durch eine nicht autorisierte Person = Datenverlust,
• ein Datendiebstahl (durch Hacking oder physisches Eindringen in ein Büro),
• Verlust eines unverschlüsselten Laptops, Smartphones, USB-Sticks,
• Entsorgen von ungeshredderten Papierakten im Müll,
• Weiterleitung von personenbezogenen Daten an einen unberechtigten Empfänger,
• und so weiter.

Was ist nun zu tun, wenn eine Datenpanne passiert ist?

Für das Vorgehen in einer solchen Situation muss intern ein Prozess festgelegt werden – und zwar vorab, sodass im Datenschutz-Notfall sofort klar ist, wie vorgegangen werden muss. Bei der Erstellung eines solchen Leitfadens stehen wir Ihnen sehr gerne zur Seite.

Melden Sie die Datenpanne unbedingt sofort der dafür intern zuständigen Person – auch wenn es sich nur um einen Verdacht handelt! Das kann Ihr Vorgesetzter, ein Datenschutzbeauftragter oder auch ein interner Datenschutzkoordinator sein.

Zuständige müssen daraufhin eine Risikoabschätzung vornehmen und zusammen mit der Geschäftsführung über weitere Schritte entscheiden.

Meldung einer Datenpanne bei der Datenschutzbehörde

ACHTUNG: Eine Datenpanne muss innerhalb von nur 72 Stunden nach Bekanntwerden – das heißt nachdem die erste Person diese bemerkt hat – erfolgen. Wird diese Frist nicht eingehalten, kann es zu hohen Strafen kommen!

Die Datenschutzbehörde muss allerdings nicht über jede Datenschutzverletzung informiert werden, sondern nur dann, wenn ein Risiko für die betroffenen Personen besteht. Zusätzlich müssen sofort Maßnahmen eingeleitet werden, um das Risiko für Betroffene zu minimieren. Diese Maßnahmen müssen der Behörde in der Meldung ebenfalls mitgeteilt werden.

Wie so eine Verständigung der Datenschutzbehörde nun genau abläuft und was sie alles beinhalten muss, können Sie hier nachlesen.

Unsere Praxistipps

• Wenn Ihnen eine Datenpanne passiert, melden Sie diese unbedingt sofort an die zuständige Person in Ihrem Unternehemen. So können Sie hohe Strafen vermeiden.
• Bei weiteren Fragen, kontaktieren Sie uns. Wir unterstützen Sie auch bei der Kommunikation mit der Datenschutzbehörde.