Maßnahmen auch festhalten
Ein komplexer Bereich, der sich häufig aber bereits durch einfache Maßnahmen regeln lässt, betrifft die TOM. Diese Abkürzung steht für die technischen und organisatorischen Maßnahmen eines Unternehmens, die es zum Schutz personenbezogener Daten ergreift. Zu den technischen Maßnahmen zählen etwa physische Verfahrensweisen – zum Beispiel ein Schloss, um das Unternehmensgebäude zu schützen. Eine organisatorische Maßnahme wäre wiederum die Dokumentation darüber, wer einen Schlüssel besitzt. Aber auch auf digitaler Ebene gibt es einiges zu beachten. So gilt es laut Art. 32 Abs. 1(b) der DSGVO „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Für den elektronischen Handel besonders wichtig sind aber auch die Richtlinien rund um das Thema Auftragsverarbeitung, da Unternehmen ihre Daten häufig outsourcen, um Ressourcen wie Kosten, Raum und Zeit zu sparen. Sie nutzen dabei nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollständig an externe Dienstleister aus – beispielsweise durch die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Somit beauftragt das Unternehmen einen externen Dienstleister, in diesem Fall Auftragnehmer genannt, personenbezogene Daten weisungsgebunden zu verarbeiten. Hösel weist darauf hin: „Zwar muss der Auftragsverarbeiter garantieren, dass seine TOM den Datenschutzbestimmungen entsprechen, der Großteil der Verantwortung für die Einhaltung der Anforderungen liegt aber trotzdem beim Auftraggeber, denn eine Auslagerung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten.“ Dabei müssen Art und Zweck sowie Gegenstand und Dauer der Verarbeitung genauso vertraglich festgehalten werden wie die Löschung oder Rückgabe der Daten nach Beendigung des Auftrages.
Cookies auf der Website
Ebenfalls keine Neuigkeit und dennoch häufig nicht datenschutzkonform eingesetzt: Cookies auf Unternehmenswebsites. Laut DSGVO gelten Cookies, die für den technischen Betrieb von Websites erforderlich sind, als erlaubt, während alle anderen Cookies eine Einwilligung des Nutzers benötigen. „Diese muss aufgrund einer eindeutigen, aktiven Handlung der betreffenden Person erfolgen und Einwilligungsfelder dürfen nicht vorausgefüllt sein“, so der Datenschützer. Zudem darf sich die Einwilligung nicht an andere Leistungen koppeln, muss also frei von jedem Zwang sein und vom Nutzer jederzeit widerrufen werden können. Darüber hinaus muss die Website die betreffende Person eindeutig über die Datenverarbeitung und Speicherdauer informieren. Eine Website darf außerdem erst dann Cookies setzen, wenn die Einwilligung erfolgt ist. Auch viele Marketingmaßnahmen stellen eine Herausforderung für Betriebe dar, wie beispielsweise das datenschutzkonforme Tracking. Dieses Tool nutzen die meisten Unternehmen, um beispielsweise nachvollziehen zu können, welche User wie lange auf der Website bleiben. Diese Ergebnisse können Unternehmen einsetzen, um Nutzerprofile zu erstellen, die wiederum das Ausspielen personalisierter Werbung ermöglichen. Für datenschutzkonformes Tracking gibt es einerseits die Möglichkeit, auf der Website pseudonymisierte Nutzerprofile zu erfassen, bei denen beispielsweise personenbeziehbare Daten durch eine Kennziffer ersetzt werden. Andererseits können Betreiber auf der Website eine Opt-in-Option einrichten. Das bedeutet, Nutzer müssen der Nutzung ihrer Daten aktiv zustimmen und diese Zustimmung muss auch widerrufbar sein.
Bewerbungsdaten
Jedes Unternehmen hat in der Regel früher oder später auch mit der datenschutzrechtlichen Auseinandersetzung mit Bewerbungsdaten zu tun. Laut DSGVO müssen die Bewerber, sobald die Unterlagen eingehen, Informationen über die Datenverarbeitung erhalten. Hösel erklärt: „Dazu zählt unter anderem, welche Daten die Personalverantwortlichen verarbeiten, zu welchem Zweck und wie lange sie aufbewahrt werden.“ Indem ein Unternehmen beispielsweise eine automatisch generierte Eingangsbestätigung mit den entsprechenden Angaben versendet, kommt es dieser Pflicht nach. Darüber hinaus müssen Unternehmen ein Verzeichnis führen, in dem die Verarbeitungstätigkeiten, die im Rahmen des Bewerbermanagements stattfinden, festgehalten werden. Konnte die offene Stelle besetzt werden, müssen Verantwortliche die personenbezogenen Daten der anderen Bewerber löschen, wenn Einspruchsfristen abgelaufen sind. Auch Kundendaten gilt es sensibel zu behandeln. Vielfach bleiben beispielsweise Bestelldaten in Shopsystemen auf ewig gespeichert.
Sicher – im Büro und unterwegs
Wenn Mitarbeiter auch unterwegs arbeiten, benötigen sie dafür oft eine Internetverbindung. In den meisten Fällen gelten öffentliche WLAN-Netzwerke allerdings nicht als sicher. An dieser Stelle sollten virtuelle private Netzwerke, sogenannte VPNs, zum Einsatz kommen, die sich auch für den Zugriff auf die Daten des Firmenservers empfehlen. Aber auch der Laptop sollte vor heimlichen Blicken von Außenstehenden geschützt werden. Eine recht einfache Möglichkeit bieten dabei Blickschutzfilter, die beispielsweise auf den Bildschirm gelegt werden können. „Auch am Handy sollten sich Mitarbeiter möglichst zurückhalten und keine sensiblen Firmeninterna ausplaudern. Zwar scheint das auf den ersten Blick eine Selbstverständlichkeit zu sein, doch in der Realität sieht es häufig anders aus. Führungskräfte sollten ihre Mitarbeiter daher regelmäßig daran erinnern, sensibel mit dem Thema umzugehen“, so Hösel. Aber nicht nur im eigenen Interesse sollten Unternehmer sich an die Regelungen der DSGVO halten. Onlineshops haben häufig ein hohes Abmahnrisiko durch Mitbewerber – auch in puncto Datenschutz.
Weitere Informationen unter www.hubit.de
Die HUBIT Datenschutz GmbH & Co. KG berät Unternehmen unterschiedlichster Branchen bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Gegründet wurde HUBIT Datenschutz von dem zertifizierten Datenschutzbeauftragten Haye Hösel. Er arbeitet auch als externer Fachberater für den TÜV Süd im Bereich Datenschutz. Das mittlerweile zwölfköpfige Team setzt sich aus zertifizierten Datenschutzbeauftragten, Juristen sowie IT-Experten zusammen und hat sich auf die Erarbeitung von individuellen Datenschutzkonzepten spezialisiert. Damit Kunden deutschlandweit einen Ansprechpartner vor Ort haben, ist der Aufbau des HUBIT Datenschutz Franchise-Netzwerks geplant.
HUBIT Datenschutz GmbH & Co. KG
Bergiusstr. 4
28816 Stuhr
Telefon: +49 (421) 36490577
http://www.hubit.de
Public Relations Lilienthal
Telefon: +49 (4298) 4683-16
Fax: +49 (4298) 4683-33
E-Mail: renz@borgmeier.de
Stellv. Leitung Public Relations Lilienthal
Telefon: +49 (4298) 4683-27
Fax: +49 (4298) 4683-33
E-Mail: koithan@borgmeier.de