• Neueste Einträge

  • Kategorien

  • Blog-Übersicht
    • Murphys Gesetz: 1

    Frei nach Murphys Gesetz: Was schief gehen kann, geht schief

    24. April 2025
    Immer auf dem Laufenden bleiben
    und hier den Newsletter abonnieren.

    Häufige Fehler in Sachen Datenschutz – und wie sie vermieden werden können.

    Die meisten von Ihnen werden „Murphys Gesetz“ kennen: Was schiefgehen kann, geht schief.
    Obgleich wir es hier eher mit einer Lebensweisheit als mit einem wirklichen Gesetz zu tun haben, verbirgt sich dahinter eine interessante Erkenntnis. Damit eben nicht alles schiefgeht, sollten wir in komplexen Zusammenhängen denken und den Blick über den bekannten Tellerrand hinaus wagen. Dies hilft, nicht nur beim Datenschutz Fehlerquellen zu erkennen und Risiken durch entsprechende Gegenmaßnahmen zu minimieren.

    Ich möchte Ihnen heute drei häufige Datenschutzfehler aus meinem Beratungsalltag vorstellen, damit Sie nicht über diese Fallstricke stolpern. Dabei gilt, dass Datenschutz insgesamt kein nerviges Pflichtfach sein muss, sondern Sie für sich oder Ihr Unternehmen damit einen echten Wettbewerbsvorteil schaffen können. Datenschutz als Chance und nicht als Belastung ist auch in diesem Artikel wieder mein Leitgedanke. Mehr dazu finden Sie z.B. in meiner Podcastfolge zu Datenschutz für Start-ups.

    Ein echter Klassiker: Datenschutz im Homeoffice und beim mobilen Arbeiten

    Für die Einrichtung eines sogenannten Telearbeitsplatzes ist in erster Linie der Arbeitgeber verantwortlich. (Eine genaue Unterscheidung der Begriffe finden Sie hier). Dazu gehören neben der Einrichtung des Arbeitsplatzes mit passender Hard- und Software auch die Beachtung verschiedener datenschutzrechtlicher Anforderungen: hierfür braucht es eindeutige Regelungen und klare Vorgaben zum Umgang mit personenbezogenen Daten am Heimarbeitsplatz. Gerne vergessen bei solchen Regelungen: Wie kommen die Daten vom Büro ins Homeoffice und zurück? Wichtig: Auch, wenn die Arbeit mit personenbezogenen Daten im Homeoffice ausgeschlossen wird, sollte dies explizit festgehalten werden.

    Ein Beispiel aus der Praxis: Ein Mitarbeiter eines Jugendamtes wollte im Homeoffice arbeiten und nahm sensible Jugendhilfeakten in Papierform in seinem privaten Rucksack mit nach Hause. Die Akten enthielten u. a. persönliche Daten, polizeiliche Mitteilungen und psychiatrische Berichte. Auf dem Heimweg ließ er den Rucksack nach einer kurzen Pause auf einer Parkbank liegen. Erst Wochen später kamen die Unterlagen wieder beim Jugendamt an.

    Hier ganz klar zu sehen: Eine gute Homeoffice-Richtlinie berücksichtigt neben den IT-technischen Themen auch Vorgaben zum Transport von physischen Akten oder Datenträgern.

    Die Sache mit der Zustimmung: Ein Datenschutzhinweis ist noch keine Einwilligung

    Wenn Sie personenbezogene Daten erheben, verarbeiten oder speichern, benötigen Sie für diese Nutzung eine Rechtsgrundlage. Gibt es für Ihren Anwendungsfall keinen Erlaubnistatbestand im Gesetz, ist die Verarbeitung von personenbezogenen Daten schlicht verboten. Ein klassischer Anwendungsfall: der Versand eines Newsletters auf Grundlage einer Einwilligung. Was mir in der Praxis immer wieder begegnet, ist Folgendes: „Wir haben das in unseren Datenschutzhinweisen aufgelistet.“ Wunderbar, damit haben Sie bestenfalls eine Anforderung an eine wirksame Einwilligung erfüllt, nämlich die Informiertheit. Die betroffene Person bekommt angemessene Informationen zu dem Sachverhalt, in den sie einwilligen soll. Da fehlen aber noch eine Reihe weiterer Punkte, die für eine wirksame Einwilligungserklärung erfüllt sein müssen:

    1. Freiwilligkeit. Eine unter Zwang oder unter Vortäuschung falscher Tatsachen getätigte Einwilligung ist ungültig.
    2. Eine eindeutige, bestätigende Handlung. Die Einwilligung muss durch eine unmissverständliche und aktive Handlung der betroffenen Person selbst erfolgen. Achtung: Nicht widersprechen ist keine aktive Handlung.
    3. Widerrufbarkeit. Eine wirksame Einwilligungserklärung muss jederzeit widerrufbar sein und die betroffene Person muss auf dieses Recht aktiv hingewiesen werden. Ebenso muss aufgeklärt werden, wie genau dieses Widerrufsrecht ausgeübt werden kann und welche Folgen ein Widerruf hat.
    4. Rechenschaftspflicht. Als Verantwortlicher für die Datenverarbeitung müssen Sie nachweisen können, dass die betroffene Person eine wirksame Einwilligungserklärung abgegeben hat.
    5. Informiertheit. Nur der Vollständigkeit halber, auch wenn oben schon erwähnt: die betroffene Person muss Zugang zu angemessen umfangreichen Informationen zum Sachverhalt haben, in den sie einwilligen soll.

    Achtung bei der Nutzung von personenbezogenen Daten von Kindern und Jugendlichen. Für eine hohe Rechtssicherheit bei der Gestaltung von datenschutzrechtlichen Einwilligungen bei Minderjährigen wird empfohlen, die Einwilligung der Erziehungsberechtigten einzuholen.

    Ich weiß ja, wie es läuft: das Datenschutz-Ding mit Mitarbeitern

    Vorweg: Seine Mitarbeiter im Hinblick auf Datenschutz zu schulen, ist gesetzlich nicht explizit vorgeschrieben. Allerdings ergibt sich aus verschiedenen Regelungen der DS-GVO eine mittelbare Pflicht für den „Verantwortlichen“, seine Mitarbeiter mit den Regeln des Datenschutzes vertraut zu machen. Denn: Eine der größten Gefahrenquellen für den Datenschutz ist und bleibt der Mensch, und das in der Regel nicht aus Vorsatz, sondern aus einer Unachtsamkeit oder Unwissenheit heraus. Weiterhin bringen Mitarbeiter, die fit in Sachen Datenschutz sind, dem Unternehmen zahlreiche Vorteile. Besondere Aufmerksamkeit auf effiziente Prozesse zum Beispiel, oder ein besonders sensibler Umgang mit den Daten von Kunden und Geschäftspartnern. Um genau dieses geschärfte Bewusstsein für den Datenschutz sollte es bei entsprechenden Schulungsangeboten und Unterweisungen auch gehen. Kein Dozent und keine Datenschutzschulung der Welt machen Ihre Mitarbeiter in kurzer Zeit zu echten Datenschutzexperten. Wenn Sie aber verstehen, wie wichtig der Schutz von (personenbezogenen) Daten ist, welche Konsequenzen Datenschutzvorfälle haben und an welche Ansprechpartner Sie sich bei Fragen wenden können, haben Sie schon viel erreicht. Zusätzlich gehören natürlich konkrete Arbeitsvorgaben für die alltäglichen Anwendungsfälle im Umgang mit personenbezogenen Daten in Ihrem Unternehmen in den „Datenschutz-Koffer“ für Ihre Mitarbeiter.

    Ein Beispiel für mutmaßlich nicht ausreichende Schulung der Mitarbeiter liefert das Telekommunikationsunternehmen 1&1: Vor einigen Jahren wurden diese mit einem hohen Bußgeld belegt, nachdem immer wieder über die telefonische Kundenbetreuung personenbezogene Daten an Dritte weitergegeben wurden. Dafür mussten Anrufer nur den Namen und das Geburtsdatum der betroffenen Person kennen und bekamen dann bereitwillig weitere Auskunft über diese Person von den 1&1 Mitarbeitern. Hier fehlten klare Vorgaben für die Legitimierung der Anrufer als zuständigen Vertragsinhaber.

    In Ihrem Unternehmen würde, das nicht passieren? Na dann lassen Sie uns mal gemeinsam nachschauen: mit meinem Datenschutz-Quickcheck können wir diese These unabhängig bestätigen (alternativ arbeiten wir zusammen daran, diesen Zustand demnächst in Ihrem Unternehmen zu erreichen).

    Newsletter

    Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

    Abonnieren Sie jetzt gleich unseren Newsletter.

    Zur Anmeldung