Darf Datenschutz auch einfach sein?

Viele Verantwortliche sind immer noch abwartend und vor allen Dingen sehr unsicher, was in Bezug auf den Datenschutz zu tun ist. Zugegeben: Manch einer ignoriert das Thema völlig.

Obwohl die DS-GVO bereits mehr als 3 Jahre in Kraft ist, herrscht bei vielen Verantwortlichen immer noch großes Rätselraten, was genau von ihnen gefordert wird.

  • Muß nun ein Datenschutzbeauftragter bestellt werden oder nicht?
  • Muss man sich als kleines Unternehmen mit einer Handvoll Mitarbeitern wirklich mit Datschutz befassen – und wenn ja, wie tief muss das gehen?
  • Was muss man nach außen hin tun, um datenschutzkonform zu handeln?
  • Welche Datenschutzanforderungen gelten für die Website, im Marketing, im Vertrieb?
  • Wie genau komme ich als Unternehmer meiner Rechenschaftspflicht nach….

Die Liste ließe sich beliebig erweitern. Absolut verständlich, dass sich Verantwortliche eher auf das Kerngeschäft zurückziehen – denn schließlich bringt das den Umsatz. Doch würden Sie ernsthaft auf die Idee kommen, die Buchhaltung zu ignorieren?

Die behördliche Anfrage

Was tun bei einer behördlichen Anfrage?

Ungemütlich wird es spätestens dann, wenn eine Anfrage von der Datenschutzbehörde des jeweiligen Bundeslandes ins Haus flattert. Der Verantwortliche wird um Stellungnahme zu einem bestimmten Fall gebeten. Im guten Glauben, alles richtig gemacht zu haben, wird dann so ein Schreiben beantwortet. Aber bedenken Sie: Hier liegt der Vorwurf einer Grundrechtsverletzung vor. Das finden die Aufsichtsbehörden überhaupt nicht lustig. Läge da nicht ein Anfangsverdacht vor, wäre so ein behördlicher Brief nicht auf Ihrem Tisch gelandet. Realisieren Sie spätestens jetzt: Da ist etwas schief gelaufen!

Wieso fragt die Behörde überhaupt an?

Datenschutz Aufsichtsbehörden müssen jedem Datenschutz-Verstoß nachgehen. Zunächst steht hier nur der Vorwurf im Raum. Die Information kann der Aufsichtsbehörde auf verschiedensten Wegen bekannt werden.

Jemand aus Ihrem Adressatenkreis meldet einen (vermuteten) Datenschutzverstoß bei der Aufsichtsbehörde

Jeder von der Datenverarbeitung Betroffene – also z. B. Kunden, Mitarbeiter, ehemalige Mitarbeiter, Mitarbeiter von Dienstleistern, Interessenten und und und, hat das Recht, der Behörde einen Datenschutzverstoß anzuzeigen. Der Klassiker ist hier, dass Sie ein Auskunftsersuchen erhalten und ein Betroffener seine Rechte auf Löschung oder Einschränkung der Verarbeitung geltend machen möchte. Wird so eine Anfrage nicht ordnungsgemäß und innerhalb einer Frist von 4 Wochen bearbeitet, ist das schon ein Verstoß gegen die Betroffenenrechte.

Das Problem ist hier oft, dass Unternehmen, die sich bisher nur wenig oder noch gar nicht mit Datenschutz befaßt haben, keine entsprechenden Prozesse eingeführt haben. Mitarbeiter wissen nicht, was zu tun ist und der Brief bleibt erst mal liegen. Danach bricht Panik aus, weil alle nötigen Informationen blitzschnell zusammengesucht werden müssen und keiner im Unternehmen wirklich weiß, wie so eine Auskunftsanfrage richtig zu beantworten ist. Denn Betroffene haben vollumfängliches Auskunftsrecht. Ohne die entsprechenden Prozesse kann es sehr schwer werden, aus jeder Software und allen Papierakten die personenbezogenen Informationen zu dieser Person zusammenzutragen.

Als externer Datenschutzbeauftragter unterstützen wir Sie an dieser Stelle. Der Prozess „Auskunftsersuchen“ ist eines unserer ersten Gesprächsthemen. Sie erhalten von uns Formulare und Vorlagen, die im Falle eines Falles griffbereit im Ordner / bzw. in Ihrem Backend liegen. Es geht nicht darum, dass Sie im Ernstfall selbständig irgendwelche Vorlagen ausfüllen. Die Musterdokumente sollen Ihnen vielmehr die Sicherheit geben, ungefähr zu verstehen, was in so einem Fall zu tun ist. Im Fall des Falles sind wir als kompetenter Ansprechpartner da. Gemeinsam wird das Auskunftsersuchen in der gesetzlichen Frist beantwortet. Ergo: Die Bestellung eines externen Datenschutzbeauftragten kann für ruhigen und tiefen Schlaf sorgen.

 

Die Datenpanne

Auch eine Datenpanne kann zu einer Anfrage durch die Datenschutzbehörde führen. Art. 33 der DS-GVO beschreibt die Voraussetzungen unter denen die Aufsichtsbehörde über eine Datenpanne zu informieren ist. Das ist vielen Verantwortlichen bekannt.

Ist nun richtig etwas passiert, etwas, was auch nicht wegzudiskutieren ist, entschließen sich viele Verantwortliche zur Selbstanzeige. Das sieht die Datenschutz-Grundverordnung ja auch vor. Je nach dem, was passiert ist, fragt die Behörde aber noch mal nach – nach den genauen Umständen, wie es überhaupt dazu kommen konnte, ob und welche technischen und organisatorischen Schutzmaßnahmen getroffen wurden, und und und….

Die Wahrscheinlichkeit, dass es mit einem kompetenten externen Datenschutzbeauftragten an Ihrer Seite überhaupt zu der Panne gekommen wäre – mag einmal dahingestellt bleiben. Jedenfalls ist es immer ratsam, im Falle des Falles sämtliche Kommunikation mit der Aufsichtsbehörde nicht selbst zu führen, sondern dies den Datenschutzbeauftragten machen zu lassen. Dieser ist tief im Thema und weiß worauf es der Behörde ankommt. Auch wenn das Problem wirklich auf Ihrer Seite lag, wirkt die frühzeitige Hinzuziehung eines Datenschutzbeauftragen strafmildernd.

Ergo: Ihre Investion in die Vertretung durch einen externen Datenschutzbeauftragten ist weit günstiger, als ein einziges Bußgeld (oder eventuell erforderliche hohe Investitionen in Marketing und Öffentlichkeitsarbeit, weil Ihr guter Ruf in Mitleidenschaft gezogen wurde).

 

Zufallskontrollen durch die Aufsichtsbehörden

Die Aufsichtsbehörden schlafen nicht. Ganz im Gegenteil. Frisch und wohl ausgestattet mit neuen Mitarbeitern trifft man sich morgens in Meetings und überlegt gemeinsam, welches Datenschutzthema als nächstes einmal genauer untersuchen werden soll.

Der eine sagt: „Ach – es wäre doch eigentlich mal spannend zu wissen, wie es mit der Videoüberwachung in Apotheken aussieht“, sagt der Kollege: „Oh ich habe da grad eine Beschwerde über die ungefragte Datenverarbeitung im Übernachtungsgewerbe…“ Im allgemeinen Brainstorming fallen auch anderen Kollegen noch viele weitere interessante Themen für eine Zufallskontrolle ein. Es wird  ein ansprechender, freundlich wirkender aber etwas umfangreicher Fragebogen entworfen, der dann an einige wahllos ausgewählte Unternehmen einer Branche / einer Region versandt wird. Und der natürlich auch fristgerecht zu beantworten ist. Entwickelt das Lfd Niedersachsen z. B. so eine Zufallsprüfung ist es mehr als wahrscheinlich, dass andere Aufsichtsbehörden genau diese Zufallsprüfung auch in ihrem Zuständigkeitsbereich durchführen.

Glückwunsch! Sie haben diesmal das große Los gewonnen.

Sicher können Sie sich schon denken, dass Unternehmen, die so ein Fragebogen unvorbereitet trifft, sehr ins Schwitzen geraten können. Ignorieren ist bei einer behördlichen Anfrage nämlich gar keine Option. Hier gilt das Gleiche wie oben beim Thema Auskunftsersuchen. Mit uns als Ihrem externen Datenschutzbeauftragten an Ihrer Seite sind Sie nach Möglichkeit auf solche Zufallsprüfungen vorbereitet. Wird uns bekannt, dass – eine beliebige deutsche Aufsichtsbehörde – eine Zufallsprüfung durchführt, simulieren wir mit Ihnen den Ernstfall. Gemeinsam erarbeiten wir die Antworten und stellen schon mal alle erforderlichen Dokumente zusammen, damit Sie für den Fall der Fälle vorbereitet sind.

Ihre Website verschlüsselt keine Daten

Datenpanne: Fehlendes SSL-ZertifikatEin fehlendes SSL-Zertifkat auf Ihrer Website (erkennbar am grünen Schloss im Browser und https://) kann nicht nur ein Datenschutzbußgeld nach sich ziehen. Darüber hinaus kann hier sogar ein privatrechtlicher Schadensersatzanspruch für den Betroffenen in Betracht kommen.

Das Bayrische Landesamt für Datenschutz hat zur Überprüfung von Websiten sogar einen einen SSL-Checker veröffentlicht: www.lda.bayern.de/de/httpscheck.html
Aktuell wird das Tool überarbeitet und ist kurzfristig inaktiv.

Die bloße Existenz so eines Werkzeugs hat allerdings die Tendenz verstärkt, dass fremde Websiten gerne von Mitwerbern auf Datenschutzkonformität geprüft werden. Offensichtliche Verstöße wie z. B. das fehlende SSL-Zertifikat, keine oder falsche Cookiehinweise, Fehler in der Datenschutzerklärung usw. werden häufig ohne weitere Kommunikation mit dem Verantwortlichen direkt an die Aufsichtsbehörde gemeldet.

Als externer Datenschutzbeauftragter arbeiten wir häufig im Hintergrund für Sie. Meistens ist die Überprüfung Ihrer Website bereits zum Kennenlern-Gespräch erfolgt. Sollte ein offensichtliches Problem vorliegen, teilen wir Ihnen das bereits im allerersten Gespräch mit. Wir wollen einfach nicht, dass unsere Klienten und die, die es vielleicht werden möchten, in Bedrängnis kommen.

Datenschutzbeauftragter Münsterland an Ihrer Seite

Fazit: Es ist immens wichtig, dass Sie Ihre Angriffsfläche so klein wie möglich halten. Ehrlicherweise muss gesagt werden, dass 100%ige Sicherheit – trotz aller Anstrengung – nicht zu erreichen ist. Dazu ist das Feld viel zu dynamisch. Dennoch sinkt Ihr Bußgeldrisiko deutlich, sofern Sie nachweislich Ihre Verantwortung übernehmen.

Durch die Bestellung eines externen Datenschutzbeauftragten von Anfang an holen Sie einen erfahrenen Lotsen an Bord, der Sie durch schwieriges Fahrwasser leitet.