5 Alltagsfehler im Umgang mit der DSGVO – und wie man sie vermeiden kann
Wir geben zu: Es gibt Themen, mit denen sich viele lieber auseinandersetzen als mit der DSGVO. Zu komplex, kaum einzuhalten, zu realitätsfern, so die gängigen Vorurteile. Und auch, wenn diese in manchen Fällen sicherlich nicht unbegründet sind, gibt es viele Möglichkeiten, die eigene Unternehmensperformance im Umgang mit der DSGVO im Alltag zu verbessern. innovazy hat deshalb fünf häufige Alltagsfehler und Tipps, wie man sie vermeiden kann, zusammengestellt.
DSGVO = Dauerdruck für Unternehmen? Glaubt man einer Umfrage des Bitkom aus dem Jahr 2021, lautet die Antwort: ja! Denn die Herausforderungen bei der Umsetzung und Einhaltung der DSGVO sind vielfältig. Unter den Top 3: Knapp 80 Prozent der befragten Unternehmen sind sich generell unsicher, wie die Rechtslage auszulegen ist. Drei von vier Firmen empfinden die inhaltlichen Veränderungen an der DSGVO, etwa durch Gerichtsurteile, als zu umfassend und zu unübersichtlich. Und zwei Drittel der Befragten beklagen mangelnde Unterstützung bei der Umsetzung durch die Behörden. Insgesamt ein eher betrübliches Bild.
Doch dies ist nur die Spitze des Eisbergs. Denn insbesondere im Arbeitsalltag und damit im Grunde bei Routineaufgaben passieren immer wieder kleinere (und größere) Fehler, die aus datenschutzrechtlicher Perspektive problematisch sind. Zum Glück ist die bei der Einführung der DSGVO beschworene Klagewelle bisher ausgeblieben. Für Unternehmen kann es jedoch keine Option sein, in puncto Datenschutz getreu dem Motto „Wo kein Kläger, da kein Richter“ zu agieren. Denn wenngleich es eher Marathon als Sprint ist, komplett datenschutzkonform zu arbeiten, gibt es im Arbeitsalltag viele kleine Ansatzpunkte, um typische Fehlerquellen zu vermeiden.
Fehlerquelle 1: Der physische Arbeitsplatz
Ja, richtig gelesen. Während Wirtschaftsdeutschland Mitarbeitende zurück ins Büro holt und Sicherheitslücken im Homeoffice diskutiert, übersehen viele Unternehmen die Nachteile, die die Präsenz von Menschen in Büros hinsichtlich des Datenschutzes mit sich bringt. Ausgedruckte E-Mails, vergessene Dokumente im Drucker, zu laute Telefongespräche, Führungen von Externen durch Büroräume, ungeschredderte Akten im Papierkorb – nicht immer, aber eben häufig passieren bei diesen Alltäglichkeiten Verstöße gegen die DSGVO. Um dem vorzubeugen, bedarf es regelmäßiger Mitarbeiterschulungen und vor allem Digitalisierung – mit Blick auf Geschäftsprozesse, der technischen Ausstattung, aber eben auch hinsichtlich des Mindsets. Denn wenn Unternehmen Arbeit nicht mehr als Ort, sondern als etwas verstehen, das die Mitarbeitenden tun, und ihnen zudem leistungsfähiges Equipment mit passender Software und optimalen Sicherheitskonzepten bereitstellen, gehören „physische Datenschutzfehler“ schnell der Vergangenheit an.
Fehlerquelle 2: Kontaktformulare auf Websites
Jeder Internetnutzer war irgendwann einmal an dem Punkt, an dem er sich beim Ausfüllen eines Formulars auf einer Website gefragt hat, wieso er denn für sein Anliegen so viele Informationen angeben muss. Was eine unschöne User Experience ist, kann auch DSGVO-Probleme nach sich ziehen. Denn was viele Unternehmen oft vergessen: Formulare unterliegen einem Datensparsamkeitsgebot und einem Zweckbindungsprinzip. Hinzu kommt die Notwendigkeit, Pflichtfelder deutlich zu kennzeichnen und damit notwendige von nicht notwendigen Dateneingaben zu differenzieren. Für Firmen gilt deshalb: so viel wie nötig, so wenig wie möglich.
Fehlerquelle 3: E-Mails und vieles, was dazugehört
Hast du schon einmal eine Mail mit einem sensiblen Anhang oder Mail-Verlauf bekommen, die eigentlich nicht an dich gerichtet war? Warst du schon einmal in einer Massen-E-Mail in CC, bei der du die Mail-Adressen dir völlig unbekannter Personen sehen konntest? Oder wurde dein E-Mail-Postfach seit Jahren nicht mehr bereinigt? E-Mails können eine echte DSGVO-Falle sein. Gänzlich vermeiden lässt sich das logischerweise nicht. Aber durch eine größere Sensibilität (Wer sollte die E-Mail wirklich unbedingt bekommen?) oder professionelle Programme mit Automatisierungen, zum Beispiel zum Mail-Versand oder der E-Mail-Archivierung lassen sich viele Fehlerquellen reduzieren.
Fehlerquelle 4: Schreckgespenst Auftragsdatenverarbeitung
Unternehmen sind nicht nur im eigenen Haus verpflichtet, die DSGVO einzuhalten. Sie müssen auch ihre Dienstleister und Geschäftspartner, die in ihrem Auftrag personenbezogene Daten verarbeiten, in die Pflicht nehmen. Zwar befreit dies das eigene Unternehmen nicht von der eigenen Verantwortung, allerdings fixieren Firmen so eine in puncto DSGVO sachgerechte Auswahl der Dienstleister. Zudem werden so Aufbewahrungs- und Löschungsfristen noch einmal eindeutig definiert – denn das Recht auf Vergessen bleibt bestehen. Die gute Nachricht: Von zahlreichen offiziellen Stellen gibt es hier praktische Vorlagen, die Unternehmen mit angemessenem Aufwand anpassen und nutzen können. Erarbeitet das Unternehmen selbst einen Entwurf, reduzieren sich wiederum Aufwände und Kosten bei externen Datenschutzexperten.
Fehlerquelle 5: Auskunft geben
Der DSGVO zufolge sind Unternehmen verpflichtet, auf Anfrage Auskunft über die gespeicherten und individuellen personenbezogenen Daten eines Betroffenen zu geben. Wenngleich solche Begehren eher selten vorkommen, so gibt es hier einige Fallstricke. Zunächst sollten Unternehmen Ihre Prozesse und Systeme erst einmal so weit im Griff haben, dass diese Auskunft überhaupt möglich ist – und zwar umfassend, also hinsichtlich aller Daten, die zur Person gespeichert sind, und innerhalb einer Frist von vier Wochen. Hinzu kommt, dass Unternehmen sicherstellen müssen, dass die Auskunft an den berechtigten Empfänger versendet wird. Es sollte also unbedingt eine entsprechende Identifikation, zum Beispiel über ein Ausweisdokument stattfinden.