Digitales Fort Knox?

© immimagery – stock.adobe.com

Inzwischen hat es sich unter Deutschlands Firmen herumgesprochen: Mangelnde Sorgfalt und unzureichende Sicherheit bei der Aufbewahrung und Verwendung von Adress- und Kontaktinformationen von Kunden ist kein Kavaliersdelikt, sondern wird im Gegenteil mit hohen Geldbußen geahndet.

Ein Beitrag von Dr. Jyn Schultze-Melling LL.M., CIPP/E, Partner gunnercooke Rechtsanwaltsgesellschaft mbH

Dr. Jyn Schultze-Melling LL.M., CIPP/E, Partner gunnercooke Rechtsanwaltsgesellschaft mbH

In den vergangenen Jahren haben die entsprechenden Gesetze für den Datenschutz quer durch Europa kontinuierlichen Ausbau und Verfeinerung erfahren – zuletzt war dies in Deutschland das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Klar ist: Datenschutz stellt für Unternehmen ein komplexes Thema dar, muss aber von der Gründung an konsequent verfolgt und beherzigt werden. Anfängliche Versäumnisse münden anderenfalls in aufwendigen Anpassungsprozessen und können schlimmstenfalls die gesamte Unternehmenstätigkeit gefährden.

Datenschutz von Anfang an

Auch vor der Verabschiedung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) im Jahr 2018 waren bereits alle Unternehmen ohne Ausnahme dazu verpflichtet, bei der Verarbeitung personenbezogener Daten entsprechende Maßnahmen zu ergreifen. Bei der Neugründung einer Firma stehen verständlicherweise viele Aufgaben vor den Gesellschaftern. Finanzierung, Einstellung von Personal, Marketing, Produktion: Soll das Geschäft erfolgreich werden, müssen von Beginn an alle Arbeitsfelder ineinandergreifen und funktionieren.

Doch auch der Datenschutz muss bedacht werden, denn die EU-DSGVO macht auch vor kleinen und mittelständischen Unternehmen nicht halt. Ungeachtet der Größe und jährlichen Umsätze sind alle Firmen verpflichtet, personenbezogene Angaben zu schützen und ihren Kunden mehr Kontrolle zu gewähren. Als oberste Prämisse gilt dabei die Datensparsamkeit, das willkürliche Sammeln von Informationen ist nicht erlaubt.

Auch muss für die Verarbeitung immer entweder eine gesetzliche Erlaubnis oder eine entsprechende Einwilligung der betroffenen Person vorliegen. Ebenfalls verpflichtend ist das Abschließen einer Auftragsverarbeitungsvereinbarung (AVV) mit Dienstleistern, falls diese im Rahmen der Zusammenarbeit Zugriff auf personenbezogene Daten erhalten.

Das ist etwa dann der Fall, wenn Firmen Softwarelösungen zur Reichweitenmessung wie beispielsweise Google Analytics verwenden, Dienstleister mit dem Versand von Briefen oder Newslettern betrauen, die Lohnbuchhaltung extern auslagern, Server außerhalb der eigenen Geschäftsräume aufstellen, Daten in einer Cloud speichern oder Fernwartungssysteme verwenden. Doch manchmal reicht all dies noch nicht.

Bei besonders sensiblen Daten oder beim Einsatz neuer Technologien müssen Unternehmen vorab eine Risikoprüfung durchführen und sorgfältig dokumentieren, die sogenannte Datenschutz-Folgenabschätzung oder DSFA. Auf diese Weise zwingt der Gesetzgeber die Unternehmen dazu, sich vorab Gedanken zu geeigneten Maßnahmen zur Sicherung der EDV und der darin verarbeiteten personenbezogenen Daten zu machen.

Allgemeines für die Praxis

Wer sich bisher noch nicht oder nur wenig mit dem Themenfeld Datenschutz auseinandergesetzt hat, steht anfangs vor scheinbar riesigen Aufgaben. Doch wenn Gründer ein paar Punkte beherzigen, dann können nach und nach weitere Strukturen den Umgang mit personenbezogenen Angaben vereinfachen.

Von Beginn an sollten Start-ups beispielsweise ihren wenigen Mitarbeitern nicht erlauben, private Laptops oder Smartphones zu verwenden – oder alternativ für eine Sicherung aller mobilen Endgeräte vor dem Zugriff Unbefugter sorgen.

Kunden- und Mitarbeiterdaten sollten nur in einer Cloud gespeichert werden, wenn entsprechende AVVs mit den jeweiligen Anbietern abgeschlossen worden sind und zudem die Cloud sich in Europa befindet. Und bevor Tracking-Tools eingesetzt werden, muss immer eine Einwilligung der Betroffenen, beispielsweise über entsprechende Banner auf der Website, eingeholt werden.

Die DSGVO schreibt zudem die Benennung eines betrieblichen Datenschutzbeauftragten vor, wenn mindestens 20 Menschen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Werden aber sensible Informationen mit dem Ziel verarbeitet, beispielsweise Bonitäts- oder Gesundheitsprofile zu erstellen, dann entfällt diese Grenze. Solche Start-ups benötigen also grundsätzlich immer einen internen oder externen Datenschutzbeauftragten.

Völlig unabhängig davon profitieren Gründer auf jeden Fall vom Wissen eines ausgewiesenen Dateneschutzexperten – auch wenn die Mindestzahl an Mitarbeitern nicht erreicht ist.

Sobald das Personalwesen einsetzt, werden auch hier verschiedene Einzelheiten erfasst und verarbeitet, die ausreichend geschützt werden müssen. Das betrifft übrigens nicht nur Bewerber und aktuelle Mitarbeiter. Auch die Daten abgelehnter Kandidaten müssen nach einer bestimmten Frist gelöscht werden.

Die Aufgaben im modernen und gesetzeskonformen Datenschutz sind also sehr vielfältig und umfassen beispielsweise auch eine lückenlose und nachvollziehbare Dokumentation. Am einfachsten lässt sich ein solches Verfahrensverzeichnis mithilfe eines toolgestützten Datenschutz-Managementsystems führen.

Sicherheit bei Onlineshops und Apps

Frühe Versäumnisse sind oft nur schwer zu beheben. Das gilt insbesondere beim technischen Datenschutz: Sicherheitsaspekte müssen stets schon bei Alpha- und Beta-Tests beachtet werden, denn laut der ebenfalls in der DSGVO geregelten Datenschutzprinzipien „Privacy by Design“ und „Privacy by Default“ muss das Produkt so gestaltet sein, dass der Datenschutz nahtlos integriert ist und schon in den Grundeinstellungen datenschutzfreundlich umgesetzt wird.

Um den Prinzipien und Anforderungen dieser Richtlinien für Smartphone-Apps oder Onlineshops zu genügen, sollten passende technische und organisatorische Mittel wie Pseudonymisierung, Verschlüsselung und Anonymisierung der IP-Adresse für die Verarbeitung personenbezogener Daten ergriffen werden.

Hinzu kommt neben einer Nutzerauthentifizierung auch die technische Umsetzung des Widerspruchsrechts. Insbesondere wenn eine Vielzahl von Zustimmungen einzuholen ist, benötigen Apps zudem passende Privatsphäre-Einstellungen, welche die Nutzerrechte auf Auskunft, Löschung, Berichtigung und Datenübertragbarkeit gewährleisten.

Darüber hinaus ist sicherzustellen, dass in einer Datenschutzerklärung alle erhobenen Informationen gelistet sind. In der Praxis wird dazu häufig auf eine Website verlinkt. Eine solche Verknüpfung kann allerdings dafür sorgen, dass so mancher Hinweis über die relevanten Prozesse unvollständig abgebildet wird. Daher raten Experten zu einer eigens auf die mobile Software abgestimmten Datenschutzerklärung. Im Idealfall ist diese in der App nicht nur leicht auffindbar, sondern bereits vor der Installation im Store einsehbar.

Bild (2): © gunnercooke Rechtsanwaltsgesellschaft mbH