1. Der BREXIT und die DSGVO

Falls Sie aktuell (oder geplant) personenbezogene Daten mit Unternehmen in Großbritannien austauschen, ist es notwendig, sich im Falle eines Austritts der Briten aus der EU auf mehr oder weniger große Änderungen im Datenschutz vorzubereiten. Diese Änderungen sind abhängig von den vier verschiedenen Szenarien, die eintreten können:

  1. Bis zum neuen geplanten Austrittsdatum am 12.04.2019 liegt ein Abkommen vor. Danach beginnt eine Übergangsphase bis zum 31.12.2020, in der alle datenschutzrelevanten Themen geregelt werden können.
  2. Das Austrittsdatum wird einvernehmlich verschoben. Auch in diesem Fall gibt es noch genügend Zeit, alle datenschutzrelevanten Themen zu regeln.
  3. Es gibt einen „No-Deal-Brexit“. In diesem Fall gilt Großbritannien ab dem 12.4.2019 als Drittland – und dass solange, bis die EU formal ein sog. angemessenes Schutzniveau festlegt. Dies wäre der denkbar schlechteste Fall für den Datenschutz, da Sie zeitnah alle Veränderungen durchführen müssten – möglicherweise die Einstellung des Datenaustausches.
  4. Das Vereinigte Königreich nimmt den Brexit zurück und bleibt weiterhin als vollwertiges Mitglied in der EU – dies bedeutet für Sie, keine Änderungen vornehmen zu müssen.

Treten die Briten aus der EU aus, stehen Ihnen vier Verfahren zur Verfügung, um den Datenverkehr mit den Briten weiter betreiben zu können; Details hierzu stellen wir Ihnen gerne zur Verfügung.

Folgende Sofort-Maßnahmen könnten akut notwendig sein:

  • Betroffenen Personen (Kunden, Mitarbeiter, etc.) müssen DSGVO-konform über den Datenaustausch mit Großbritannien informiert werden. Dazu müssen z.B. die Datenschutzerklärungen aktualisiert werden.
  • Bereits dokumentierte Verarbeitungstätigkeiten, sowie technische und organisatorische Maßnahmen müssen aktualisiert werden.

 

2. Die Email und die Datenschutzverletzung

Die häufigsten Datenpannen, die derzeit an die Aufsichtsbehörden gemeldet werden, sind Datenschutzverletzungen mit dem Medium Email. Zum einen sind dies Emails mit personenbezogenen Daten und zum anderen unzulässige Verteiler im „An“ oder „Cc“. Als kleine Hilfe haben wir in der folgenden Tabelle mögliche Fehler und Maßnahmen für Sie zusammengestellt:

 

Mögliche Fehler Maßnahmen
Versehentlich die falsche Empfängeradresse ausgewählt
(falls die Email personenbezogene Daten beinhaltet, wäre dies einen Datenschutzverletzung)
–  Vor dem Senden nochmals prüfen, ob tatsächlich der richtige Empfänger eingetragen ist

–  Autovervollständigung ausschalten

Eine Antwort auf eine vertrauliche Anfrage wird „an alle Empfänger“ gesendet, ohne zu überprüfen, ob alle Empfänger berechtigt sind. –  Überprüfung der Empfänger, speziell wenn nur die Empfängergruppe zu sehen ist

–  Vergewissern Sie sich, für welche Zwecke diese Adressgruppe genutzt darf

–  Sensibilisieren Sie Ihre direkten Kollegen

Es werden zu viele bzw. die falschen Empfänger in „An“ oder „Cc“ eingetragen

(Jede Emailadresse ist ein personenbezogener Datensatz und darf von Ihnen nicht an Unbefugte zur Kenntnis gegeben werden)

 

–  Nutzen Sie für solche Verteiler das „Bcc“ Feld, in diesem Fall sieht keiner die anderen Empfänger

–  Reduzieren Sie die Empfänger

–  Holen Sie sich Hilfe in Ihrer IT-Abteilung oder von Avallon

Personenbezogene Daten befinden sich im Text der Email –  Emails gelten als „Postkarten“ und sind nicht DSGVO konform.

–  Entweder die gesamte Email verschlüsselt senden (mit Hilfe Ihrer IT-Abteilung)

–  Oder den Inhalt als verschlüsselten Anhang senden. 7Zip oder Keka sind kostenlose Programme, die DSGVO konform Dateien verschlüsseln, die Sie dann per Email versenden können.

Personenbezogene Daten befinden sich in einer Datei im Anhang der Email –  Die Datei muss als verschlüsselter Anhang gesendet werden. 7Zip oder Keka sind kostenlose Programme, die DSGVO konform Dateien verschlüsseln, die Sie dann mit Ihrer Email versenden können.

 

3. Die DSGVO und die Privatpersonen

Gilt die DSGVO auch für Privatpersonen?

Auch die meisten Privatpersonen speichern, verändern, verbreiten oder löschen jeden Tag personenbezogene Daten. Solange sie dies ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten tun, findet die DSGVO keine Anwendung.

Die DSGVO will die Verarbeitung von personenbezogenen Daten durch juristische Personen, also z.B. GmbHs, Aktiengesellschaften oder auch Vereine, regeln und die personenbezogenen Daten von natürlichen (privaten) Personen schützen.

Gleichwohl kann die DSGVO auch Privatpersonen treffen. Beim Ehrenamt zum Beispiel. Denn sobald eine ehrenamtliche Tätigkeit z.B. in einem Verein oder einer Stiftung ausgeübt wird, fällt der rein persönliche Zweck weg. An dessen Stelle tritt der Vereins- oder Stiftungszweck. Das bedeutet, dass alle personenbezogenen Daten, die im Rahmen dieses Zwecks verarbeitet werden, auch der DSGVO unterliegen. Dies gilt selbst dann, wenn Sie diese Tätigkeiten aus privaten Motiven ausüben.

Auch eine privat verschickte E-Mail mit einem „offenen“ Verteiler (siehe hierzu Artikel 2) kann gegen die DGSVO verstoßen. Bei einem „offenen“ Verteiler kann jeder Empfänger die übrigen im Email-Kopf lesen. Diese Form der Veröffentlichung kann deutlich über die persönlichen oder familiären Zwecke hinausgehen und die Rechte und Grundfreiheiten Dritter erheblich einschränken: Nicht jeder möchte seine E-Mail-Adresse in einem öffentlichen Verteiler wiederfinden.

Der Sinn und Zweck der DSGVO, nämlich die Rechte und Grundfreiheiten von natürlichen Personen zu schützen, ist universell.

 

4. Der Beschwerdeführer und der Datenschutz?

Bereits mehr als 90.000 Menschen haben sich allein in Deutschland bei den Aufsichtsbehörden über mangelnden Datenschutz in den Unternehmen beschwert. Es kann jedoch auch einen anderen Weg geben, mit Problemen und Fragen zu datenschutzrelevanten Themen umzugehen.  Diese Überlastung der Aufsichtsbehörden, in Verbindung mit einem sehr neuen Gesetz, würde verhindert, wenn sich die Betroffenen direkt an den Datenschutzbeauftragten (DSB) des Unternehmens wenden würden. Der DSB hat die Aufgabe, die Rechte der betroffenen Personen wahrzunehmen und ist dabei weisungsfrei sowie zur Geheimhaltung und Vertraulichkeit verpflichtet.

Der DSB kann vor Ort entsprechende Maßnahmen direkt ergreifen, führt auch die mögliche fachliche Kommunikation mit der Datenschutzbehörde durch und begleitet die notwendigen Maßnahmen vor Ort. Ist kein DSB zu ermitteln, kann die Anfrage an den Geschäftsführer gerichtet werden. Eine Beschwerde direkt beim Landesamt für Datenschutz hat eine eigene Qualität: Die Behörde muss sofort offiziell tätig werden und einen „Fall öffnen“. Mit anderen Worten: die mögliche “Bestrafung” scheint wichtiger zu sein, als die lösungsorientierte Verbesserung des Datenschutzes.

 

5. Der Messanger WhatsApp und die DSGVO

Wer WhatsApp installiert, akzeptiert damit auch die Datenschutzbestimmungen von WhatsApp und willigt damit ein, dass personenbezogene Daten von Dritten, das sind die auf dem Gerät gespeicherten Kontakte, von WhatsApp auf den WhatsApp Servern gespeichert werden. Zusätzlich willigen Sie ein, dass WhatsApp diese Kontaktdaten verkaufen kann. Beides stellt, sofern nicht eine schriftliche Einwilligung des Dritten vorliegt, einen gravierenden Verstoß gegen die Datenschutzgrundverordnung dar.

Sollte der WhatsApp Messenger im beruflichen Umfeld genutzt werden und z.B. mit dem privaten Smartphone dienstliche Nachrichten ausgetauscht werden, dann wird das private Telefon in diesem Fall formal zu einem Diensthandy und die DSGVO greift in vollem Umfang – mit entsprechenden Auswirkungen für den Verantwortlichen, i.d.R. der Geschäftsführer Ihres Unternehmens.

Was können Sie tun?

  • Nutzen Sie einen anderen Messenger – eine entsprechende Informations-Auswahl können wir Ihnen zur Verfügung stellen.
  • bei Apple-Smartphones ist der Datenschutz eingebaut, in den Systemeinstellungen besteht die Möglichkeit, den Zugriff von WhatsApp auf Ihre Kontakte zu verhindern.
  • für Android-Geräte gibt es zusätzliche Anwendungen, die es ermöglichen, für jeden Kontakt einzeln zu bestimmen, ob WhatsApp darauf zugreifen darf oder nicht.

Wir empfehlen Ihnen zu überlegen, welche Konsequenzen die berufliche Nutzung von WhatsApp für den Verantwortlichen nach sich zieht.

 

6. Die Bußgelder

Ist die Schonzeit vorbei? Greifen Datenschutzbehörden künftig härter durch bei Verstößen gegen die DSGVO? Aktuelle Fälle zeigen, auf welche Bußgelder sich Unternehmen bei Vergehen gefasst machen müssen.

Läuft doch alles bestens beim Datenschutz – diesen Eindruck konnte man bis vor Kurzem fast gewinnen. Denn von den anfangs befürchteten Strafen war kaum etwas zu hören, nachdem die DSGVO am 25. Mai 2018 in Kraft getreten war. Doch die zuständigen Behörden scheinen die Zügel anzuziehen.

„Bußgelder werden höher ausfallen“

So kündigte der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Stefan Brink Anfang Februar im SWR an: „2019 wird das Jahr der Kontrollen.“ Er warnte Unternehmen ausdrücklich davor, unnötige Risiken einzugehen: „Wer auf Lücke setzt, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird.“

Das Handelsblatt hat in einer seiner letzten Ausgaben die bisherigen Bußgelder analysiert und nennt im abschließenden Bericht folgende sanktionierte Verhaltensweisen:

  • unzureichende technische und organisatorische Maßnahmen eines Hotels, durch die nicht ausgeschlossen werden konnte, dass bei einem erpresserischen Hackerangriff Kreditkarten- oder andere Kundendaten aus seinem Buchungssystem offenbart wurden
  • Veröffentlichung von Gesundheitsdaten im Internet aufgrund unzureichender interner Kontrollmechanismen
  • Offenlegung von Gesundheitsdaten an den falschen Patienten durch ein Krankenhaus
  • Aufzeichnung sämtlicher ausgehender und eingehender Anrufe bei einer Feuerwehr des Landes Bremen
  • Offenlegung von Kontoauszügen an Unbefugte beim Online-Banking
  • unzulässige Werbe-E-Mails
  • unbefugte Kopie von Kundendaten bei einem Hackerangriff auf einen Webshop
  • unzulässige Dashcam-Nutzung
  • offene E-Mail-Verteiler
  • unzulässige Videoüberwachung von Kunden und Arbeitnehmern.

Dies ist nur ein Auszug aus der aktuellen Liste. Im nächsten Denkanstoß wollen wir einzelne Bußgelder beleuchten und Ihnen vorstellen.

 

7. Der Denkanstoß-Spruch

Datenschutz sollte beidseitig sein: „Unsere Daten zu schützen und uns vor Ihnen.“
(Erhard Blanck *1942 deutscher Heilpraktiker, Schriftsteller und Maler)

 

Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.

 

Ihr Datenschutzbeauftragter
Jörg Stockmann

 

Aurich, April 2019

Denkanstoß 02/2019
Markiert in: