5 Datenschutzverletzungen mit besonders hohem Risiko für eine Strafe

Bei einem Großteil der Unternehmer ist das Thema Datenschutz bereits angekommen und es werden fleißig die ersten Maßnahmen zu Herstellung eines rechtskonformen Zustandes gesetzt. Die Umsetzung wird zwar durch Förderungen unterstützt, jedoch bleibt es nichtsdestotrotz ein zeitlich aufwendiges und kostspieliges Vorhaben. Deshalb sind Unternehmer oft gezwungen, Prioritäten zu setzen, denn wer bisher noch nichts in Bezug auf Datenschutz unternommen hat, muss jetzt sehr viel nachholen.
Viele Unternehmen haben das Problem, dass Sie das Risiko eine Strafe zu bekommen, nur schwer einschätzen können und deshalb auch keine Prioritäten setzen können.
In diesem Beitrag gehen wir auf 5 Datenschutzverletzungen ein, für die das Risiko einer Strafe besonders hoch ist.

1. Mangelhafte Kennzeichnung der Videoüberwachung

So gut wie jedes Unternehmen hat die eigene Videoüberwachung gekennzeichnet. Ist Ihre Videoüberwachung aber auch im Sinne der Datenschutzgrundverordnung ordnungsmäßig gekennzeichnet? Die Antwort laute höchstwahrscheinlich nein.
„Was muss ich denn bei meiner Videoüberwachung in Bezug auf Datenschutz beachten?“

Grundsätzlich ist die Videoüberwachung wie auch die meisten Prozesse in Verbindung mit Kunden eine Verarbeitung personenbezogener Daten. Damit gibt die DSGVO auch genau vor, wie eine Einwilligung erteilt werden kann und wie Sie der Informationspflicht nachkommen können. Bei den meisten Unternehmen sind es die folgenden Informationen:

• den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
• wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f (berechtigtes Interesse als Rechtsgrundlage) beruht, dann müssen Sie dies auch begründen
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• die Rechte des Betroffenen

2. Ihre Webseite

Eine Webseite ist Visitenkarte und Schaufenster Ihres Unternehmens, da diese meist der erste Anlaufpunkt von Neukunden, Lieferanten, Bewerbern, aber auch neugierigen Konkurrenten ist. Genau deshalb ist hier das Risiko einer Strafe besonders hoch.

„Wie soll ein Laie erkennen, ob meine Webseite DSGVO-konform ist?“

Ein Großteil der Datenschutzverletzungen ist selbst für Personen ohne Fachkenntnisse im Bereich der DSGVO erkennbar, da solche Verstöße regelmäßig medial verfolgt werden (Stichwort: Google Fonts Abmahnungen) und viele bereits wissen, wie sie beispielsweise fehlerhaft konfigurierte Cookie Banner erkennen können.

Die eigentliche Gefahr besteht jedoch, wenn Personen Ihre Schwachstellen nutzen möchten, um Ihnen zu Schaden oder um sich selbst dadurch zu bereichern.

Achten Sie deshalb bei der Erstellung einer neuen Webseite darauf, dass Sie einen professionellen und fachkundigen Dienstleister damit beauftragen, sonst kann die einmalige Ersparnis bei den Beschaffungskosten ein teures Nachspiel haben.

„Wie kann ich einschätzen, ob mein Dienstleister über das notwendige Know-how verfügt?“ Unser Partnerunternehmen, die itweb GmbH, lässt jede neue Webseite von einem zertifizierten Datenschutzbeauftragten überprüfen und kann diese mit Hilfe von Förderungen auch kostengünstig umsetzen – das sollte auch die Webagentur Ihrer Wahl gewährleisten können.

3. Nichterfüllung der Auskunftspflicht

Gemäß Art. 15 DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihre personenbezogenen Daten verarbeitet werden. Sollte das zutreffen, so hat die betroffen Person das Recht auf Herausgabe der in Art. 15 Abs. 1-4 aufgezählten Informationen. Diese Auskunft hat der Verantwortliche spätestens binnen eines Monats zu erteilen, eine Verlängerung um weitere zwei Monate ist zwar möglich, jedoch muss diese speziell begründet werden.

„Wie soll ich denn bitte meinen eigentlichen Aufgaben nachkommen, wenn ich im Rahmen der Auskunftspflicht so viel machen muss?“
Dies stellt einen erheblichen Aufwand dar, wenn Sie nicht mit sämtlichen Verarbeitungen in Ihrem Unternehmen vertraut sind und diese nicht dokumentiert haben. In diesem Fall verlieren sowohl Sie als auch Ihre Mitarbeiter viel Zeit.

Es gibt aber eine gute Nachricht: Das muss nicht zwingend so sein!

Wenn Sie Ihre Verarbeitungen in einem softwareunterstützten Verarbeitungsverzeichnis wie unserem DSGVO-Rundumschutz pflegen, dann haben Sie einen einmaligen Aufwand von wenigen Stunden und können später sämtliche Auskunftspflichten mit wenigen Klicks erfüllen!

„Warum ist das Risiko bei der Auskunftspflicht groß?“

Wenn eine betroffene Person vom Auskunftsrecht Gebrauch macht, dann können Sie grundsätzlich davon ausgehen, dass diese Person ihre Rechte kennt und durchaus verärgert sein wird, wenn Sie Ihrer Pflicht nicht nachkommen. Dementsprechend wird die betroffene Person wissen, dass sie über ein Recht auf Beschwerde bei der Datenschutzbehörde verfügt.

4. Soziale Medien

Dieses Thema ist besonders heikel, da Sie auf eine Verarbeitung personenbezogener Daten durch beispielsweise Facebook so gut wie keinen Einfluss haben. Falls Sie ein Unternehmensprofil auf einer solchen Seite haben, sollten Sie dies in der Datenschutzerklärung Ihrer Webseite berücksichtigen. Das gilt insbesondere dann, wenn die betroffenen Personen per Link auf Ihrer Webseite auch zum Unternehmensprofil auf Sozialen Medien gelangen können.

Außerdem sollten Sie sowohl die Datenschutzerklärung als auch das Impressum Ihrer Webseite im Unternehmensprofil einbinden.

Mit der Verwendung sozialer Medien besteht jedoch ein gewisses Risiko, selbst wenn Sie die Verarbeitungen in Ihrer Datenschutzerklärung einbinden. Deshalb sollten Sie diese nur verwenden, wenn ein Verzicht für Sie einen Wettbewerbsnachteil darstellen würde.

Zu beachten ist, dass soziale Netzwerke die Nutzungsbedingungen jederzeit ändern können, deshalb müssen Sie regelmäßig kontrollieren, ob Ihre Datenschutzerklärung noch aktuell ist.

5. Data Breach

Mit Data Breach, auch bekannt als Datenpanne oder Datenleck, bezeichnet man einen Kontrollverlust über Daten. Zu einem solchen Kontrollverlust kommt es, wenn Unberechtigte Zugriff auf Daten erhalten, Daten entwendet bzw. manipuliert werden oder wenn Daten unabsichtlich gelöscht werden.

Eine Datenpanne müssen Sie als Verantwortlicher gemäß Art. 33 Abs. 1 DSGVO unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Behörde (in Österreich bei der Datenschutzbehörde) melden. Sollte die Meldung nicht innerhalb von 72 Stunden erfolgen, so müssen Sie dies begründen.

„Das mag zwar so sein, mich wird aber mit Sicherheit keiner hacken!“

Leider werden Unternehmen immer öfter zum Opfer von Cyberkriminalität. Laut dem Deloitte Cyber Security Report war die Hälfte der heimischen Unternehmen Opfer von Ransomware-Angriffen. Bei 18 % kam es in Folge solcher Cyber-Angriffe zu einer Datenverschlüsselung.

Außerdem kann der Verlust eines Diensthandys oder sonstigen mobilen Endgeräten zu einer Datenpanne führen. Das Risiko können Sie durch regelmäßige Schulung der Mitarbeiter drastisch senken, jedoch nicht ausschließen. Allgemein empfiehlt es sich deshalb, in die IT-Infrastruktur Ihres Unternehmens zu investieren.

Das Risiko einer Strafe durch die Datenschutzbehörde ist bei Datenpannen sehr hoch, kann aber drastisch gesenkt werden, wenn ersichtlich ist, dass Sie in Bezug auf Datenschutz und Datensicherheit nicht nachlässig sind.

Fazit

Für Unternehmer, welche erst jetzt mit der Umsetzung der DSGVO im Unternehmen beginnen, kann dieser Beitrag als Leitfaden dienen, damit Prioritäten gesetzt werden. Keineswegs sollten Sie sich nur auf die offensichtlichen Schwachstellen fokussieren.

Die DSGVO mag für Sie eine Hürde sein, jedoch ist sie für den Schutz Ihrer Kunden und Ihres Unternehmens unerlässlich.

Disclaimer und Haftungsausschluss:

Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

Mit diesem Blog möchten wir die Aufmerksamkeit unserer Leser auf die Gefahren im Datenschutz lenken, weshalb der Blog nicht als rechtliche Beratung zu sehen ist und diese nicht ersetzen kann. Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für allfälligen Schadenersatz.

Milan Vasic, unser zertifizierter Datenschutzbeauftragter