Hallo zusammen,

der zweite Teil des Blogbeitrags "Top 10 Most Wanted" behandelt Datenschutzfehler, die in vielen Unternehmen zu finden sind. Diese Liste wärmt natürlich nicht alte Kamellen auf wie "Kein verschlüsseltes Formular auf der Internetseite". Vielmehr zeigt die Übersicht eine aktuelles, datenschutzrechtliches Lagebild in deutschen Unternehmen.

Um die Sache etwas spannender zu machen, sortiere ich sie nach dem Risiko für die Rechte und Freiheiten von Betroffenen. Mit dem Risiko für die Rechte und Freiheiten von Betroffenen geht nicht gleichzeitig das rechtliche Risiko für die Unternehmen einher, denn sie müssten ja noch "erwischt" werden. Entsprechend ist das Entdeckungsrisiko bei meiner Übersicht nicht relevant. Also, lehnen Sie sich zurück, haben Sie Spaß beim Lesen und vielleicht erkennen Sie Ihr Unternehmen an der ein oder anderen Stelle wieder.

Platz 5: Ihre Mitarbeiter nutzen KI-Anwendungen oder Übersetzungstools ohne klare Regeln

Es fing eigentlich ganz harmlos an: Ein Text musste für die bestehende Produktmappe des übersetzt werden. Also einfach mal Deepl oder andere Übersetzungstools anschmeißen und den ganzen Text 1:1 übersetzen. Das Ergebnis war zufriedenstellend und beim nächsten Mal wurde der Text zu einem neuen, noch nicht auf dem Markt vorgestellten Produkt, mit solchen Tools übersetzt. Geschäftsgeheimnis hin oder her: Time to Market war die Devise. Auch die E-Mail an den Mitarbeiter wurde später übersetzt oder das Arbeitszeugnis, bei dem der Mitarbeiter auf eine englischsprachige Version bestand. Erst wurden vorher die Namen entfernt, später dann wurde der gesamte Text mit Namen copy-paste eingefügt. Eine Pro-Version des Übersetzungstools ermöglichte es, im großen Stil Geschäftsgeheimnisse und personenbezogenen Daten an Google, Deepl oder Reverso unberechtigt zu übermitteln. Schöne neue Welt.

Dann ging es los mit KI: Erst wieder für "Inspirationen" wie Strukturen von Texten. Dann für Fachartikel (nein, nicht für diesen Blogbeitrag!) und später für Arbeitszeugnisse: ChatGPT-Eingabe "Schreibe ein Arbeitszeugnis für den Kfz-Mechaniker Peter Müller mit der Note 3. Er hat auch Probleme mit Alkohol.". Das Ganze endete dann in einer API, die bei eingehenden Supporttickets freundliche Antworten vorformuliert und nach kurzern Begutachtung von Mitarbeitern versendet.

Ich denke, Sie erkennen die datenschutzrechtlichen Probleme: Ohne klare Regeln und eine geordnete Einführung neuer Technologien, geht das Unternehmen struktuelle, rechtliche Risiken ein. Diese verankern sich mit der Zeit so tief in den Geschäftsprozessen, dass ein Gegensteuern teurer wird als der erwirtschaftete Deckungsbeitrag durch die neuen Technologien.

Platz 4: Ihre Belegschaft ist nicht ausreichend zu Datenschutz und Informationssicherheit geschult

Schulung und Weiterbildung zu Datenschutz und Informationssicherheit ist ein wichtiges Element, um Ihr Unternehmen sicher zu machen. Sie können nur von Innen heraus datenschutzrechtliche Aspekte nachhaltig in betrieblichen Prozesse umsetzen. Ein weiterer Aspekt ist, dass Sie sich er dann ausreichend vor Cyberangriffen schützen können, wenn Sie nicht nur die Technik, sondern auch den Mensch zum Schutz Ihrer Unternehmens-IT einsetzen. Schulungen zum Umgang bei Phising-Angriffen für die gesamte Belegschaft oder Fokusschulungen zu Datenschutz im Marketing-Online für einzelnen Teams wirken langfristig mehr als ein Dutzend externe Beraterstunden.

Platz 3: Identifizierte Datenpannen werden nicht an die Aufsichtsbehörde gemeldet

Was ist schlimmer aus Sicht der Aufsichtsbehörde? Eine Datenpanne, die im Unternehmen nicht erkannt wird oder eine im Unternehmen identifizierte Datenpanne, die aus irgendwelchen Gründen (z. B. Angst vor Bußgeldern) nicht an die Aufsichtsbehörde (trotz Meldepflicht) gemeldet wird? Die Antwort können Sie sich mit einem gesunden Bauchgefühl natürlich selber geben. Mein Rat an Sie: Bewerten Sie Datenpannen nach dem damit einhergehenden Risiko für die Rechte und Freiheiten von Betroffenen. Wenn es ein höheres als geringes Risiko ist, melden Sie einfach diese Datenpanne an die Aufsichtsbehörde. Bei Ihrer Meldungen sollten Sie detailliert angeben, welche Maßnahmen Sie ergriffen haben, um die das Risiko der gemeldeten Datenpannen zu reduzieren. Weitere Maßnahmen, um zukünftige Vorfälle zu vermeiden, sind genauso wichtig für die Erstmeldung. Denn spätestens bei der Rückfrage der Aufsichtsbehörde müssen Sie präventive Maßnahmen benennen.

Platz 2: Erkannte Datenpannen werden nicht an den Datenschutzbeauftragten gemeldet

Anders ausgedrückt könnte ich auch sagen: Die erkannten Datenpannen werden durch den jeweiligen Fachbereich vertuscht. Das ist dann wohl schlimmer als identifizierte Datenpannen nicht zu melden. Denn ohne die fehlende Einbindung des Datenschutzbeauftragten bzw. der Geschäftsführung werden dringend notwendigen Maßnahmen zur Vermeidung weiterer Datenpannen nicht definiert und umgesetzt. Somit bleiben Ursachen für Datenpannen bestehen. Auch die Betroffenen können keine Gegenmaßnahmen ergreifen und wundern sich, wieso sie von unberechtigten Dritten ihre Daten erhalten. Am Ende kommt alles sowieso raus - und dann ist der Schaden für das Unternehmen und die Betroffenen noch größer. Also, liebe Verantwortliche in den Fachbereichen: Melden Sie Datenpannen unternehmensintern an die betreffenden Stellen.

Platz 1: Software wird ohne datenschutzrechtliche Beteiligung gekauft und eingeführt

Was kann es geben, dass ein höheres Risiko für die Rechte und Freiheiten von Betroffenen hat, als eine Datenpanne zu vertuschen? Es ist die Einführung neuer Prozesse (oft einhergehend mit neuer Software) ohne eine angemessen datenschutzrechtliche Beteiligung. Dies ist - nett ausgedrückt - ein Umstand, die ich bis heute nicht verstehe. In diesem Fall fängt Ihr Unternehmen an, personenbezogene Daten zu erheben und zu verarbeiten, ohne sich ausreichend über die (nicht-wirtschaftlichen) Konsequenzen bewußt zu sein. Wirtschaftlich ist alles mehrfach durchgerechnet und sicherlich mit einem positiven Deckungsbeitrag belegt. Doch je höher der errechnete Deckungsbeitrag ist, desto eher werden alle datenschutzrechtlichen Bedenken über Bord geworfen. Es werden Prozesse etabliert, die "von Vorne bis Hinten" keine datenschutzrechtlichen Anforderungen erfüllen. Dies stellt - neben dem Risiko für die Rechte und Freiheiten von Betroffenen - auch ein erhebliches rechtliches und bestandsgefährendes Risiko für das jeweilige Unternehmen dar.

Falls Sie Ihr Unternehmen in einem oder mehreren Punkten wiedererkannt haben, heißt es meiner Meinung nach direkt zu handeln. Wie? Melden Sie sich einfach.

Viele Grüße aus der Kaiserstadt Aachen
Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von Thea auf Unsplash. Vielen Dank!