Liebe Leserinnen und liebe Leser,
nach einer kurzen Sommerpause von etwa 5 Monaten setze ich den Blog fort mit den nächsten Datenschutz-Weiheiten bzw. Tipps, wie Sie Bußgelder vermeiden können. Nachdem ich im ersten Teil dieser kurzen Blogserie über die Weiheiten
- Benenne einen Datenschutzbeauftragten
- Bilde deine Mitarbeiter weiter und
- Beachte die Informationspflichten
philosphiert habe, folgen nun die Datenschutz-Weisheiten vier bis sechs. Ich wünsche Ihnen viel Spaß beim Lesen.
Vierte Weisheit: Beantworten Sie Auskunftsanfragen innerhalb der gesetzten Frist
Wenn Ihnen weder Auskunftsanfragen noch die dazugehörige Frist etwas sagen, haben Sie bei der Schulung für Mitarbeiter entsprechend der zweiten Weisheit anscheinend nicht aufgepasst. Auskunftsanfragen sind ein legitimes Mittel von Menschen, die sich um Ihre Daten sorgen. Nennen wir diese Menschen mal "Betroffene". Betroffene haben das Recht auf Auskunft darüber "Wer, Wie, Was, Wieso, Weshalb, Warum" Sie die personenbezogenen Daten des Betroffenen verarbeiten oder nicht verarbeiten. Ja, auch "nicht verarbeiten" muss beauskunftet werden - meist mit einem Einzeiler. Nur wenn diese Auskunft nicht innerhalb der gesetzten Frist von einem Monat (nachdem er die Anfrage gestellt hat) den Betroffenen erreicht, kann der Betroffene Schadenersatz verlagen und die Datenschutz-Aufsichtsbehörde Bußgelder erlassen. Wenn Sie - als Unternehmer - einmal eine Investitionsrechnung anstellen, ob es sich lohnt, eine Auskunftsanfrage zu beantworten, werden ziemlich schnell feststellen, dass die vermiedenen Zahlungen bei Nicht-Auskunft die Aufwände für die Auskunft bei weitem übersteigen. Also, es gibt keinen ökonomischen Grund, einer Auskunftsanfrage nicht zu folgen.
Fünfte Weisheit: Denken Sie über das Löschen von personenbezogenen Daten nach, bevor Sie Daten erheben
In Kurzfassung lautet die fünft Weiheit: Erstellen Sie ein Löschkonzept. Diese einfache Grundregel stellt manche Fachverantwortliche vor schier unlösbare Probleme. Denn bei der Einführung ihrer Uralt-Software, ihrer Netzlaufwerke oder der E-Mailkonten von Mitarbeitern hat niemand daran gedacht, wie und wann die Daten zu löschen sind, die irgendwann erhoben wurden. Aus diesem Grund bleibt den Unternehmen meistens nichts anderes übrig als alle Daten munter weiter zu sammeln. Und nun kommt es zum Problem: Eine Auskunftsanfrage (siehe vierte Weisheit) flattert ins Haus. Bei der Recherche nach den Daten des Betroffenen fällt auf, dass mehr und ältere Daten vorhanden sind, als notwendig oder rechtlich zulässig. Nun stellt sich die Frage: Beauskunften oder nicht Beauskunften. Mit einer Beauskunftung von Daten, die schon längst gelöscht sein müssten (alte Bewerbungen, noch ältere Bestelldetails, E-Mailadresse zu längst widerrufenen Einwilligungen, Abmahnungen aus Zeiten der letzten Unternehmensgeneration, ...). Mein Tipp: Lassen Sie es erst nicht soweit kommen und machen Sie sich unverzüglich darüber Gedanken, welche Daten Ihr Unternehmen hält und wann diese hätten gelöscht werden müssen. Löschen Sie die Daten, sobald keine Rechtsgrundlage der Verarbeitung (und damit meine ich auch berechtigte Interessen) mehr vorhanden ist.
Sechste Weisheit: Datenschutz-Compliance fängt bei Ihrer Webseite / Ihrer App an
Datenschutz muss risikoorientiert betrachtet werden: Je höher das Risiko für die Rechte und Freiheiten der Betroffenen, desto höher muss das Schutzniveau des Datenschutzes sein. Aus Unternehmenssicht sollte jedoch nicht immer nur der Betroffenen im Fokus stehen (wie das alle Datenschutzbeauftragte predigen), sondern Unternehmen müssen auch ihr eigenes, rechtliches Risiko betrachten. Und das ist umso höher, je höher die Eintrittswahrscheinlichkeit ist. Aus "pragmatischer Sicht " können Unternehmen so schlampig mit personenenbezogenen Daten umgehen, wie sie wollen: Hauptsache sie lassen sich dabei nicht erwischen. Diese Erkenntnis hat sich gerade bei US-amerikanischen Hyperscalern bereits übergreifend durchgesetzt. Andererseits bedeutet dies jedoch auch, dass genau an den Stellen sorgsam mit Daten von Betroffenen umgegangen werden sollte, die öffentlich erreichbar sind. Und das ist: Ihre Webseite/Ihre App. Machen Sie es anderen nicht zu einfach, Ihre Schwachstellen festzustellen und Ihnen Schaden zuzufügen. Sichern Sie Ihre Internetseite und/oder Ihre App datenschutzrechtlich ab. Die folgenden beiden Verweise sollten Ihnen deutlich machen, dass die Gefahr real ist:
Viele Grüße aus der Kaiserstadt Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen
Foto von Alex Shute auf Unsplash. Danke!