Die häufigsten Fallstricke beim Datenschutz – und wie Sie sie vermeiden

Schließlich geben in einer Studie von Aikami 66 % aller Internet-Benutzer*innen an, dass sie Datenschutzrichtlinien wie die DSGVO befürworten und sich weitere ähnliche Gesetze wünschen.

Die Einhaltung aller Datenschutzrichtlinien schont also sowohl Ihren Geldbeutel als auch Ihr Image. Leider passieren Datenschutzverletzungen häufig unabsichtlich, wenn man sich den gängigsten Fallstricken des Datenschutzes nicht bewusst ist.

Deswegen klären wir an dieser Stelle auf und geben Ihnen Tipps, wie Sie die häufigsten Fallen vermeiden!

Datenschutzinformationen nicht updaten

Sie wissen um die Informationspflicht der DSGVO und haben bei der erstmaligen Datenerhebung selbstverständlich alle Einwilligungen eingeholt. Aber haben Sie auch daran gedacht, dass die Datenschutzinformationen angepasst werden müssen? Datenschutzinformationen ändern sich häufiger, als Sie vielleicht denken. Sobald neue IT-Systeme eingerichtet oder neue Verarbeitungstätigkeiten ausgeübt werden, muss auch die Datenschutzinformation erneuert werden. Von dem Update müssen sämtliche betroffene Personen informiert werden – auch solche, die ältere Benachrichtigungen bereits akzeptiert haben.

Verarbeitungsverzeichnis vergessen

Nach Artikel 30 der DSGVO müssen Sie in einem Verarbeitungsverzeichnis aufführen, welche Daten an wen zu welchem Zweck vermittelt werden. Auch das Datum der Löschung muss festgeschrieben werden. Ihr Unternehmen hat weniger als 250 Mitarbeiter? Dann müssen Sie ja kein Verarbeitungsverzeichnis führen, richtig?

Falsch.

Schlagen Sie sich diesen Mythos bitte aus dem Kopf. Ein Verarbeitungsverzeichnis hängt nicht von der Größe eines Unternehmens ab. Es entfällt nur, wenn keine Risiken bei der Datenverarbeitung entstehen. Risiken entstehen jedoch immer.

Tote Dokumente horten

„Ich drucke das Verarbeitungsverzeichnis einfach aus, packe es in den Ordner der Datenschutzdokumente und lagere alles im Keller. Pflicht erfüllt”, sagte kein verantwortlicher Datenschützer jemals.

Denn auch bei diesem Fallstrick gilt es, sämtliche Daten aktuell zu halten. Vertrauen Sie nicht auf analoge Zettelwirtschaft, deren Transparenz nur wenige Menschen nachvollziehen können.

Vorlagen von Anbietern nutzen

Leider fehlt in vielen Unternehmen die Zeit oder die Motivation, sich ausreichend mit Datenschutz auseinanderzusetzen. Um Ressourcen zu sparen, wird auf Vorlagen von diversen Anbietern gesetzt. Diese sind jedoch oft nicht spezifisch auf Ihr Unternehmen zugeschnitten und so kann es schnell passieren, dass Sie ein paar wichtige Einzelheiten vergessen. Beispielsweise muss auch dokumentiert werden, wann erfasste Arbeitszeiten und Bewerbungsunterlagen gelöscht werden.

Nicht widersprochen ist noch lange nicht zugestimmt

Mündliche Einwilligungen in Datenverarbeitungen sind nicht wirksam. Ohne schriftlichen Konsens, der lückenlos und transparent dokumentiert ist, fehlt die Grundlage für die Datenverarbeitung nach DSGVO. Machen Sie sich also bewusst, wann und für welche Themen Sie eine Einwilligung benötigen und lassen Sie sich das Einverständnis schriftlich geben. Aufpassen! Wirksam erteilte Einwilligungen können sich verwirken.

Einen Alibi-Datenschutzbeauftragten bestimmen

In manchen Fällen müssen Sie eine*n Datenschutzbeauftragte*n bestimmen. Aus Zeitgründen wird häufig einfach eine Person benannt, damit das Thema vom Tisch ist. Nehmen Sie diese Angelegenheit aber ernst! Datenschutzbeauftragte Personen sollten kompetent und zuverlässig sein. Darüber hinaus dürfen keine Interessenskonflikte entstehen. Es bringt folglich nichts, wenn Sie Ihren externen IT-Dienstleister auch als externen Datenschutzbeauftragten einsetzen wollen. Man kann sich schließlich nicht selbst kontrollieren.

Datenschutz als Ihren Feind sehen

Sie sind ein agiles Unternehmen, mit tausenden genialen Ideen und wollen sie natürlich alle umsetzen. Oft kommt es aber vor, dass der/die Datenschutzbeauftragte*r eines Unternehmens einem vermeintlich Steine in den Weg legt. Dies und jenes kann aus Datenschutzgründen mal wieder nicht umgesetzt werden. Für jedes Foto braucht man eine Einwilligung. So umständlich!

Denken Sie in solchen Situationen bitte an die anfangs zitierte Studie: Die meisten Menschen sind dankbar, dass es die DSGVO gibt. Sie persönlich wollen bestimmt auch nicht, dass Ihre sensiblen Daten frei zugänglich sind. Daher ist es auch wichtig, dass Sie die Mitarbeiter*innen in Ihrem Unternehmen für das Thema Datenschutz sensibilisieren. Als Teamlead oder gar CEO sollten Sie als Vorbildfunktion eine positive Datenschutzkultur leben. Ihr*e Datenschutzbeauftragte*r ist nicht die Spaßbremse, sondern will Sie vor Strafen und unschönen Schlagzeilen bewahren.

Outsourcen, was geht

Grundsätzlich spricht nichts gegen Outsourcing von Datenschutz-Angelegenheiten. Das ist in vielen Fällen sogar effektiver als eine Inhouse-Lösung. Dennoch muss, sobald Tätigkeiten outgesourct werden, ein Auftragsverarbeitungsvertrag, kurz AVV, mit sämtlichen Details wie technisch organisatorischen Maßnahmen erstellt werden. Klingt abschreckend, aber unser Artikel zur Auftragsverarbeitung nach Art. 28 DSGVO nimmt Ihnen die Angst.

Datenschutzverletzungen totschweigen wollen

Fehler können passieren. Und ja, es ist peinlich, sie selbst bei der Aufsichtsbehörde zu melden. Aber wissen Sie, was noch peinlicher (und kostspieliger) ist? Wenn von der Datenschutzpanne betroffene Personen das Vergehen melden. Bei Datenverlust oder unbefugter Offenlegung von persönlichen Daten sollten Sie also unbedingt so schnell wie möglich

1. die betroffenen Personen zur Schadensbegrenzung kontaktieren und

2. die Datenschutzverletzung bei der Behörde melden.

Beweisfalle des Datenschutzes

Nach Artikel 5, Absatz 2 der DSGVO unterliegen Sie der Rechenschaftspflicht. Wenn Sie einer Datenschutzverletzung bezichtigt werden, muss man Ihnen also nicht nachweisen, dass Sie eine Verletzung begangen haben – Sie müssen nachweisen, dass Sie datenschutzkonform agieren! Ein weiterer Grund für ein transparentes Datenschutz-Programm.

Eine Lösung für sämtliche Datenschutzfallen

Um den Datenschutz in Jira und Confluence vollumfänglich sicherzustellen, gibt es mehrere manuelle Lösungen und Workarounds. Oder Sie holen haben sich eine einzige App für alles, nämlich Data Protection and Security Toolkit for Jira/Confluence.

Integrieren Sie die App in Ihre Software und Sie haben alles Werkzeug, was Sie benötigen, um sämtliche Hürden zu meistern. Somit erhalten Sie vollständige Datenschutzkonformität mit der DSGVO mit dem geringsten Aufwand.

Auch andere Datenschutzrichtlinien wie CCPA, CPRA oder HIPAA lassen sich locker mit unserer Datenschutzapp erledigen.

Vorteile von Data Protection and Security Toolkit

• Ein einziges Tool für sämtliche Anwendungsfälle

• Zustimmungen zu Datenverarbeitungen einfach einholen

• Statistiken von Einwilligungen einsehen

• Von tagesaktuellen Zahlen profitieren

• Deckt auch andere Datenschutzgesetze wie CCPA, HIPAA oder LGPD werden ab

• Vorteile über den Datenschutz hinaus (bei Ankündigungen, Berechtigungen usw.)

• Zeit sparen und risikofrei Datenschutz gewährleisten

Die Nutzung des Data Protection and Security Toolkit ist die ideale Grundlage, um den Stolpersteinen spielend auszuweichen. Doch die Installation allein ist nicht hinreichend, um die Einhaltung der DSGVO zu gewährleisten. Machen Sie unbedingt eine Anforderungsanalyse Ihrer spezifischen Situation, damit die Prozesse verfeinert und Ihren Bedürfnissen angepasst werden können. Gerne helfen wir Ihnen bei der Konfiguration, kontaktieren Sie uns einfach!

Sie werden sehen, mit dieser App kann Datenschutz überraschend einfach sein.

Überzeugen Sie sich selbst mit unserer kostenfreien Testversion!