Seit Mai 2018 ist die DSGVO in Kraft (oder im internationalen Sprech: GDPR – General Data Protection Regulation). Bei Verstößen sieht diese Bußgelder bis zu 20 Mio. Euro oder vier Prozent des Gesamtumsatzes des verstoßenden Unternehmen vor. Insbesondere in solchen Fällen, wo Unternehmen personenbezogene Daten (von Kunden oder Mitarbeitern) nicht ausreichend schützen oder widerrechtlich verarbeiten oder weitergeben.
Die DSGVO betrifft auch kleine Unternehmen
Laut EU gab es bis Januar 2019 etwa 40.000 Fälle von meldepflichtigen Datenlecks und Datenschutzverstößen. Bisher sind aber nur verhältnismäßig wenige und eher geringe Geldstrafen verhängt worden. Ausnahmen bieten da die großen Internetkonzerne wie Google oder Facebook. So musste Google in Frankreich ca. 50 Mio. Euro an Strafen entrichten, weil Nutzerdaten durch das Betriebssystem Android zu intransparent und über zahlreiche Dokumente verteilt verarbeitet wurden.
Die vermeintliche Ruhe rund um Strafen im DSGVO-Kontext sollte aber nicht trügen: Auch kleine Unternehmen, Freiberufler und Freelancer können (zumeist unwissentlich) gegen Auflagen der DSGVO verstoßen. Je nach Höhe des Bußgeldes kann dies für manche eine existenzielle Bedrohung darstellen. Realistisch betrachtet, wird das aber eher selten passieren. Ziel der Verordnung ist es ja nicht, Existenzen zu vernichten, sondern Nutzerdaten zu schützen und abzusichern.
In jedem Fall würde aber eine Anzeige oder ein angedrohtes Bußgeld (ganz gleich in welcher Höhe) vermeidbaren Schaden verursachen. Wir haben hier 9 Tipps zusammen gestellt, an die sich jeder vergleichsweise leicht halten kann und mit denen die Gefahr einer Abmahnung deutlich gesenkt werden kann.
1. Schützen Sie personenbezogene (Kontakt-)Daten – auch analog
Jeder Unternehmer verarbeitet Kontaktdaten – zum Beispiel von Kunden und Geschäftspartnern. Zum vorgesehenen Zweck ist dies völlig unbedenklich. Allerdings darf nicht jeder x-beliebige Freund oder Besucher Zugriff dazu erhalten. Dies gilt für Kontaktlisten im Outlook oder CRM wie für Visitenkarten auf dem Schreibtisch (und analog auch für sonstige Geschäftsdokumente mit personenbezogenen Daten). Bewahren Sie diese stets in verschließbaren Schränken oder Schubladen auf.
2. Sperren Sie Ihren Desktop – auch für zwei Minuten
Eine kurze Abwesenheit vom Schreibtisch ist manchmal unvermeidlich. Sei es um Kaffeereserven aufzufrischen, sich die Beine zu vertreten oder für eine Abstimmung mit Kollegen. Was viele dabei vergessen: ihr Desktop sperrt sich meistens erst nach mehreren Minuten (wenn überhaupt). In dieser Zeit können – zumindest theoretisch – Unbefugte Daten auf Ihrem PC einsehen. Dabei ist die nötige Sperre blitzschnell gesetzt (bei Windows-Rechnern gibt es die Tastenkombination: Windows-Taste + L).
Übrigens: Wenn Sie häufig unterwegs sind und an öffentlichen Plätzen arbeiten (Cafés, Zug), ist der Einblick in Ihre Daten auch Sitznachbarn schnell möglich (ob dies wirklich zutrifft ist aus Sicht der DSGVO unerheblich). Abhilfe kann hier ein Blickschutzfilter schaffen.
3. Seien Sie vorsichtig bei größeren Mailverteilern
Die CC-Funktion von Mailprogrammen ist ein beliebtes Mittel, die Empfängerliste zu erweitern. Aber ist das auch DSGVO-konform? Im internen Kreise mag es erforderlich oder sinnvoll sein, dass die Mitglieder im Verteiler wissen wer außen Ihnen noch eingeladen ist. Doch spätestens bei externen Empfängern ist die sichtbare E-Mail-Adresse ein personenbezogenes Datum, das nicht jeder gern preisgibt. Ergo: Nutzen Sie zur Sicherheit die BCC-Funktion, um größere Verteilerkreise einzubeziehen. Insbesondere dann, wenn Sie die Empfänger nicht persönlich kennen.
4. Vermeiden Sie die Zweckentfremdung von Visitenkarten
Bei Messebesuchen ist es Gang und Gäbe, Visitenkarten auszutauschen. Doch zu welchen Zwecken dürfen Sie dort getroffene Personen eigentlich kontaktieren? Streng genommen: genau zu den Zwecken, denen die jeweilige Personen zugestimmt hat. Wenn Sie nicht sicher sind, sollten Sie Messekontakte vielleicht nicht zur nächsten größeren Firmenfeier (und nicht mit öffentlich einsehbarem Verteiler) einladen. Selbiges gilt für die Weitergabe solcher personenbezogener Daten an Kollegen (bspw. für eine Urlaubsvertretung), sofern Ihr Kontakt dem nicht zugestimmt hat.
5. Achten Sie auf die Aufbewahrungsfristen der DSGVO
Nicht nur bei steuerrechtlich relevanten Unterlagen gibt es eine Frist zur Aufbewahrung (zehn Jahre), auch generell für Geschäftsbriefe (sechs Jahre). Im Sinne der DSGVO dürfen Sie diese nur so lange speichern wie unbedingt benötigt. Personenbezogene Informationen von geschäftlichen Kontakten sollten Sie daher regelmäßig bereinigen – so will es das sogenannte Recht auf Vergessenwerden.
6. Vermeiden Sie Messenger wie WhatsApp
Messenger-Apps wie WhatsApp tauschen (auch personenbezogene) Daten mit Tochterfirmen und -diensten aus, was gegen die DSGVO verstoßen kann. Zur Nutzung gleicht die App alle Kontakte Ihres Telefonbuchs mit einer Serverdatenbank ab, um Ihnen eine direkte Kontaktmöglichkeit zu geben. Die Übermittlung von Telefonnummern entspricht der Verarbeitung personenbezogener Daten – und ist außerhalb der EU nicht mehr hinreichend rechtlich geschützt (da in der Regel US-amerikanische Server verwendet werden).
Zudem dürften in den seltensten Fällen all Ihre Kontakte einer Verarbeitung durch Dritte (wie WhatsApp oder Facebook) explizit zugestimmt zu haben. Der einfachere Weg: Nutzen Sie DSGVO-konforme Messenger wie Threema oder Mattermost, die auch ohne Identifikation der Rufnummer (und mit einer anonynmisierten User-ID) arbeiten.
7. Sichern Sie sich ab bei der Auftragsverarbeitung
Egal ob für eine Projektarbeit oder dauerhaften Support: wenn Sie in eigener IT-Umgebung Daten Ihrer Kunden verarbeiten, sind Sie der DSGVO verpflichtet. Das betrifft nicht nur den Umgang mit den Daten sondern auch die technischen Vorkehrungen zur Datensicherheit. Eine eindeutige Vereinbarung regelt in diesem Falle die Verantwortlichkeit in puncto Datenschutz. Zuständig ist prinzipiell immer derjenige, der „über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Nr. 7 DSGVO). Regeln Sie daher immer schriftlich, wer hier verantwortlich zeichnen muss.
8. Unterschätzen Sie nicht die Angriffsfläche „Firmenwebseite“
Die eigene Webseite gehört seit längerem zum guten Ton. Auch kleine Firmen und Freelancer können sich binnen weniger Stunden online ein Aushängeschild erstellen. Doch gibt es einige Fallstricke seit Inkraftreten der DSGVO zu beachten. Die personenbezogenen Daten im Kontaktformular müssen verschlüsselt mithilfe eines Zertifkats übertragen werden. Wer Cookies speichert oder Trackinglösungen wie Google Analytics nutzt, speichert oftmals IP-Adressen, was nur bedingt erlaubt ist.
Dazu braucht es technische Vorkehrungen sowie eine hinreichende Datenschutzerklärung über die Rechte der Besucher und deren erhobener Daten. Hier sollten ebenso verwendete Plugins Erwähnung finden (Google Maps, Facebook), wenn Sie nicht ohnehin darauf verzichten wollen. Zur Sicherheit können Sie auch mit Plugin-Anbietern eine Auftragsverarbeitung schriftlich vereinbaren, um rechtlich auf der sicheren Seite zu bleiben.
9. Nicht jede Abmahnung Ihrer Webseite ist rechtens
Wer Verstöße gegen die DSGVO meldet, muss auch eine Grundlage dafür aufzeigen. Auf der Basis finden sich auch Scharen von Anwälten oder Abmahnvereinen, die genau solche Angriffsflächen im Web suchen. Die schlechte Nachricht: Ein geschultes Auge findet binnen weniger Minuten offensichtliche Schwachstellen auf Ihrer Webseite (wenn es denn welche gibt). Das kann schnell zu einer unbequemen und teuren Anwaltsnote führen. Die gute Nachricht: Die Angriffsfläche lässt sich durch die richtige Konfiguration Ihres CMS verhältnismäßig einfach minimieren oder sogar ganz vermeiden.
Bevor Sie also einer Unterlassungserklärung und der verbundenen Kostennote zustimmen, lassen Sie sich vorher datenschutzrechtlich beraten.
Bekannte DSGVO-Fälle mit geringen Bußgeldern
Trotz der zahlreichen Meldungen, gibt es bisher verhältnismäßig geringe Bußgeldstrafen.
Ein bekannter Fall, in dem ein Bußgeld verhängt wurde, ist der Datenklau bei dem Chat-Portal Anbieter Knuddels. Im September 2018 wurden knapp 1,9 Mio. Account-Anmeldedaten gestohlen. Dies war unter anderem durch die im Klartext gespeicherten Passwörter möglich. Knuddels stellte zwar schon 2012 auf gehashte Passwörter um, allerdings ohne die alten Daten aus dem System zu löschen. Da Knuddels aber vollumfänglich mit einem Datenschutzbeauftragten zusammengearbeitet und umfangreiche Sicherheitsvorkehrungen getroffen hat, musste der Betreiber lediglich 20.000 Euro an Strafe zahlen. Allerdings hat Knuddels noch weitere IT-Anpassungen vornehmen müssen, die insgesamt Kosten in Höhe eines sechsstelligen Betrages verursacht haben.
In Österreich musste ein Wettbüro ein Bußgeld in Höhe von 4.800 Euro zahlen. Dazu kamen zusätzliche Verfahrenskosten, da diese eine Videokamera aufstellte, die nicht nur den Innenraum, sondern auch den öffentlichen Bereich vor der Eingangstür filmte.
Auch ein Privatmann musste schon ein Bußgeld zahlen. Der Grund war hier die Verteilung von E-Mails mit einem offenen Verteiler. So erhielt jeder Empfänger sämtliche E-Mails-Adressen, natürlich ohne das Einverständnis der anderen Mitglieder im Verteiler. Hier wurde ein Bußgeld in Höhe von 2.630 Euro verhängt.
Viele Verfahren noch in Bearbeitung
Die DSGVO stellt die Behörden unter enorme Arbeitslast, denn sowohl Beratungsanfragen wie auch Beschwerden haben sich mittlerweile verdoppelt bis verdreifacht. Insbesondere Vereine und kleine Unternehmen haben ein großes Bedürfnis, Abmahnungen und Bußgelder zu vermeiden. Die Konsequenz: eine hohe Rate an Nachfragen an den jeweiligen Behörden.
Auch die Meldebereitschaft vieler Unternehmen bei Datenschutzpannen ist sehr hoch. Laut der Sprecherin der Berliner Datenschutzbehörde hat dies zu einer Verzwölffachung der Meldungen im Vergleich zu 2017 geführt.
Quellen:
https://www.gulp.de/knowledge-base/19/iii/datenschutzgrundverordnung-10-verstoesse-gegen-die-dsgvo-an-die-kein-freelancer-denkt.html
https://www.gulp.de/knowledge-base/19/ii/erste-bussgelder-die-dsgvo-zeigt-ihre-zaehne.html
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
Anschrift
viwedis GmbH
Johann-Krane-Weg 27
48149 Münster
+49 (0) 251 144 39 0
info@viwedis.de
Hier finden Sie unsere Anfahrtsbeschreibung.