Die häufigsten Datenschutzverstöße in Unternehmen

27.01.2023

Seit der Einführung der Datenschutzgrundverordnung (DSGVO) gehören Datenpannen in Unternehmen zu den unerfreulichen Ereignissen, die kostenintensive und imagebelastende Konsequenzen haben können. Schon kleine Fehler im Tagesgeschäft können erhebliche Auswirkungen auf das Unternehmen haben. Werden auf der Unternehmenswebseite Kundendaten datenschutzrechtlich falsch erfasst oder Speichermedien mit personenbezogenen Daten gehen verloren oder werden entwendet, so kann dies schon datenschutzrechtliche Folgen beinhalten und für das Unternehmen unangenehme Konsequenzen bedeuten.

Wie ist ein Datenschutzverstoß definiert?

Wird ein Datenschutzverstoß verzeichnet, so wurde im Unternehmen das geltende Datenschutzgesetz missachtet. Für Unternehmen, welche ihren Standort in Deutschland haben, gilt hier das Bundesdatenschutzgesetz (DBSG) und die Datenschutzgrundverordnung (DGSVO).

Ist ein Unternehmen verpflichtet einen Datenschutzbeauftragten zu benennen und kann keinen internen oder externen Datenschutzbeauftragen vorweisen, so ist eine Grundlage für den ersten Datenschutzverstoß gegeben. Im Unternehmen geht es um die rechtliche Absicherung von personenbezogenen Daten, welche beispielsweise durch Hackerangriffe oder eine versehentliche Weitergabe von personenbezogenen Daten gefährdet werden kann. Gleichzeitig muss die Verarbeitung von personenbezogenen Daten datenschutzkonform ablaufen.

Ein Verstoß gegen den Datenschutz kann verzeichnet werden, wenn persönliche Daten offengelegt, manipuliert oder vernichtet werden. In den Medien wird in diesen Fällen oft von Datenpannen oder Datenlecks berichtet.

Ob eine Datenpanne von einem Unternehmen zu melden ist, ist grundsätzlich individuell zu betrachten. Die betroffenen Daten müssen hinsichtlich des entstandenen Risikos für den Betroffenen bewertet werden. Eine Meldung ist in jedem Fall vorzunehmen, wenn der Datenschutzverstoß einen materiellen, physischen oder immateriellen Schaden verursacht hat.

Die häufigsten Datenschutzverstöße in Unternehmen:

Das Unternehmen hat keinen Datenschutzbeauftragten benannt

Sind in einem Unternehmen ständig über 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, so ist die Benennung eines Datenschutzbeauftragten zwingend erforderlich.

Auf diese Regel beziehen sich viele Unternehmen die unter dieser Personenzahl bleiben, aber nicht nur die Personenzahl ist ausschließlich dafür verantwortlich, dass ein Datenschutzbeauftragter benannt werden muss. Werden besonders sensible Daten erhoben, wie beispielsweise Gesundheitsdaten, so ist die Ernennung eines Datenschutzbeauftragten unumgänglich. Verlassen sich Unternehmen also nur auf die Personenzahl der Mitarbeiter, die ständig mit den sensiblen Daten arbeiten, so kann leicht ein Datenschutzverstoß entstehen.

Unabhängig von der Ernennung eines Datenschutzbeauftragten ist für alle Unternehmen zu beachten, dass die Vorgaben der DSGVO und der Datenschutzes grundsätzlich einzuhalten sind.

Die Datenschutzerklärung ist fehlerhaft oder nicht vorhanden

Tritt man mit Unternehmen über die Webseite in Kontakt, so ist eine korrekte Darstellung der Datenschutzerklärung verpflichtend, wenn die Seite die Angabe von personenbezogenen Daten verlangt. In manchen Fällen kann aber verzeichnet werden, dass die Datenschutzerklärung fehlt, aber die Besucher-IP-Adresse, der Nutzerstandort oder die E-Mail-Kontaktdaten eingefordert werden. Diese inhaltlichen Mängel führen automatisch zu einem Datenschutzverstoß.

Eine Datenschutzerklärung beinhaltet grundsätzlich die vollständigen Angaben, welche Informationen erhoben und wie lange die abgegebenen Daten gespeichert werden. Auch die beabsichtigte Nutzung der Daten muss aus der Datenschutzerklärung ersichtlich werden. In der Datenschutzerklärung ist die Verwendung einer einfachen und allgemein verständlichen Sprache zwingend erforderlich. Ist das Unternehmen verpflichtet einen internen oder externen Datenschutzbeauftragten zu benennen, so ist dieser in der Datenschutzerklärung aufzuführen.

Datenschutzverstöße bei der Speicherung und Verarbeitung von persönlichen Daten

Speicherung von Daten oder Weitergabe der personenbezogenen Daten

Ein klassischer Verstoß gegen den Datenschutz liegt vor, wenn personenbezogene Daten aufgenommen werden, ohne dass im Vorfeld eine Einverständniserklärung eingeholt worden ist. Im Internet wäre hier als Beispiel zu nennen, wenn Newsletter ohne eine vorherige Einwilligung versendet werden.

Nutzen Unternehmen erhobene Daten von Personen, um diese an andere Unternehmen zu veräußern oder sich einen anderen Datenvorteil zu verschaffen, so liegt eine vorsätzliche Verletzung der Datenschutzvorschriften vor, außer datenschutzrechtlich wurden diese Aktionen im Vorfeld abgesichert. Datenschutzverstöße aus diesem Bereich werden in den meisten Fällen mit besonders hohen Bußgeldern belegt.

Mangelnde Sicherheit in Bezug auf personenbezogene Daten

Diese Datenschutzverstöße können oft in Unternehmen verzeichnet werden. Personenbezogene Dateien gehen verloren und können somit auch von nicht befugten Personen eingesehen werden. Berichte dieser Art findet man vielfach in den Medien unter der Rubrik „Datenskandale“ – in vielen Fällen wurde sich ein Datenzugang durch einen Hackerangriff verschafft, der auf mangelhafte Sicherheitsvorkehrungen zurückzuführen war. Besonders für Großkonzerne bedeutet ein solches Datenleck einen katastrophalen Imageverlust und somit Umsatzeinbußen. Aber auch der Verlust eines Speichermediums kann persönliche Daten für Dritte offenlegen und gilt als Datenschutzverstoß.

Ein Klassiker unter den Datenschutzpannen ist das Versenden von Rundmails an verschiedene Teilnehmer. Sind die Adressen aller Mailempfänger nicht in BCC, sondern in CC gesetzt, so verursacht das Versenden einen Zugriff auf die persönlichen Daten der Empfänger. Da dieser Fall in Unternehmen oft auftritt, sollte man hier intern eine Nachschulung durchführen.

Datenschutzverstöße, die aus einem persönlichen Kontakt resultieren

Hat ein Unternehmen personenbezogene Daten erhoben, so ist das Unternehmen gleichzeitig auch verpflichtet diese gespeicherten Daten an den Betroffenen herauszugeben. Ignoriert ein Unternehmen diese Anfrage nach den persönlichen Daten oder teilt diese nicht innerhalb eines angemessenen Zeitrahmens mit, so begeht das verantwortliche Unternehmen einen Datenschutzverstoß. Grundsätzlich sollte auf eine eingehende Anfrage eine zeitnahe Bearbeitung und Auskunft erfolgen.

In vielen Fällen ist es aber nicht ausreichend, die angeforderten personenbezogenen Daten nur zu versenden. Meistens werden auch Informationen über die Datennutzung angefordert, um dem Betroffenen einen ganzheitlichen Überblick zu verschaffen.

Die richtige Verwendung von Checkboxen auf der Webseite des Unternehmens

Unternehmen nutzen und erheben zu Marketingzwecken sehr gerne persönliche Daten. Besonders bei Kontakten, die noch nicht als aktive Kunden geführt werden, sind als Rechtsgrundlage Einwilligungen einzuholen. Diese Einwilligungen werden in der Regel auf einem Formular eingefordert.

Ein Unternehmen muss hierbei die Rechtsgrundlage genau beachten - der Zweck der Datenerhebung ist vom Unternehmen genau zu benennen. Es muss grundsätzlich auf die Widerrufbarkeit der gegebenen Einwilligung hingewiesen werden.

Eine wünschenswerte Abbildung innerhalb der Checkox wäre, dass für den User klar definiert wird, in welche Maßnahmen er einwilligt. Eine schon ausgefüllte Checkbox ist hierbei nicht nur für das Image des Unternehmens zwiespältig einzuschätzen, aber es schließt auch die aktive Zustimmung des Betroffenen aus.

Die Verantwortlichkeit innerhalb der Auftragsverarbeitung

In Unternehmen besteht oft Unklarheit, wer welche Pflichten zu übernehmen hat und wer die Verantwortung trägt. Viele Unternehmen nutzen Kundendatenbanken, eine Lohnbuchhaltung und einen Marketingnewsletter. In vielen dieser Fälle wird ein externer Auftragsverarbeiter die Daten nutzen. Hier besteht oft Unklarheit über die Rechte und Pflichten der jeweiligen Parteien. Um datenschutzkonform zu agieren, sollten Unternehmen eine klare Abgrenzung zwischen der Verantwortlichkeit und der Auftragsverarbeitung ziehen.

Möchte man bei der Auftragsverarbeitung keine Fehler riskieren, so muss die Verarbeitung auf Weisung des Verantwortlichen geschehen. Der Verantwortliche ist für die Datenschutzerklärung zuständig und muss gleichzeitig den benannten Auftragsverarbeiter in einem Verzeichnis der Verarbeitungstätigkeiten registrieren. Mit dem Auftragnehmer wird nun ein sogenannter Auftragsverarbeitungsvertrag (AVV) geschlossen.

Der AVV muss alle Punkte aus Art 28 der DSGVO beinhalten. Insbesondere muss die Leistungsbeschreibung klar definiert werden und welche Teilleistung vom benannten Auftragsverarbeiter erfüllt werden soll. Datenkategorien müssen übersichtlich gelistet und auch Subunternehmer benannt werden. Die Datensicherheit muss grundsätzlich überprüfbar bleiben.

Oft werden vom Verantwortlichen die technischen und organisatorischen Maßnahmen (TOM) nicht vollständig überprüft. Sind diese vorhanden, so kann sich der Verantwortliche informieren, wie der Datenumgang beim Auftragsverarbeiter organisiert ist und welche Schutzmaßnahmen ergriffen werden. Wird ein TOM nicht berücksichtigt, so übersieht das Unternehmen einen wesentlichen Bestandteil eines Auftragsverarbeitungsvertrages.

Datenschutzverstöße – ein Fazit

Der Datenschutz in Unternehmen ist ein komplexes Thema, mit dem sich Verantwortliche und Mitarbeiter auseinandersetzen müssen. Besonders um Imageverluste und daraus resultierende Umsatzeinbußen zu vermeiden, sollten Unternehmen besonders in interne Schulungen investieren und den Mitarbeitern ein Gefühl für den richtigen Umgang mit persönlichen Daten geben. Durch ein umgesetztes Schulungskonzept können Bußgelder und andere Konsequenzen umgangen werden.

Kein Unternehmen kann für sich beanspruchen, dass es im Punkt Datenschutz alle Regeln erfüllt, aber es gilt interne und externe Missverständnisse und Unklarheiten abzubauen und den Datenschutz mit all seinen Folgen und Konsequenzen immer im Auge zu behalten.

 


Über den Autor

Weitere Artikel

Wichtige Datenschutz-Trends in 2023

Wichtige Datenschutz-Trends in 2023

Die sich ständig verändernde digitale Landschaft und der Zustrom neuer Technologien machen den Datenschutz immer komplexer - auch im neuen Jahr 2023 solltet ihr über die wichtigsten Trends im Datenschutz auf dem Laufenden bleiben.

Mehr erfahren
Braucht euer Unternehmen SOC 2 oder SOC 3?

Braucht euer Unternehmen SOC 2 oder SOC 3?

Ihr habt vielleicht schon von SOC 2- und SOC 3-Berichten gehört, aber was genau ist das eigentlich? Was ist der Unterschied zwischen den beiden? Und welcher Bericht ist der richtige für euer Unternehmen? Lasst uns einen genaueren Blick darauf werfen.

Mehr erfahren
heyDatas Marketplace: Integration für HR-Software

heyDatas Marketplace: Integration für HR-Software

Softwares werden von Unternehmen gerne genutzt, um ihr Day-to-Day Business zu erleichtern. Auch wir sind großer Fan des technologischen Ansatzes, was sich in unserer All-in-1 Compliance Software Solution widerspiegelt. Während wir alle datenschutzrechtlichen Belange für unsere Kund:innen regeln, gibt es noch viele weitere Themenbereiche, die über eine Softwarelösung gemanagt werden können - so auch HR.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen