Anzeige

Datenschutz

Bereits seit Mai 2018 gehört sie zu den ständigen Begleitern im E-Commerce: die Datenschutzgrundverordnung, kurz DSGVO. Häufig haben vor allem kleinere Betriebe Mitarbeitern der eigenen Firma das Thema Datenschutz als zusätzliches Aufgabenfeld übertragen. Aber nicht selten fühlen sich diese überfordert von einem so komplexen Themenbereich, der dann zusätzlich zu der eigentlichen Arbeit in ihrer Verantwortung liegt.

„Darüber hinaus treten immer wieder Änderungen in Kraft, sodass sich Datenschutzverantwortliche auch stetig weiterbilden müssen. Aber auch im allgemeinen Arbeitsalltag ist das Thema Datenschutz noch längst nicht in allen Unternehmen und Köpfen der Mitarbeiter angekommen“, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

Maßnahmen auch festhalten

Ein komplexer Bereich, der sich häufig aber bereits durch einfache Maßnahmen regeln lässt, betrifft die TOM. Diese Abkürzung steht für die technischen und organisatorischen Maßnahmen eines Unternehmens, die es zum Schutz personenbezogener Daten ergreift. Zu den technischen Maßnahmen zählen etwa physische Verfahrensweisen – zum Beispiel ein Schloss, um das Unternehmensgebäude zu schützen. Eine organisatorische Maßnahme wäre wiederum die Dokumentation darüber, wer einen Schlüssel besitzt. Aber auch auf digitaler Ebene gibt es einiges zu beachten. So gilt es laut Art. 32 Abs. 1(b) der DSGVO „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Für den elektronischen Handel besonders wichtig sind aber auch die Richtlinien rund um das Thema Auftragsverarbeitung, da Unternehmen ihre Daten häufig outsourcen, um Ressourcen wie Kosten, Raum und Zeit zu sparen. Sie nutzen dabei nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollständig an externe Dienstleister aus – beispielsweise durch die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Somit beauftragt das Unternehmen einen externen Dienstleister, in diesem Fall Auftragnehmer genannt, personenbezogene Daten weisungsgebunden zu verarbeiten. Hösel weist darauf hin: „Zwar muss der Auftragsverarbeiter garantieren, dass seine TOM den Datenschutzbestimmungen entsprechen, der Großteil der Verantwortung für die Einhaltung der Anforderungen liegt aber trotzdem beim Auftraggeber, denn eine Auslagerung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten.“ Dabei müssen Art und Zweck sowie Gegenstand und Dauer der Verarbeitung genauso vertraglich festgehalten werden wie die Löschung oder Rückgabe der Daten nach Beendigung des Auftrages.

Cookies auf der Website

Ebenfalls keine Neuigkeit und dennoch häufig nicht datenschutzkonform eingesetzt: Cookies auf Unternehmenswebsites. Laut DSGVO gelten Cookies, die für den technischen Betrieb von Websites erforderlich sind, als erlaubt, während alle anderen Cookies eine Einwilligung des Nutzers benötigen. „Diese muss aufgrund einer eindeutigen, aktiven Handlung der betreffenden Person erfolgen und Einwilligungsfelder dürfen nicht vorausgefüllt sein“, so der Datenschützer. Zudem darf sich die Einwilligung nicht an andere Leistungen koppeln, muss also frei von jedem Zwang sein und vom Nutzer jederzeit widerrufen werden können. Darüber hinaus muss die Website die betreffende Person eindeutig über die Datenverarbeitung und Speicherdauer informieren. Eine Website darf außerdem erst dann Cookies setzen, wenn die Einwilligung erfolgt ist. Auch viele Marketingmaßnahmen stellen eine Herausforderung für Betriebe dar, wie beispielsweise das datenschutzkonforme Tracking. Dieses Tool nutzen die meisten Unternehmen, um beispielsweise nachvollziehen zu können, welche User wie lange auf der Website bleiben. Diese Ergebnisse können Unternehmen einsetzen, um Nutzerprofile zu erstellen, die wiederum das Ausspielen personalisierter Werbung ermöglichen. Für datenschutzkonformes Tracking gibt es einerseits die Möglichkeit, auf der Website pseudonymisierte Nutzerprofile zu erfassen, bei denen beispielsweise personenbeziehbare Daten durch eine Kennziffer ersetzt werden. Andererseits können Betreiber auf der Website eine Opt-in-Option einrichten. Das bedeutet, Nutzer müssen der Nutzung ihrer Daten aktiv zustimmen und diese Zustimmung muss auch widerrufbar sein.

Bewerbungsdaten

Jedes Unternehmen hat in der Regel früher oder später auch mit der datenschutzrechtlichen Auseinandersetzung mit Bewerbungsdaten zu tun. Laut DSGVO müssen die Bewerber, sobald die Unterlagen eingehen, Informationen über die Datenverarbeitung erhalten. Hösel erklärt: „Dazu zählt unter anderem, welche Daten die Personalverantwortlichen verarbeiten, zu welchem Zweck und wie lange sie aufbewahrt werden.“ Indem ein Unternehmen beispielsweise eine automatisch generierte Eingangsbestätigung mit den entsprechenden Angaben versendet, kommt es dieser Pflicht nach. Darüber hinaus müssen Unternehmen ein Verzeichnis führen, in dem die Verarbeitungstätigkeiten, die im Rahmen des Bewerbermanagements stattfinden, festgehalten werden. Konnte die offene Stelle besetzt werden, müssen Verantwortliche die personenbezogenen Daten der anderen Bewerber löschen, wenn Einspruchsfristen abgelaufen sind. Auch Kundendaten gilt es sensibel zu behandeln. Vielfach bleiben beispielsweise Bestelldaten in Shopsystemen auf ewig gespeichert.

Sicher – im Büro und unterwegs

Wenn Mitarbeiter auch unterwegs arbeiten, benötigen sie dafür oft eine Internetverbindung. In den meisten Fällen gelten öffentliche WLAN-Netzwerke allerdings nicht als sicher. An dieser Stelle sollten virtuelle private Netzwerke, sogenannte VPNs, zum Einsatz kommen, die sich auch für den Zugriff auf die Daten des Firmenservers empfehlen. Aber auch der Laptop sollte vor heimlichen Blicken von Außenstehenden geschützt werden. Eine recht einfache Möglichkeit bieten dabei Blickschutzfilter, die beispielsweise auf den Bildschirm gelegt werden können. „Auch am Handy sollten sich Mitarbeiter möglichst zurückhalten und keine sensiblen Firmeninterna ausplaudern. Zwar scheint das auf den ersten Blick eine Selbstverständlichkeit zu sein, doch in der Realität sieht es häufig anders aus. Führungskräfte sollten ihre Mitarbeiter daher regelmäßig daran erinnern, sensibel mit dem Thema umzugehen“, so Hösel. Aber nicht nur im eigenen Interesse sollten Unternehmer sich an die Regelungen der DSGVO halten. Onlineshops haben häufig ein hohes Abmahnrisiko durch Mitbewerber – auch in puncto Datenschutz.

www.hubit.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Google-Laptop
Jun 25, 2020

Google weitet automatische Löschung von Aktivitätsdaten aus

Google macht die automatische Löschung von Aktivitätsdaten der Nutzer zur…
Datenschutz Schild
Jun 24, 2020

Datenschutzbarometer 2020

Commanders Act, Anbieter der europäischen integrierten Consent-Management- (CMP) und…
Justitia
Jun 22, 2020

DSGVO-konformes Awareness-Training und die rechtlichen Tücken

Die EU-Datenschutzgrundverordnung (kurz DSGVO) hält fast alle Unternehmen auf Trab, die…

Weitere Artikel

Kundenservice

Zurück zum Kunden – Sieben Prinzipien für guten Service

Standardisierung und Automatisierung haben das IT Service Management (ITSM) in den letzten Jahren stark geprägt. Klassische Frameworks wie ITIL, CoBit, ISO-Normen und Softwaretools trugen auf der einen Seite wesentlich dazu bei, das Dienstleistungsmanagement…
Social Commerce

Relevanz von Social Media und Social Commerce im B2B nimmt zu

Die Nutzung Sozialer Netzwerke ist für einige B2B-Unternehmen bereits fester Bestandteil der eigenen Marketing-Strategie. Egal ob zur Neukundengewinnung, zur Erhöhung der Reichweite oder um den direkten Kontakt zu den Kund:innen aufrecht zu erhalten.
CRM

Customer-Relationship-Management als Gamechanger

Wie sieht der richtige Zeitpunkt für die Etablierung eines CRM aus? Mehr und mehr findet Kundenbeziehungsmanagement den Weg in Unternehmen unterschiedlicher Branchen. Als passende Softwarelösung zur Pflege der Kontakte eignen sich CRM-Systeme.
Email

Newsletter-Marketing – Individuelle Ansprachen erhöhen Response Rate

Wenn wir an erfolgreiche digitale Marketingkanäle denken, dann fallen schnell Begriffe wie Youtube, Facebook und Google Ads. Ein wesentlicher Kanal fehlt jedoch häufig in dieser Aufzählung – Email-Marketing.
Transformation

Digitale Transformation + Datentransformation = Commerce-Transformation

Worauf sollten E-Commerce-Akteure im Jahr 2021 ihr Augenmerk legen? Da heute jeder Produkte online verkauft, müssen sich Unternehmen mit einem besonderen Einkaufserlebnis von der Konkurrenz abheben. Die Commerce-Experten Benjamin Adler, Lead Experience Design…
SEO

Suchmaschinenoptimierung: Bei Google ganz vorne landen

Geht es um die Platzierung in den Suchergebnissen bei Google und anderen Suchmaschinen, gibt es einige Kniffe und Tricks, wie man hier als Betreiber einer Webseite ganz vorne landen kann.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!