Anzeige

Datenschutz

Bereits seit Mai 2018 gehört sie zu den ständigen Begleitern im E-Commerce: die Datenschutzgrundverordnung, kurz DSGVO. Häufig haben vor allem kleinere Betriebe Mitarbeitern der eigenen Firma das Thema Datenschutz als zusätzliches Aufgabenfeld übertragen. Aber nicht selten fühlen sich diese überfordert von einem so komplexen Themenbereich, der dann zusätzlich zu der eigentlichen Arbeit in ihrer Verantwortung liegt.

„Darüber hinaus treten immer wieder Änderungen in Kraft, sodass sich Datenschutzverantwortliche auch stetig weiterbilden müssen. Aber auch im allgemeinen Arbeitsalltag ist das Thema Datenschutz noch längst nicht in allen Unternehmen und Köpfen der Mitarbeiter angekommen“, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

Maßnahmen auch festhalten

Ein komplexer Bereich, der sich häufig aber bereits durch einfache Maßnahmen regeln lässt, betrifft die TOM. Diese Abkürzung steht für die technischen und organisatorischen Maßnahmen eines Unternehmens, die es zum Schutz personenbezogener Daten ergreift. Zu den technischen Maßnahmen zählen etwa physische Verfahrensweisen – zum Beispiel ein Schloss, um das Unternehmensgebäude zu schützen. Eine organisatorische Maßnahme wäre wiederum die Dokumentation darüber, wer einen Schlüssel besitzt. Aber auch auf digitaler Ebene gibt es einiges zu beachten. So gilt es laut Art. 32 Abs. 1(b) der DSGVO „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Für den elektronischen Handel besonders wichtig sind aber auch die Richtlinien rund um das Thema Auftragsverarbeitung, da Unternehmen ihre Daten häufig outsourcen, um Ressourcen wie Kosten, Raum und Zeit zu sparen. Sie nutzen dabei nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollständig an externe Dienstleister aus – beispielsweise durch die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Somit beauftragt das Unternehmen einen externen Dienstleister, in diesem Fall Auftragnehmer genannt, personenbezogene Daten weisungsgebunden zu verarbeiten. Hösel weist darauf hin: „Zwar muss der Auftragsverarbeiter garantieren, dass seine TOM den Datenschutzbestimmungen entsprechen, der Großteil der Verantwortung für die Einhaltung der Anforderungen liegt aber trotzdem beim Auftraggeber, denn eine Auslagerung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten.“ Dabei müssen Art und Zweck sowie Gegenstand und Dauer der Verarbeitung genauso vertraglich festgehalten werden wie die Löschung oder Rückgabe der Daten nach Beendigung des Auftrages.

Cookies auf der Website

Ebenfalls keine Neuigkeit und dennoch häufig nicht datenschutzkonform eingesetzt: Cookies auf Unternehmenswebsites. Laut DSGVO gelten Cookies, die für den technischen Betrieb von Websites erforderlich sind, als erlaubt, während alle anderen Cookies eine Einwilligung des Nutzers benötigen. „Diese muss aufgrund einer eindeutigen, aktiven Handlung der betreffenden Person erfolgen und Einwilligungsfelder dürfen nicht vorausgefüllt sein“, so der Datenschützer. Zudem darf sich die Einwilligung nicht an andere Leistungen koppeln, muss also frei von jedem Zwang sein und vom Nutzer jederzeit widerrufen werden können. Darüber hinaus muss die Website die betreffende Person eindeutig über die Datenverarbeitung und Speicherdauer informieren. Eine Website darf außerdem erst dann Cookies setzen, wenn die Einwilligung erfolgt ist. Auch viele Marketingmaßnahmen stellen eine Herausforderung für Betriebe dar, wie beispielsweise das datenschutzkonforme Tracking. Dieses Tool nutzen die meisten Unternehmen, um beispielsweise nachvollziehen zu können, welche User wie lange auf der Website bleiben. Diese Ergebnisse können Unternehmen einsetzen, um Nutzerprofile zu erstellen, die wiederum das Ausspielen personalisierter Werbung ermöglichen. Für datenschutzkonformes Tracking gibt es einerseits die Möglichkeit, auf der Website pseudonymisierte Nutzerprofile zu erfassen, bei denen beispielsweise personenbeziehbare Daten durch eine Kennziffer ersetzt werden. Andererseits können Betreiber auf der Website eine Opt-in-Option einrichten. Das bedeutet, Nutzer müssen der Nutzung ihrer Daten aktiv zustimmen und diese Zustimmung muss auch widerrufbar sein.

Bewerbungsdaten

Jedes Unternehmen hat in der Regel früher oder später auch mit der datenschutzrechtlichen Auseinandersetzung mit Bewerbungsdaten zu tun. Laut DSGVO müssen die Bewerber, sobald die Unterlagen eingehen, Informationen über die Datenverarbeitung erhalten. Hösel erklärt: „Dazu zählt unter anderem, welche Daten die Personalverantwortlichen verarbeiten, zu welchem Zweck und wie lange sie aufbewahrt werden.“ Indem ein Unternehmen beispielsweise eine automatisch generierte Eingangsbestätigung mit den entsprechenden Angaben versendet, kommt es dieser Pflicht nach. Darüber hinaus müssen Unternehmen ein Verzeichnis führen, in dem die Verarbeitungstätigkeiten, die im Rahmen des Bewerbermanagements stattfinden, festgehalten werden. Konnte die offene Stelle besetzt werden, müssen Verantwortliche die personenbezogenen Daten der anderen Bewerber löschen, wenn Einspruchsfristen abgelaufen sind. Auch Kundendaten gilt es sensibel zu behandeln. Vielfach bleiben beispielsweise Bestelldaten in Shopsystemen auf ewig gespeichert.

Sicher – im Büro und unterwegs

Wenn Mitarbeiter auch unterwegs arbeiten, benötigen sie dafür oft eine Internetverbindung. In den meisten Fällen gelten öffentliche WLAN-Netzwerke allerdings nicht als sicher. An dieser Stelle sollten virtuelle private Netzwerke, sogenannte VPNs, zum Einsatz kommen, die sich auch für den Zugriff auf die Daten des Firmenservers empfehlen. Aber auch der Laptop sollte vor heimlichen Blicken von Außenstehenden geschützt werden. Eine recht einfache Möglichkeit bieten dabei Blickschutzfilter, die beispielsweise auf den Bildschirm gelegt werden können. „Auch am Handy sollten sich Mitarbeiter möglichst zurückhalten und keine sensiblen Firmeninterna ausplaudern. Zwar scheint das auf den ersten Blick eine Selbstverständlichkeit zu sein, doch in der Realität sieht es häufig anders aus. Führungskräfte sollten ihre Mitarbeiter daher regelmäßig daran erinnern, sensibel mit dem Thema umzugehen“, so Hösel. Aber nicht nur im eigenen Interesse sollten Unternehmer sich an die Regelungen der DSGVO halten. Onlineshops haben häufig ein hohes Abmahnrisiko durch Mitbewerber – auch in puncto Datenschutz.

www.hubit.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Google-Laptop
Jun 25, 2020

Google weitet automatische Löschung von Aktivitätsdaten aus

Google macht die automatische Löschung von Aktivitätsdaten der Nutzer zur…
Datenschutz Schild
Jun 24, 2020

Datenschutzbarometer 2020

Commanders Act, Anbieter der europäischen integrierten Consent-Management- (CMP) und…
Justitia
Jun 22, 2020

DSGVO-konformes Awareness-Training und die rechtlichen Tücken

Die EU-Datenschutzgrundverordnung (kurz DSGVO) hält fast alle Unternehmen auf Trab, die…

Weitere Artikel

Blackfriday

Betrugsversuche am Black Friday, auf die man nicht reinfallen sollte

Laut Adobe Analytics werden die Online-Umsätze in der Vorweihnachtszeit aufgrund des Lockdowns um 33% steigen. Der Black Friday ist eine Schnäppchenjagd, die dem Einzelhandel zum Teil die Hälfte seines Jahresumsatzes beschert. Betrüger nutzen diese…
Blackfriday

5 Tipps, um nachhaltiger Elektronik einzukaufen

In wenigen Tagen findet der diesjährige Black Friday statt und wird wieder viele Menschen zur Schnäppchenjagd verleiten: 66 Prozent der Deutschen planen einen Einkauf, für 57 Prozent steht dabei die Elektrobranche besonders hoch im Kurs. Auch wenn viele…
Cookies

Ein neuer Fall für Marketer: Das Verschwinden der Cookies

Ein neuer Fall beschäftigt die Werbetreibenden dieser Welt: Das Verschwinden der Cookies. Wo sind sie hin? Wo hat man sie zuletzt gesehen? Wer oder was ist Schuld? Emarsys klärt auf.
E-Mail-Betrug

Online-Händler schützen ihre Kunden nicht ausreichend vor E-Mail-Betrug

Proofpoint hat festgestellt, dass noch immer knapp die Hälfte (43 Prozent) der größten Online-Händler in Deutschland keinen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) veröffentlicht haben. Das lässt die Möglichkeit offen,…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!