Der Pfaffenhofener IT-Systempartner Stahl Computertechnik hat vor Kurzem zu seinem ersten „Datenschutz-Frühstück“ geladen. Mehr als 30 Teilnehmer aus Gewerbe, Unternehmen und freien Berufen erhielten bei einem Vortrag im Hotel Moosburger Hof praktische Tipps, wie sie dem Datenschutz im Unternehmensalltag gerecht werden können. Themen waren u. a. die Nutzung von Firmenhandys oder der Umgang mit privaten E-Mails am Arbeitsplatz. Jedes Unternehmen solle jetzt seine Hausaufgaben machen, so Referent Hubert Daubmeier, da nächstes Jahr die neue EU-Datenschutz-Grundverordnung in Kraft tritt und dafür die meisten Unternehmen noch nicht fit seien.
Hubert Daubmeier aus Neuburg a. d. Donau ist selbständiger Datenschutzbeauftragter. Der Experte gab zunächst eine kurze Einführung in das Thema Datenschutz. Dieser bezieht sich auf personenbezogene Daten wie Anschrift oder Bankverbindung. Auch die IP-Adresse des Computers, mit dem man eine Website aufruft, zählt dazu. „Immer dann, wenn personenbezogene Daten im Spiel sind, ist der Datenschutz bei der Verarbeitung der Daten zu beachten“, fasst Daubmeier zusammen. Wann eine Einwilligung des Betroffenen nötig ist, zu welchem Zweck Daten gespeichert werden dürfen und was „Datensparsamkeit“ bedeutet, wurde nachvollziehbar erläutert. Weitaus größeren Raum nahm jedoch ein, wie die Vorgaben konkret in der Unternehmenspraxis gelebt werden können. Dabei wurden Fragen des Publikums kompetent beantwortet.
Konkrete Tipps für die Unternehmenspraxis
So manche Vorgabe rund um den Datenschutz sei nicht schwer umzusetzen, so Daubmeier. Als Beispiel nannte er die Verpflichtung der Mitarbeiter auf das Datengeheimnis. Mit dieser soll zum Ausdruck kommen, dass nicht nur der Arbeitgeber als verantwortliche Stelle, sondern jeder Beschäftigte persönliche Pflichten für die Einhaltung des Datenschutzes trägt. Eine Mustererklärung ist auf der Website des Bayerischen Landesamts für Datenschutzaufsicht erhältlich. Nebeneffekt sei, dass die Mitarbeiter sensibilisiert würden: „Kann ich wirklich die Kundenliste auf einem unverschlüsselten USB-Stick mit mir tragen?“
Technische Lösungen als Hilfestellung
Apropos USB-Stick: „Verschlüsseln, verschlüsseln, verschlüsseln“ rät Daubmeier als technische Lösung. So ist gewährleistet, dass personenbezogene Daten nicht in falsche Hände geraten, falls ein Gerät – vom USB-Stick bis zum Laptop – verloren geht. Dies ist gerade in Hinblick auf die neue EU-Datenschutz-Grundverordnung ratsam. Denn zum einen müssen künftig mehr Vorfälle an die Aufsichtsbehörde gemeldet werden: Jeder Hacking-Vorfall wird künftig ebenso meldepflichtig wie heute schon der Verlust eines unverschlüsselten USB-Sticks oder eines Smartphones, sofern es nicht aus der Ferne gelöscht werden kann. Zum anderen fallen bei nachgewiesener Nicht-Meldung hohe Bußgelder an. Laut Grundverordnung müssen Unternehmen zudem künftig nachweisen, dass die Grundsätze für die Verarbeitung personenbezogener Daten tatsächlich „gelebt“ werden. „Das heißt dokumentieren, protokollieren, Verhaltensregeln aufstellen“, so der Datenschutzbeauftragte. „In elf Monaten tritt die Verordnung in Kraft und dann müssen alle Vorkehrungen getroffen sein.“ Mehr als die Hälfte der Unternehmen haben nach eigenen Angaben noch keine Umsetzungspläne, so Daubmeier.
Fallstrick private Nutzung
Doch auch mit den geltenden nationalen Bestimmungen haben die Unternehmen Handlungsbedarf. Komplex wird es, wenn Mitarbeiter private Geräte für dienstliche Aufgaben nutzen. Einfacher wäre es, wenn der Arbeitgeber das Smartphone stellt. So kann er über dessen Nutzung bestimmen und den Einhalt der Datenschutzvorgaben besser kontrollieren. So sollten zum Beispiel nie unverschlüsselte personenbezogene Daten über Cloud-Dienste synchronisiert werden oder dienstliche Dokumente, die personenbezogene Daten enthalten, auf dem privaten Drucker ausgegeben werden. Eine häufige Praxis und zugleich einen Fallstrick für die Betriebe beobachtet Daubmeier bei der – oft stillschweigend geduldeten – privaten E-Mail-Nutzung am Arbeitsplatz. Wer dann nämlich bei Urlaub oder Krankheit auf Postfächer abwesender Kollegen zugreift, kommt mit dem Fernmeldegeheimnis in Konflikt. Aber auch, wer die private Nutzung verbietet, muss kontrollieren, ob dies eingehalten wird. Sein Rat: „Eine betriebsinterne Regelung der privaten Internet- und E-Mail-Nutzung ist dringend empfohlen.“
Von der schwierigen Suche nach einem Datenschutzbeauftragten
Fabian Stahl, Geschäftsführer und Inhaber von Stahl Computertechnik, berichtete aus der Datenschutz-Praxis in seinem Unternehmen mit 19 Mitarbeitern. Als IT-Dienstleister und Anbieter von Cloud-Lösungen hat das Unternehmen viele Kundendaten gespeichert, zudem haben die Techniker als IT-Systemadministratoren Zugang auf Kundenserver. Genau das hat es dem Systemhaus schwer gemacht, einen Datenschutzbeauftragten zu bestimmen: Diese Funktion darf nämlich kein Mitarbeiter ausüben, der in Verwaltung, Vertrieb oder Technik Zugriff auf Kundendaten hat. Ausweg war die Verpflichtung eines externen Datenschutzbeauftragten. Einen Datenschutzbeauftragten benötigen Unternehmen, wenn mehr als neun Mitarbeiter personenbezogene Daten bearbeiten.
Datenschutzerklärung für Websites
Ein weiterer Aspekt beim Datenschutz-Frühstück waren die – verpflichtenden – Datenschutzerklärungen für Websites. Darin muss der Betreiber über die Erhebung und Verwendung personenbezogener Daten informieren. Diese fallen nicht nur an, wenn man einen Shop betreibt oder Anfragen über Formulare ermöglicht. Gerne vergessen werden so genannte Log-Daten wie Browsertyp oder IP-Adresse des Nutzers. Diese werden oft zu umfangreich erhoben, zu lange gespeichert und der Zugriff zu schwach gesichert.
Es gibt für die Unternehmen also jede Menge zu tun, wenn Sie den Datenschutz einhalten wollen. Die Teilnehmer des Datenschutz-Frühstücks jedenfalls haben in den Gesprächen während des Buffets erkennen lassen, dass sie dem Aufruf des Referenten folgen wollen: „Gehen Sie es an – machen Sie Ihre Hausaufgaben!“
ANGEBOTSPAKET UND DOWNLOAD
Für eine inhaltlich und technisch korrekte Datenschutzerklärung auf Firmen-Websites bieten Stahl Computertechnik und Datenschutzbeauftragter Hubert Daubmeier derzeit ein Paket-Angebot.
Download der Vortragsfolien PDF – 1,71 MiB Download |