Spätestens seit Einführung der Datenschutz-Grundverordnung (DS-GVO) hat der Schutz persönlicher Informationen sowohl im privaten als auch im beruflichen Kontext stark zugenommen. Besonders am Arbeitsplatz werden oft sensible Daten verarbeitet.
Um Datenschutzverletzungen und Missverständnisse zu verhindern, ist eine fundierte Schulung aller Mitarbeiter im Umgang mit diesen Daten unerlässlich. Von den rechtlichen Rahmenbedingungen über den Umgang mit personenbezogenen Daten bis hin zu spezifischen Herausforderungen wie Social Engineering müssen sich Verantwortliche kontinuierlich weiterbilden, um den Schutz sensibler Daten zu gewährleisten.
Rechtsgrundlagen für die Datenverarbeitung
Zunächst ist es wichtig zu verstehen, dass die Verarbeitung personenbezogener Daten durchaus zulässig ist, sofern sie auf einer soliden Rechtsgrundlage basiert. Diese Rechtsgrundlagen werden in Art. 6 der DS-GVO geregelt und ermöglichen es Unternehmen, datenschutzkonform zu handeln, ohne die operative Tätigkeit zu beeinträchtigen. Zu den wichtigsten Rechtsgrundlagen gehören:
- Einwilligung: Dies ist wohl die bekannteste Grundlage. Personen geben ihre Zustimmung zur Verarbeitung ihrer Daten für spezifische Zwecke, wie etwa die Nutzung von Cookies auf einer Website oder die Veröffentlichung von Fotos. Es ist wichtig, dass diese Zustimmung freiwillig und informiert erfolgt.
- Notwendigkeit für (vor-)vertragliche Maßnahmen: In vielen Fällen ist die Verarbeitung personenbezogener Daten notwendig, um einen Vertrag zu erfüllen oder vorvertragliche Schritte auf Anfrage der betroffenen Person durchzuführen. Beispiele hierfür sind das Bewerbungsverfahren oder die Kommunikation mit Kunden.
- Rechtliche Verpflichtung: Unternehmen sind in bestimmten Fällen gesetzlich dazu verpflichtet, personenbezogene Daten zu verarbeiten. Dazu zählen beispielsweise die Erfassung von Daten für steuerliche Zwecke.
- Berechtigtes Interesse: Diese Grundlage erlaubt die Verarbeitung von Daten zum Wohl des Unternehmens, solange die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Ein Beispiel hierfür ist die Verarbeitung technisch notwendiger Daten zum Betrieb einer Webseite, wie IP-Adressen.
Datenschutzinformationen
In den Datenschutzinformationen können Unternehmen detailliert darlegen, welche dieser Rechtsgrundlagen sie heranziehen, um personenbezogene Daten zu verarbeiten. Ob aufgrund einer Einwilligung, aus Notwendigkeit für die Durchführung eines Vertrages, aufgrund gesetzlicher Verpflichtungen oder wegen eines berechtigten Interesses – die klare Kommunikation dieser Gründe hilft, Missverständnisse zu vermeiden und zeigt, dass das Unternehmen den Schutz personenbezogener Daten ernst nimmt.
Bevor aber personenbezogene Daten verarbeitet werden können, ist es unerlässlich, dass Unternehmen Datenschutzinformationen in einer leicht zugänglichen Form bereitstellen und die Informationspflicht nach Art. 13 und 14 der DS-GVO erfüllen. Dies stellt sicher, dass die betroffenen Personen verstehen, wie und warum ihre Daten verwendet werden. Die gängigsten Formen dieser Informationsbereitstellung umfassen:
- Datenschutzinformationen auf Webseiten: Diese sind allgemein bekannt als „Datenschutzerklärung“. Jede Webseite, die personenbezogene Daten sammelt, sollte eine solche Erklärung enthalten. Sie erläutert, welche Arten von Daten gesammelt werden, zu welchem Zweck sie verarbeitet werden und wie Nutzer ihre Rechte in Bezug auf ihre Daten ausüben können.
- Datenschutzinformationen für Beschäftigte und Bewerber: Unternehmen sind ebenfalls dazu verpflichtet, ihre Mitarbeiter sowie Bewerber über die Verarbeitung ihrer personenbezogenen Daten aufzuklären. Dies schließt Informationen darüber ein, wie die Daten während des Bewerbungsprozesses und des Beschäftigungsverhältnisses genutzt werden.
Trennung von Privatem und Dienstlichem
Um den Datenschutz am Arbeitsplatz zu gewährleisten, ist es für Arbeitnehmer besonders wichtig, zwischen beruflicher und privater Nutzung von Geräten und Diensten zu unterscheiden. Hier ist eine klare Trennung entscheidend, um Datenschutzverletzungen zu vermeiden und die eigene Privatsphäre zu schützen.
- Gerätenutzung: Beschränken Sie die Nutzung von dienstlichen Geräten wie Laptops und Smartphones strikt auf berufliche Aufgaben. Umgekehrt sollten private Geräte nicht für die Arbeit verwendet werden, um Sicherheitsrisiken zu vermeiden.
- E-Mail-Kommunikation: Verwenden Sie Ihre dienstliche E-Mail-Adresse ausschließlich für berufliche Korrespondenz. Für private Nachrichten ist ein separates, persönliches E-Mail-Postfach angebracht.
- Datensicherung: Speichern Sie berufliche Dokumente und Daten ausschließlich auf den vom Unternehmen bereitgestellten Speicherlösungen. Vermeiden Sie die Nutzung privater Cloud-Speicher oder USB-Sticks für berufliche Daten, um Datenverlust oder -diebstahl zu verhindern.
Hierbei ist es für Mitarbeiter besonders wichtig die unternehmensinternen Richtlinien zu beachten. Diese können in jedem Unternehmen spezifische Anforderungen haben und sind dabei so gestaltet, dass sie sowohl den Datenschutz als auch die Sicherheit am Arbeitsplatz gewährleisten.
Sichere E-Mail-Nutzung
Der E-Mail-Verkehr zählt zu den primären Kommunikationskanälen in Unternehmen. Um die Sicherheit im Umgang mit E-Mails zu gewährleisten, ist Vorsicht geboten, besonders wenn es um den Umgang mit Nachrichten von unbekannten Absendern geht. Ein unbedachter Klick auf einen Link oder das Öffnen eines Anhangs könnte Teil eines Phishing-Versuchs sein, der darauf abzielt, sensible Informationen zu entwenden oder Schadsoftware zu verbreiten. Bei Unsicherheit ist es ratsam, eine zweite Meinung einzuholen oder sich an die IT-Abteilung zu wenden.
Für den Versand vertraulicher Informationen ist es wichtig, niemals unverschlüsselte E-Mails zu nutzen. Eine Möglichkeit besteht darin, die gesamte E-Mail mit Techniken wie PGP oder S/MIME zu verschlüsseln. Alternativ können Sie Daten auch als verschlüsselten Anhang senden, wofür Programme wie 7Zip hilfreich sein können.
Wenn Sie E-Mails an eine größere Gruppe senden, in der die Empfänger einander nicht kennen, ist die Verwendung der BCC-Funktion empfehlenswert. Dies schützt die E-Mail-Adressen aller Beteiligten.
Sollte einmal ein Fehler passieren und eine E-Mail versehentlich an die falsche Adresse gesendet werden, ist es wichtig, schnell zu handeln. Informieren Sie sofort Ihren Vorgesetzten und den Datenschutzbeauftragten, da dies eine Datenschutzverletzung darstellen könnte.
Schutz vor Social Engineering
Für einen effektiven Schutz vor Social Engineering, sind einige grundlegende Sicherheitsmaßnahmen unerlässlich. Beginnen Sie mit der Verschlüsselung Ihrer Endgeräte. Programme wie BitLocker oder FileVault bieten hierfür eine solide Lösung. Wichtig ist auch, dass Sie Ihre Login-Daten niemals teilen. Eine weitere einfache, aber effektive Maßnahme ist das Sperren Ihrer Bildschirme, wenn Sie Ihren Arbeitsplatz verlassen – das gilt sowohl für Computer als auch für Smartphones.
Lassen Sie niemals fremde Personen unbeaufsichtigt in Büroräumen. Bei der Nutzung von USB-Sticks sollten Sie vorsichtig sein: Verwenden Sie keine Sticks von unbekannten Herstellern und speichern Sie sensible Daten nur verschlüsselt darauf. Offen liegende vertrauliche Dokumente und Datenträger stellen ein Risiko dar. Bewahren Sie diese sicher auf oder vernichten Sie sie fachgerecht – ein sauberer Arbeitsplatz (Clean Desk Policy) ist dabei auch im Home-Office wichtig.
Vergessen Sie nicht, Dokumente sofort vom Drucker zu entnehmen. Halten Sie zudem Ihre Software durch regelmäßige Updates und Patches auf dem neuesten Stand. Eine starke Passwortpolitik ist unverzichtbar: Wählen Sie sichere Passwörter und überlegen Sie sich den Einsatz eines Passwortmanagers. Vermeiden Sie es, Passwörter auf Zetteln oder in Textdateien zu notieren.
Seien Sie am Telefon vorsichtig und geben Sie keine konkreten Auskünfte über Beschäftigte heraus.
Dienstleister und Auftragsverarbeitungsverträge (AVV)
Damit die Anforderungen der DS-GVO eingehalten werden, ist es wichtig, bei der Auswahl von Dienstleistern, die personenbezogene Daten verarbeiten, sorgfältig vorzugehen. In vielen Fällen ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich. Dieser Vertrag regelt die Rechte und Pflichten, sowohl des beauftragenden Unternehmens, als Verantwortlicher, und auch des Dienstleisters, als Auftragsverarbeiter.
Besondere Vorsicht ist geboten, wenn Sie Dienstleister in Betracht ziehen, die ihren Sitz in Ländern außerhalb der EU haben oder deren Datenschutzniveau als unsicher eingestuft werden. Solche unsicheren Drittländer sollten vermieden werden, um das Risiko eines Datenschutzverstoßes zu minimieren.
Mitarbeiterfotos
Fotos von Mitarbeitern werden von Unternehmen gerne auf der eigenen Website oder in den sozialen Medien verwendet. Sie helfen dabei ein persönliches und authentisches Bild des Unternehmens zu zeichnen. Gleichzeitig muss beim Einsatz dieser Bilder der Datenschutz berücksichtigt werden, um sowohl die Rechte der abgebildeten Personen zu wahren als auch rechtliche Risiken für das Unternehmen zu minimieren.
- Freiwilligkeit: Die Zustimmung zur Verwendung von Fotos muss freiwillig erfolgen. Es darf keine negativen Folgen geben, falls jemand nicht zustimmt.
- Zeitpunkt der Einwilligung: Eine Einwilligung muss immer eingeholt werden, bevor die Fotos veröffentlicht werden.
- Form der Einwilligung: Die Einwilligung sollte schriftlich erfolgen, um der Nachweispflicht aus Art. 7 Abs. 1 DSGVO nachkommen zu können.
- Informationspflicht: Der Arbeitgeber muss die Mitarbeitenden umfassend informieren (gemäß Art. 13, 14 DSGVO).
- Veröffentlichungsort und -kontext: Mitarbeitende müssen genau wissen, wo und in welchem Zusammenhang ihre Fotos erscheinen.
- Widerrufsrecht: Es muss klar sein, dass die Einwilligung jederzeit widerrufen werden kann. Bei einem Widerruf müssen die entsprechenden Fotos entfernt werden.
Wichtige Fristen
Sowohl Mitarbeiter als auch Verantwortliche müssen sich an bestimmte Fristen halten. So sollten schon bei einem Verdacht auf eine „Datenpanne“ Mitarbeiter umgehend den Vorgesetzten und den Datenschutzbeauftragten informieren. Denn wenn es sich tatsächlich um einen Datenschutzvorfall handelt, sind die Verantwortlichen, nach Art. 33 der DS-GVO verpflichtet, innerhalb von 72 Stunden eine Meldung bei der zuständigen Datenschutzbehörde abzugeben. Idealerweise informieren sie auch die vom Vorfall betroffenen Personen.
Bei Anfragen zu personenbezogenen Daten, unabhängig davon, ob es um Auskunft, Löschung oder Berichtigung geht, muss das Unternehmen innerhalb eines Monats reagieren. Auch in diesem Fall sollten sich Mitarbeiter umgehend an den Datenschutzbeauftragten wenden.
Als erfahrener IT-Dienstleister mit Spezialisierung auf Datenschutz bieten wir nicht nur Unterstützung als externer Datenschutzbeauftragter an, sondern auch maßgeschneiderte Datenschutzschulungen für Ihr Team. Unser Ziel ist es, Ihnen das notwendige Werkzeug an die Hand zu geben, um Datenschutzvorfälle effektiv zu vermeiden und auf Anfragen bezüglich personenbezogener Daten rechtzeitig und korrekt zu reagieren. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Sie unterstützen können.