Hallo zusammen,

der folgende, zweiteilige Blogbeitrag behandelt Datenschutzfehler, die in vielen Unternehmen zu finden sind. Diese Liste wärmt natürlich nicht alte Kamellen auf wie "Kein verschlüsseltes Formular auf der Internetseite". Vielmehr zeigt die Übersicht eine aktuelles, datenschutzrechtliches Lagebild in deutschen Unternehmen.

Um die Sache etwas spannender zu machen, sortiere ich sie nach dem Risiko für die Rechte und Freiheiten von Betroffenen. Mit dem Risiko für die Rechte und Freiheiten von Betroffenen geht nicht gleichzeitig das rechtliche Risiko für die Unternehmen einher, denn sie müssten ja noch "erwischt" werden. Entsprechend ist das Entdeckungsrisiko bei meiner Übersicht nicht relevant. Also, lehnen Sie sich zurück, haben Sie Spaß beim Lesen und vielleicht erkennen Sie Ihr Unternehmen an der ein oder anderen Stelle wieder.

Platz 10: Datenschutzhinweise im Internet sind nicht aktuell

Wer kennt es nicht: Die Datenschutzerklärung der UNternhemenswebseite wurde 2018 erstellt, ggfs. 2020 überarbeitet und seitdem nicht mehr angepackt. Gleichzeitig wurde jedoch auf Anraten der Webagentur Hotjar, Google Analytics und YouTube eingebunden. Die Datenschutzerklärung hätte mitwachsen müssen. Es gibt kaum eine Internetseite in Deutschland, die 1:1 den aktuellen Stand der eingesetzten Tools abbildet. "Dann ist das Ganze ja nicht so schlimm", meinen Sie. Ja, das stimmt. Denn es kommt jetzt noch schlimmer.

Platz 9: Einbindung externer Tools ohne Rechtsgrundlage auf der Internetseite

"Keine Datenschutzhinweise für Google Analytics oder Hotjar": Schön und gut. Aber was ist mit der Rechtsgrundlage der Verarbeitung bei diesen Tools? Ist die transparent eingeholt worden? Wie denn ohne Datenschutzhinweise (Platz 10). Und wenn dann doch alles schön beschrieben ist, ist dies auch bei allen Unterseiten und mit allen Tools genauso erledigt worden? Meine Erfahrung lehrt mich: Nein. Überlegen Sie selber, ob Sie das Risiko eingehen wollen. Derzeit befinden wir uns nur im vierstelligen Euro-Bußgeldbereich.

Platz 8: Keine Information nach Art. 13 DSGVO bei einzelnen Kategorien von Betroffenen

Willkommen nun im fünstelligen Euro-Bußgeldbereich. Vielleicht ist es auch kein Bußgeld, sondern nur eine fünfstellige Abfindung, weil Ihr Unternehmen seit 2018 keine Datenschutzhinweise für Mitarbeiter bereitstellt. Bewerber sind manchmal auch Außen vor. Oder Ihre Kunden werden nicht informiert, wenn Sie Bestellungen in den einzelnen Filialen aufnehmen oder dort für die Kunden ein Konto eröffnen. Webseitenbesucher vergißt ein Unternehmen so schnell nicht, wenn es um Informationen nach Art. 13 DSGVO geht. Aber was ist mit Gewinnspielenteilnehmern, die sich ärgern, wenn sie nicht gewinnen? Was ist mit Besuchern Ihrer Social Media-Präsenzen? Messebesucher, die Ihnen Visitenkarten zustecken? Die Kategorien von Betroffenen, die ein Recht auf Information haben, sind umfangreich. Sie sollten sie zusammenfassen und transparent informieren.

Platz 7: Auskunft nicht fristgerecht erteilt

Ihr Unternehmen hat auch schon mal Auskunftsanfragen nach Art. 15 DSGVO erreicht? Sind Sie sich sicher, dass die Auskunft auch fristgerecht und inhaltlich ausreichend erfüllt wurde? Meiner Erfahrung nach haben das die wenigsten Unternehmen angemessen auf dem Schirm. Und ich rede nicht von Flüchtigkeitsfehlern, sondern von fahrlässiger Mißachtung solcher Anfragen. Und dabei kann es so einfach sein, diese Anfragen fristgerecht zu beantworten. Mit dem sogenannten "zweistufigen Verfahren" können die allermeisten Anfragen sogar mit wenig Aufwand erledigt werden.

Platz 6: Auftragsverarbeiter werden nicht ausreichend überprüft

Die neuste Desk-Sharing Lösung, eine Contact-Center Anwendung, S3-Cloud bei einem Hyperscaler, ein Ticketsystem ohne Wenn und Aber: Wer wird da nicht schwach. Und wer überprüft vorab und dokumentiert den entsprechenden Auftragsverarbeiter? Häufig fehlt es innerhalb der Unternehmen an einem "Quality-Gate", das den Einkaufsprozess (vor dem Kauf solcher IT-Lösungen) mit dem Ansprechpartner im Datenschutz koppelt. "Vor dem Kauf" bedeutet idealerweise auch "so fürh wie möglich". Spätestens wenn eine Short-List der avisierten IT-Lösung vorhanden ist, sollte der Datenschutz angesprochen werden. Dieser überprüft dann die Dienstleister und reduziert die Liste weiter, um die eigentlichen, wirtschaftliche Entscheidung der Verantwortlichen vorzubereiten.

Falls Sie Ihr Unternehmen in einem oder mehreren Punkten wiedererkannt haben, heißt es meiner Meinung nach direkt zu handeln. Wie? Melden Sie sich einfach.

Viele Grüße aus der Kaiserstadt Aachen
Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von David von Diemar auf Unsplash. Vielen Dank!