Liebe Leserinnen und liebe Leser,
Weisheiten haben was positives an sich - sie sind allgemeingültig, ohne einen zwingenden Charakter aufzuweisen. Ausserdem muss man kein christlicher Mönch oder hinduistischer Svami sein, um Weisheiten aussprechen zu dürfen. Eigentlich reicht es aus, ein gewisses Alter erreicht zu haben und über eine ausreichende Lebenserfahrung zu verfügen. Beides kann ich an dieser Stelle bejahen. Deswegen erlauben Sie mir, Ihnen 9 Datenschutz-Weisheiten näher zu bringen. Die Weisheiten werden in drei Blogbeiträgen veröffentlicht. Jeder Blogbeitrag hat dabei Verweise auf die anderen Weisheiten - soweit diese schon veröffentlicht sind. Ich wünsche Ihnen viel Spaß beim Lesen.
Erste Weisheit: Benennen Sie einen unabhängigen Datenschutzbeauftragten - wenn es sein muss.
Natürlich muss das die erste Weisheit sein. Vor allem wenn die Weisheiten von einem Datenschutzbeauftragten selbst kommen... könnten Sie jetzt meinen. Doch mir ist diese Sache sehr ernst. Zu oft habe ich es erlebt, dass Datenschutzbeauftragte benannt wurden. Das ist jedoch (wie alle Datenschutz-Weisheiten, die kommen werden) ein bußgeldbewehrter Tatbestand. Dabei ist dieser Tatbestand mehr als offensichtlich. Verstoßen Sie als Unternehmen gegen die Benennungspflicht, werden Sie sich schwer tun, das Gegenteil beweissicher zu belegen. Haben Sie dann noch einen leitenden Angestellten oder einen Geschäftsführer benannt, behaupten Sie lieber, Sie hätten keinen. Denn ein nicht unabhängiger Datenschutzbeauftragter, der in der Regel seinen Job nicht neben den anderen Tätigkeiten erledigen kann, ist schlechter als keinen zu haben.
Zweite Weisheit: Datenschutz-Weiterbildung für Ihre Mitarbeiter - vor allem in Bezug auf Cyberangriffe
Cyberangriffe können nicht verhindert werden - verhindert werden kann nur, ob solche Angriffe in Ihrem Unternehmen erfolgreich sind. Die Liste der Unternehmen, die Ihre Daten im Darknet wiederfinden, wird täglich größer. Deswegen müssen Sie Ihre Mitarbeiter in Bezug auf den Umgang mit Phising-Mails (immer noch das Nr. 1 Eintrittstor von Außen in Ihre IT) oder Social-Engineering-Angriffen schulen. Wie in der Fahrschule (damals) gibt es hier zwei sinnvolle Teile, die sich jeweils ergänzen:
- Präsenz- oder Videoschulung von Mitarbeitern zu der Erkennung und Abwehr von Cyberangriffen (der "theoretische Teil").
- Phising- und Social-Engineering-Simulationen durchführen, auswerten und gezielte Schulungen im Negativfall (der "praktische Teil")
So vorbereitet werden Sie die Hackingangriffe abwehren, bei denen andere drauf reinfallen. Und letztlich geht es darum, kein "leichtes" Opfer zu sein. Denn wir müssen uns nichts vormachen: Kein IT-Umgebung ist unknackbar.
Dritte Weisheit: Ihre Datenschutzerklärung sollte das Papier wert sein, auf dem sie steht
Sie haben eine Datenschutzerklärung. Kommen Sie damit auch Ihren Informationspflichten aus Artt. 12 ff. EU-Datenschutz-Grundverordnung (DSGVO) nach? Sind alle Verarbeitungstätigkeiten genannt (Vollständigkeit)? Ist die Rechtsgrundlage richtig gewählt? Werden die Datenschutzhinweise angepasst, wenn sich Verarbeitungen ändern? Kommunizieren Sie die Informationen zum richtigen Zeitpunkt (Erwägungsgrund 61 DSGVO)? Auch sollten Sie beachten, dass die Informationen nach Artt. 12 ff. DSGVO transparent sind, d. h. für einen Laien verständlich. Dies ist alles der Fall? Dann haken Sie diese Weisheit ab und schwenken Sie zum zweiten Teil der "Neun Datenschutz-Weisheiten".
Viele Grüße aus der Kaiserstadt Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen
Foto von Jack Blueberry auf Unsplash. Danke!