Die 5 teuersten Irrtümer beim Datenschutz

Fazit: Ein Unternehmen, dass keinerlei personenbezogene Daten verarbeitet, ist heutzutage nicht mehr vorstellbar. Jedes Unternehmen muss die Datenschutzregeln verstehen und sie einhalten.

Irrtum 2: Unsere Kunden bzw. Mitarbeiter haben eingewilligt

Ein weiteres wiederkehrendes Missverständnis ist, wie weit Einwilligungen eigentlich gelten und unter welchen Umständen sie erteilt werden können. Es ist inzwischen zwar allgemein bekannt, dass Unternehmen personenbezogene Daten verarbeiten dürfen, wenn die davon betroffenen Personen eingewilligt haben. Dass die DSGVO jedoch sehr hohe formale Anforderungen an gültige Einwilligungen stellt, die nur mit erheblichem Aufwand erfüllt werden können, hat sich bisher nicht überall herumgesprochen:

• Einwilligungen beim Datenschutz müssen immer ausdrücklich erteilt werden. Es gibt keine konkludenten Einwilligungen beim Datenschutz. Weder durch das Betreten bestimmter Räume oder Veranstaltungen, noch durch die Nutzung bestimmter Produkte oder Dienstleistungen, die Zustimmung zu AGB oder die Bestätigung einer Datenschutzbelehrung kann allein eine Einwilligung erteilt werden. Es bedarf immer einer eindeutigen, separaten Handlung des Betroffenen, damit eine Einwilligung vorliegt.
• Einwilligungen sind nur gültig, wenn Betroffene genau verstehen, in welche Verarbeitungen und zu welchen Zwecken sie einwilligen. Unklar formulierte oder schwer verständliche Formulierungen führen ebenfalls zu ungültigen Einwilligungen.
• Einwilligungen können sich immer nur auf das ob (ja/nein) der Datenverarbeitung und konkrete Zwecke beziehen. Einwilligungen, die darüber hinaus gehen, sind per unzulässig, darunter:
  • Verzicht auf Datenschutz-Rechte wie Auskunft, Berichtigung oder Löschung
  • Verzicht auf übliche Sicherheits-Standards wie z.B. Verschlüsselung oder Passwortschutz
  • Verzicht auf Löschfristen oder auf die Benachrichtigun im Falle einer Datenpanne
  • Verzicht auf die Datenschutzbelehrung
• Einwilligungen müssen freiwillig erteilt worden sein. Entstehen den Betroffenen wesentliche Nachteile, falls sie nicht einwilligen, wird davon ausgegangen, dass sie nicht freiwillig gehandelt haben und die Einwilligung nicht gültig ist. Zusätzlich gilt im Beschäftigungskontext, dass Einwilligungen hier besonders kritisch hinterfragt werden, da ein Unleichgewicht zwischen Arbeitnehmer und Arbeitgeber unterstellt wird.
• Zum Zeitpunkt der Einwilligung muss der bzw. die Einwilligende darüber informiert werden, dass die Einwilligung jederzeit für die Zukunft widerrufen werden kann. Dieser Widerruf darf nicht schwerer fallen, als eine Einwilligung zu erteilen.
• Das Unternehmen muss nachweisen können, dass all diese Punkte beachtet wurden.

Fazit: Eine vermeintlich erteilte Einwilligung kann sich schnell als völlig untauglich herausstellenn, mit der Folge, dass die Verarbeitung der Daten von Anfang an rechtswidrig war. Gültige Einwilligungen einzuholen ist keine einfache Angelegenheit. Und selbst wenn eine Einwilligung vorliegt, ist sie kein datenschutzrechtlicher Freifahrtschein.

Irrtum 3: Ich brauche keine Erlaubnis

Sehr oft treffen wir auch auf Unternehmen, die sich mit dem Datenschutz nicht beschäftigen, weil sie glauben, sie bräuchten keine Erlaubnis um Daten zu verarbeiten. Hintergrund kann der Irrglaube sein, man verarbeite die Daten nur aufgrund rechtlicher oder gesetzlicher Verpflichtungen (z.B. Übermittlung von Lohnsteuerbescheinigungen an das Finanzamt) und zur Erfüllung von Pflichten braucht man schließlich keine separate Erlaubnis. Diese Annahme verkennt, dass die Datenschutz-Grundverordnung (DSGVO) direkt anwendbares europäisches Recht darstellt, dass Unternehmen und Behörden (auch das Finanzamt) gleichermaßen bindet. Und die DSGVO legt zwei Prinzipien eindeutig fest:

• Die Verarbeitung personenbezoger Daten ist verboten, solange keine Ausnahme greift. Welche Ausnahme greift, muss jedes Unternehmen für jeden Fall selbständig auswählen und dokumentieren.
• Die weiteren Datenschutz-Pflichten wie die Belehrung über den Datenschutz (Transparenzgebot), Löschfristen und Löschkonzepte, Erfüllung von Datenschutz-Rechten etc. existieren völlig unabhängig davon, ob bzw. welche Ausnahme greift.

Insbesondere das Transparenzgebot wird oft bei Datenverarbeitungen vergessen, die sich zwangsläufig und ohne das Zutun des Unternehmens ergeben, z.B. wenn Bewerber auf eine Stelle nach Eingang ihrer Bewerbung nicht automatisch eine Datenschutzbelehrung explizit für Bewerber erhalten.

Fazit: Wenn Daten aufgrund einer rechtlichen oder gesetzlichen Pflicht verarbeitet werden, müssen davon Betroffene dennoch informert und über ihre Rechte belehrt werden. Sie haben auch alle Rechte, die sich aus der DSGVO ergeben.

Irrtum 4: Das größte Risiko geht von den Kunden aus

Wenn man sich anschaut, woher die Mehrheit der Beschwerden bei den Aufsichtsbehörden rührt, muss man feststellen, dass sie nicht aus dem Kunden- sondern aus dem Beschäftigungskontext herrühren. Konkret können die meisten Verfahren auf eine dieser drei Situationen zurückgeführt werden:

• Ehemalige Mitarbeiter: im Rahmen von Kündigungsschutzklagen werden von ehemaligen Mitarbeitern bzw. deren Rechtsanwälte inzwischen regelmäßig Auskunftsansprüche gemäß Art. 15 DSGVO geltend gemacht. Da dieser Anspruch sehr weit gefasst ist und grundsätzlich alle Informationen umfasst, die irgendeinen Bezug zum Mitarbeiter bzw. zur Mitarbeiterin haben, ergeben sich hier für Unternehmen erhebliche Aufwände, deren Kosten nicht vergütet werden.
• Aktuelle Mitarbeiter. ein beachtlicher Anteil an Verfahren entsteht aufgrund echter oder vermeintlicher Datenschutz-Verstöße im Unternehmen, die von Mitarbeitern bemerkt und erfolgos gegenüber der Geschäftsführung angemerkt wurden. Klassiker sind hier Fälle wie die Video-Überwachung von Mitarbeitern, die GPS-Ortung von Firmenfahrzeugen, Zugangskontrollen mit Fingerabdrucksensoren, fehlerhafte Behandlung von Kundendaten oder auch interne Rund-Mails mit personenbezogenen Daten, die an zu viele oder die falschen Empfänger gesandt werden.
• Abgelehnte Bewerber: wer sich auf eine Stelle bewirbt und abgelehnt wird, empfindet naturgemäß nur wenig Loyalität gegenüber dem Unternehmen, insbesondere, wenn die Entscheidung als ungerecht oder nicht nachvollziehbar wahrgenommen wird. Dazu kommt, dass gerade im Bewerbungskontext jede Menge hochsenibler Daten anfallen, die besonders geschützt werden müssen, viele Unternehmen sich dieser besonderen Pflichten aber nicht bewusst sind. Oft gibt es auch keine eingeübten Prozesse, um gegenüber Bewerbern den Pflichten zur Datenschutzbelehrung und zur Ausübung von Datenschutz-Rechten angemessen nachzukommen.

Diese Risikoen frühzeitig zu erkenne und zu managen fällt nicht wenigen Unternehmen schwer, weil der mit Abstand größte Teil der datenschutzrechtlichen Aufmerksamkeit auf Prozesse mit Kunden gerichtet wurde. Das ist angesichts der hohen medialen Aufmerksamkeit für Themen des Verbraucher-Datenschutzes und den konkreten Verfahren, über die in den letzten zwei Jahren allein schon aufgrund der einhergehenden horrenden Bußgelder berichtet wurde, nicht verwunderlich. Es ist jedoch aus wirtschaftlicher Sicht dringend geboten, sich dem Datenschutz-Risiko im Beschäftigungskontext offensiv zu widmem und d

Fazit: auch wenn der Verbraucher-Datenschutz in den Medien die größte Aufmerksamkeit erhält, enstammen die größten Datenschutz-Risiken für einzelne Unternehmen regelmäßig eher dem Beschäftigungskontext. Es lohnt sich daher, dieses Thema zu priorisieren und angemessene Maßnahmen zu ergreifen, um den Datenschutz für Mitarbeiter und Bewerber sicherzustellen.

Irrtum 5: Die gesetzliche Aufbewahrungspflicht befreit mich vom Datenschutz

Eine Reihe allgemein- und spezialgesetzlicher Regelungen (z.B. § 257 HGB, § 147 AO, etc.) legen den Unternehmen beachtliche Aufbewahrungspflichten auf. Von einigen Unternehmen werden diese Pflichten per se als Ausnahmen zu den Prinzipien des Datenschutzes verstanden mit der Folge, dass die Erfüllung der Aufbewahrungspflicht vermeintlich vor den Löschpflichten der DSGVO schützt. Der Irrtum liegt darin, dass die jeweiligen gesetzlichen Regelungen sich eben nicht gegenseitig „stechen“: sie müssen so interpretiert werden, dass ihnen beidermaßen gefolgt werden kann.

Bezüglich der DSGVO und den Aufbewahrungspflichten bedeutet das:

• Die DSGVO verlangt, dass alle Daten, die nicht mehr benötigt werden, vom Unternehmen zu löschen sind (Art. 5, Art. 17 DSGVO).
• Die jeweilige Aufbewahrungspflicht benennt konkrete Daten oder Dokumente, die für eine bestimmte Zeit aufbewahrt werden müssen.
• Eine datenschutzkonforme Erfüllung der Aufbewahrungspflicht bedeutet dann:
  • Es dürfen nur genau die Daten bzw. Dokumente aufbewahrt werden, die zur Erfüllung der Aufbewahrungspflicht benötigt werden.
  • Die Daten bzw. Dokumente dürfen nur genutzt werden, um die Aufbewahrungspflicht zu erfüllen. Sie sollten separat von ständig benutzten Daten bzw. Dokumenten gelagert werden, z.B. in einem Archivsystem.
  • Zugriffsrechte auf Daten bzw. Dokumente, die nur zur Erfüllung der Aufbewahrungspflicht aufbewahrt werden, müssen eng gefasst werden. Es muss sichergestellt werden, dass eine Nutzng für andere Zwecke ausgeschlossen ist.

Die DSGVO verlangt auch von jedem Unternehmen, dass es ein Löschkonzept mit Löschfristen erarbeite, umsetzt und die Umsetzung nachweist. Das höchste jemals in Deutschland wegen Datenschutz-Verstößen verhängte Bußgeld (ca. 14,5 Millionen Euro) lässt sich fast ausschließlich darauf zurückführen, dass nicht mehr benötigte Daten nie gelöscht wurden und die gesetzliche Aufbewahrungspflicht als Befreiung vom Datenschutz betrachtet wurde. Die Datenschutzbehörden zeigen für solche Betrachtungsweisen kein Verständnis.

Fazit: Das Löschen von Daten, die objektiv nicht mehr benötigt werden, gehört zu den essenziellen Punkten eines effektiven Datenschutz-Managements. Es gibt keine Entschuldigung für das Fehlen eines effektiven und nachweisbar umgesetzten Löschkonzepts.