Fallstricke beim Datenschutz im Jahr 2021
Unternehmen sehen sich dazu gezwungen, ihre Prozesse und Dienstleistungen zu digitalisieren, um in der neuen, durch die Corona-Maßnahmen bedingten Arbeitswelt zu überleben. Der steigende Grad der Digitalisierung aber erfordert, sich vermehrt mit dem Bereich des Datenschutzes auseinander zu setzen. Oftmals wird das, besonders in kleinen und mittleren Unternehmen (KMU), durch die Tatsache erschwert, dass Fachkräfte kaum vorhanden sind. Da Unwissenheit aber auch in diesem Fall nicht vor Strafe schützt, hier als Leitfaden die wichtigsten Themen, die es 2021 zu beachten gilt:
Datenspeicherung und Datenverkehr über Drittländer
Der Europäische Gerichtshof (EuGH) hat ein Machtwort zur Datenverarbeitung im EU-fremden Ausland gesprochen: Europäische Daten dürfen nur dort verarbeitet werden, wo die Daten einen mindestens gleichwertigen Schutz genießen, wie es die europäische Datenschutz-Grundverordnung (EU-DSGVO) innerhalb der Europäischen Union vorschreibt. Mit dem Urteil zum Fall Schrems II stellte der EuGH klar, dass das Privacy Shield sowie Standardvertragsklauseln dieses Erfordernis aufgrund von US-Gesetzen nicht erfüllen können. Das EU-US Abkommen wurde kurzerhand gekippt. Die konkreten Anforderungen an Unternehmen, die mit diesem Urteil einhergehen, sind für Laien oftmals nur schwer verständlich.
Daher hat der Europäische Datenschutzausschuss kürzlich Handlungsempfehlungen verfasst, um es besonders KMU zu erleichtern, die eigenen Prozesse anzupassen. Wer es jedoch versäumt, die neuen Regularien umzusetzen, dem droht neben Bußgeldern die öffentliche Bloßstellung: Organisationen, die sich für die Durchsetzung des Datenschutzes gemäß der Vorgaben der EU einsetzen, wie Noyb, haben Datenschutzsünder nicht nur im Auge, sondern prangern Fehlverhalten im Netz an.
Großbritannien nicht mehr Teil der Datenschutz-Union
Ab dem 1. Januar 2021 ist Großbritannien auch hinsichtlich des Datenschutzes offiziell ein Drittland und kein Teil der Europäischen Union mehr. Dieser Umstand wiederum beeinflusst den Umgang mit dem Datenverkehr, der über das Vereinigte Königreich läuft, stark. Ebenfalls betroffen sind zudem Datenströme nach Irland, da diese oftmals über Knotenpunkte innerhalb Großbritanniens abgewickelt werden. Auch in diesem Fall müssen sämtliche Datenströme identifiziert und Prozesse angepasst werden. Dafür benötigen Unternehmen aber Garantien, die eine angemessene Absicherung von Datenaustausch und -speicherung in und über das Vereinigte Königreich gewährleisten. Erneut gilt: Wer hier versäumt zu handeln, dem drohen empfindliche Bußgelder.
Corona-generiert Daten
Die Corona-Krise ist und bleibt eine Quelle neuer Herausforderungen. Neben dem Druck, das eigene Unternehmen zu digitalisieren, verursacht auch die Eindämmung der Pandemie nach wie vor datenschutzrechtliche Unsicherheiten bei Unternehmen: Darf die Temperatur von Mitarbeitern und Besuchern gemessen werden? Sind Routine-Untersuchungen und Corona-Tests bei Mitarbeitern erlaubt? Was zählt noch zur Fürsorgepflicht des Arbeitgebers und zur Aufklärung von Infektionsketten? Ab wann überschreitet ein Unternehmen das notwendige Maß? Und wie lange darf oder soll man solche erhobenen Daten eigentlich aufbewahren? Entsprechend schwierig lassen sich daher von Politikern diskutierte Konzepte wie ein Impfpass oder gar eine Impfpflicht für Veranstaltungen realisieren.
Die drei häufigsten Fehler beim Datenschutz durch KMU
Neben den neuen Herausforderungen und Entwicklungen im Bereich der Europäischen Datenschutzgrundverordnung (EU-DSGVO) gibt es auch alte Fehler, die von KMU nach wie vor begangen werden. Die drei Fehler, die am häufigsten im Zusammenhang mit Datenschutz gemacht werden, sind:
1. Datenschutzbeauftragte außen vor
Zwar sind Unternehmen erst ab einer Größe über 20 Mitarbeitern dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, doch müssen auch kleinere Unternehmen dafür Sorge tragen, dass die Anforderungen erfüllt und Richtlinien beachtet werden. Oftmals werden die entsprechenden Personen allerdings zu spät zu Projekten hinzugezogen oder in Entscheidungsprozesse eingebunden. Dadurch fehlt ihnen oftmals das Wissen und die Kompetenz, um konkret und rechtzeitig Einfluss zu nehmen. Stattdessen wird von ihnen erwartet, bereits getroffene Entscheidungen lediglich abzusegnen. Um aber Tätigkeit zu ermöglichen und Prozesse und Systeme konform der Anforderungen der EU-DSGVO zu gestalten, müssen Datenschutzbeauftragte frühzeitig informiert werden.
2. IT-Sicherheit wird vernachlässigt
Um gespeicherte Daten ausreichend zu sichern, muss die digitale Infrastruktur eines Unternehmens geschützt werden. Das beginnt bei der Abschirmung von Servern, auf die ein Unternehmen zugreift, und reicht hin zu den Richtlinien, die den Angestellten vorschreiben, wie Kennwörter auszusehen haben. Besonders mit dem derzeitigen Fokus auf mobiles Arbeiten gilt es, die Systeme und Geräte vor den Angriffen Krimineller zu schützen. Wird ein Unternehmen Opfer eines erfolgreichen Datendiebstahls, leidet darunter besonders das Vertrauen der Kunden und Partner.
3. Kräfte werden falsch eingeteilt
Datenschutz ist ein kontinuierlicher Prozess, der Zeit, Geld und geschultes Personal erfordert. Die rasante Entwicklung von digitaler Technologie, der stetig ansteigende Grad der Digitalisierung sämtlicher Prozesse in Unternehmen, sowie die geopolitischen Entwicklungen sorgen dafür, dass der Bereich des Datenschutzes in ständigem Wandel bleibt und nie abgeschlossen ist. Daher gilt es, fortlaufend die Kräfte so zu verteilen, dass der notwendige Schutz garantiert werden kann. Wer keine Fachleute zur Verfügung hat, darf einen externen Datenschutzbeauftragten benennen, oder sogar unabhängige Experten als Berater engagieren.
Daten bewusst schützen
Datenschutz ist ein Thema, das mit der zunehmenden Digitalisierung und der veränderten Lage der Angestellten an Bedeutung gewinnt. Dabei gilt es, diese Herausforderung bewusst anzugehen und das eigene Unternehmen entsprechend vorzubereiten – oder auf die Hilfe unabhängiger Experten zurückzugreifen, was besonders Angehörigen der KMU zum Vorteil gereicht. Denn wer es versäumt, den Anforderungen der EU-DSGVO zu genügen, dem drohen nicht nur hohe Bußgelder, sondern auch der Verlust des größten Wertes: Das Vertrauen der Kunden und Partner in das Unternehmen, dessen Führungskräfte, Dienste und Produkte.