Datenschutz im Homeoffice: Betriebliche Daten als Untermieter

Datenschutz im Homeoffice

Mitarbeitende, die im Homeoffice tätig sind, müssen in Bezug auf Datenschutzmaßnahmen zwar nicht alleine agieren, aber ihr Anteil an der Sicherheit ist größer als gedacht. Es geht um mehr als nur den Schutz von Notebook und Smartphone. Auch der Mitarbeiter sollte zum Datenschutz im Homeoffice beitragen.

Selbstverantwortung beim Datenschutz im Homeoffice ist gefragt

Es ist mittlerweile in vielen Unternehmen klar geworden, dass das Homeoffice dauerhaft bestehen bleibt. Im Gegenteil: Viele Firmen betrachten das Homeoffice als gleichwertigen Arbeitsplatz neben dem Büro im Firmengebäude. Man spricht hier von hybriden Arbeitsplätzen.

Allerdings sind Homeoffice und Büroschreibtisch in der Firma nicht wirklich gleichberechtigt. Denn am Firmenarbeitsplatz profitieren die Mitarbeitenden von den zentralen IT-Sicherheitsmaßnahmen. Im Homeoffice sind die Mitarbeitenden selbst gefordert, aktiver für die Sicherheit ihrer personenbezogenen Daten zu sorgen.

Betriebliche Notebooks und Smartphones beim Datenschutz im Homeoffice allein reichen nicht aus

Viele Unternehmen erlauben es ihren Mitarbeitenden, auch private Geräte für betriebliche Zwecke zu nutzen, oft aus Kostengründen. In einem solchen Fall müssen die Mitarbeitenden ihre eigenen Geräte wie Notebook und Smartphone genauso sicher machen wie die betrieblichen Geräte. Es ist besonders wichtig, private und betriebliche Daten strikt zu trennen und den Zugriff von privaten Apps und unbefugten Dritten, einschließlich der eigenen Familie der Mitarbeitenden, auf betriebliche personenbezogene Daten auszuschließen.

Aber selbst wenn der Arbeitgeber Smartphones und Notebooks bereitstellt, reicht dies allein nicht aus, um den Datenschutz im Homeoffice zu gewährleisten.

Das Homeoffice muss zu einer sicheren Umgebung werden

Tatsächlich verwenden Mitarbeitende im Homeoffice auch Geräte, die privat sind, wie beispielsweise Drucker, Headset, Webcam, Maus, Bildschirm und insbesondere den Internet-Router. Internet-Router sind beliebte Angriffsziele für Hacker, da sie oft vernachlässigt werden. Die Sicherheitseinstellungen werden nicht überprüft und die Firmware des Routers nicht regelmäßig aktualisiert. Auch das WLAN-Passwort ist bekannt, auch für Smart-Home-Anwendungen mit zahlreichen Schwachstellen.

Nicht nur die IT im Blick behalten

Neben der gesamten privaten IT-Ausstattung im Homeoffice, die nicht vom Arbeitgeber überwacht wird, können auch Dokumente auf dem heimischen Schreibtisch, Ausdrucke im privaten Müll oder Telefonate auf dem Balkon oder der Terrasse zu Datenschutzproblemen führen.

Wer im Homeoffice arbeitet, sollte auch an den Datenschutz zu Hause denken. Dazu gehört beispielsweise das Abschließen der Bürotür zu Hause, um unbefugten Zugriff auf Daten und Dokumente zu verhindern.

Smartwatches: Die Gefahr von Daten am Handgelenk

Smartwatches, die beliebten intelligenten Armbanduhren, sind im Trend und werden auch im beruflichen Bereich genutzt. Doch es besteht ein ernsthaftes Risiko in Bezug auf die Datensicherheit.

Technik-Enthusiasten aufgepasst!

Die sogenannten Wearables wie Smartwatches und Fitness-Tracker begleiten immer mehr Menschen im privaten und beruflichen Alltag. Doch leider wird oft übersehen, welchen Einfluss diese am Körper getragenen Geräte auf unsere Privatsphäre haben können.

Geräte, die wir als Nutzer am Körper tragen, sind ständige Begleiter. Sie sind nicht nur einfach Geräte, die uns verfolgen, sondern eng mit uns verbunden. Diese enge Verbindung sollte Anlass sein, über die Funktionen der Smartwatches und anderer Wearables genauer nachzudenken. Smartwatches sind keine gewöhnlichen Armbanduhren mit bunten Displays, die neben der Uhrzeit auch persönliche Fotos anzeigen können. Sie sind mobile Computer am Handgelenk mit einer ähnlichen Leistungsfähigkeit wie Smartphones.

Smartwatches bieten mehr als nur die Uhrzeit

Viele Technik-Begeisterte interessieren sich für Smartwatches, um beispielsweise Fitnessdaten wie die zurückgelegte Strecke beim Joggen anzuzeigen. Andere möchten Gesundheitsdaten wie Puls oder Blutdruck messen und bei Bedarf automatisch Benachrichtigungen an Verwandte oder den Arzt senden. Zudem nutzen viele die Smartwatch als Navigationsgerät oder zur Anzeige von SMS und E-Mails, ohne ständig auf das Smartphone schauen zu müssen.

Durch diese Nutzung gelangen vertrauliche Daten wie private und berufliche E-Mails, SMS und sogar sensible Gesundheitsdaten auf die intelligenten Armbanduhren. Dennoch haben nur wenige Nutzer Angst vor Datenmissbrauch durch Hacker oder ähnliches. Es stellt sich jedoch die Frage, wie datenschutzfreundlich und sicher Smartwatches und andere Wearables tatsächlich sind.

Die Ergebnisse der Datenschutzprüfungen sind alarmierend

Mehrere Datenschutzbehörden haben bereits verschiedene Wearables und Fitness-Anwendungen geprüft – mit enttäuschenden Ergebnissen.

Die Datenschutzerklärungen erfüllen oft nicht die gesetzlichen Anforderungen. Sie sind lang, schwer verständlich und enthalten nur oberflächliche Informationen zum Datenschutz. Besorgniserregend ist auch die Datenweitergabe: Nutzer erfahren oft nicht, an wen ihre Daten weitergegeben werden und können dem nicht widersprechen. Die Daten sind jedoch für Werbezwecke und zur Profilerstellung äußerst interessant.

Viele Fitness-Geräte bieten keine Möglichkeit, Daten vollständig zu löschen. Die Daten werden oft nicht nur vom Gerät auf das Smartphone übertragen, sondern direkt an den Anbieter oder dessen Partnerunternehmen weitergeleitet. Dies birgt Risiken, über die sich Nutzer im Klaren sein sollten.

Sicherheitsfunktionen bei Smartwatches sind noch selten

Im Vergleich zu Smartphones verfügen Smartwatches kaum über Sicherheitsfunktionen, obwohl sie ähnliche Betriebssysteme haben und Apps installiert werden können. Schutz vor Schadsoftware, Verschlüsselung gespeicherter Daten, Verschlüsselung der Datenübertragung und Zugangsschutz durch Passwortabfrage sind nur bei wenigen Modellen vorhanden.

Neben der privaten Nutzung nehmen auch berufliche Einsätze von Smartwatches zu. Es gibt bereits Business-Smartwatches, auf denen Firmen-E-Mails und digitale Dokumente landen können. Trotz ausreichendem Speicherplatz bieten selbst Business-Smartwatches kaum angemessene Sicherheitsfunktionen. Einige Modelle haben einen Passwortschutz, aber nur wenige ermöglichen die Installation von Sicherheits-Apps.

Vorsicht ist geboten

Seien Sie daher vorsichtig mit der beliebten Smartwatch. Nutzen Sie ihre Funktionen mit Bedacht und achten Sie darauf, dass Verbindungen zu anderen Geräten nicht ständig aktiv sind. So verhindern Sie eine ungewollte Weitergabe von Standortdaten und eine dauerhafte Ortung durch Dritte.

Hinweisgebersystem SaaS

Entdecke DSBOK: Das Ultimative Hinweisgeberportal für Compliance und Sicherheit

Willkommen in der Ära des digitalen Whistleblowings! In einer Welt, die von ständigem Wandel und wachsenden Compliance-Anforderungen geprägt ist, brauchen Unternehmen innovative Lösungen, um ethisch einwandfreies Verhalten zu fördern und gleichzeitig ihre Sicherheitsstandards zu wahren. Hier kommt DSBOK ins Spiel – das ultimative Hinweisgeberportal für Compliance und Sicherheit.

DSBOK, kurz für „Digitaler Sicherheits- und Compliance-Kompass“, bietet Unternehmen eine robuste Plattform, um Hinweise auf Verstöße gegen Compliance-Richtlinien, Datenschutzverletzungen und andere sicherheitsrelevante Vorfälle zu erfassen und zu bearbeiten. Doch was macht DSBOK so einzigartig?

Schnell, Einfach, Effizient

Mit DSBOK können Unternehmen in wenigen Minuten starten – ganz ohne aufwändige Installationen oder komplizierte Konfigurationen. Unsere benutzerfreundliche Oberfläche macht die Nutzung intuitiv und ermöglicht es Mitarbeitern, Hinweise schnell und einfach zu melden.

ISO-Zertifiziert für Höchste Sicherheit

Sicherheit steht bei DSBOK an erster Stelle. Daher sind wir stolz darauf, ISO 27001 und 27701 zertifiziert zu sein. Unsere Software erfüllt die höchsten Standards in Bezug auf Informationssicherheit und Datenschutz, um die Vertraulichkeit und Integrität sensibler Daten zu gewährleisten.

Flexibel und Anpassbar

DSBOK ist nicht nur eine One-Size-Fits-All-Lösung. Wir verstehen, dass jedes Unternehmen einzigartig ist, daher bieten wir flexible Anpassungsmöglichkeiten, um die Software an die individuellen Bedürfnisse und Compliance-Anforderungen anzupassen.

Mit oder Ohne Compliance-Service

Je nach den Anforderungen deines Unternehmens bieten wir DSBOK sowohl mit als auch ohne zusätzlichen Compliance-Service an. Unser erfahrenes Team steht bereit, um dich bei der Implementierung von Compliance-Maßnahmen zu unterstützen und sicherzustellen, dass deine Organisation stets den regulatorischen Anforderungen entspricht.

Hinweisgebersystem-Online.de: Deine Quelle für COMPLIANCE

Du möchtest DSBOK in Aktion sehen? Besuche unsere Webseite www.hinweisgebersystem-online.de, um mehr über unsere Software zu erfahren und sie zu erwerben. Unser engagiertes Team steht dir jederzeit zur Verfügung, um Fragen zu beantworten und dich auf dem Weg zur Implementierung von DSBOK zu unterstützen.

In einer Welt, die sich ständig verändert und in der Compliance und Sicherheit von größter Bedeutung sind, ist DSBOK die Antwort auf deine Herausforderungen. Entdecke noch heute, wie unsere innovative Software dein Unternehmen dabei unterstützen kann, ethisches Verhalten zu fördern und gleichzeitig die Sicherheit zu wahren.

Datenschutz und Visitenkarten

Visitenkarte und Datenschutz

Die Bedeutung des Datenschutzes bei der Verwendung von Visitenkarten sollte nicht unterschätzt werden. Gerade auf Fachmessen, wo Visitenkarten oft ausgetauscht werden, ist es wichtig, gewisse Aspekte zu beachten.

Die Rolle von Visitenkarten im Geschäftsumfeld

Obwohl Visitenkarten heutzutage nicht mehr so häufig verwendet werden, sind sie immer noch ein nützliches Mittel, um berufliche Kontakte zu knüpfen, insbesondere auf Fachmessen, die wieder an Bedeutung gewinnen. Doch auch beim rein privaten Austausch von Visitenkarten sind bestimmte Datenschutzbestimmungen zu beachten.

Datenerhebung durch den Austausch von Visitenkarten

Eine Visitenkarte enthält in der Regel personenbezogene Daten wie Namen, Adressen, Telefonnummern und E-Mail-Adressen. Indem man eine Visitenkarte entgegennimmt, erhebt man automatisch diese Daten und kann sie für verschiedene Zwecke nutzen.

Zweck der Datenerhebung und Missverständnisse

Der Zweck der Datenerhebung ergibt sich aus der jeweiligen Situation, in der die Visitenkarte übergeben wird. Es ist wichtig zu klären, zu welchem Zweck die Daten verwendet werden dürfen, um Missverständnisse zu vermeiden. Werbung stellt dabei einen ganz anderen Zweck dar, der separat behandelt werden sollte.

Einwilligung für Werbemails

Die Einwilligung für den Versand von Werbemails ist gesetzlich geregelt und muss nachweisbar sein. Das Verfahren des „Double Opt In“ hat sich hierbei bewährt, bei dem der Empfänger der Werbemails seine Zustimmung aktiv bestätigen muss. Dies ist ein wichtiger Schritt, um datenschutzrechtliche Vorschriften einzuhalten und Missbrauch zu vermeiden.

Pflichten beim Verlust mobiler Endgeräte

Handy verloren Meldepflicht?

Mobile Endgeräte sind bei Dieben beliebt und können leicht verloren gehen. Besonders Laptops werden oft vergessen oder gestohlen. Wenn dies passiert, sollte man unbedingt handeln und den Verlust seinem Unternehmen melden, um die Situation nicht noch schlimmer zu machen.

So sieht eine peinliche Situation aus

Stellen wir uns folgende peinliche Situation vor: Sie waren auf Geschäftsreise und haben Ihren Laptop dabei gehabt. Als Sie Abends in Ihrer Wohnung ankommen, stellen Sie fest, dass er verschwunden ist. Nachdem ein Anruf im Hotel keine Ergebnisse liefert, bleibt nur der ICE oder das Taxi als möglicher Ort des Geschehens übrig. Am nächsten Morgen beginnen Sie mit der Suche nach Ihrem Laptop – eine zeitaufwendige Angelegenheit. Sollten Sie nun sofort Ihrem Unternehmen davon berichten oder erst einmal abwarten?

Der Kontrollverlust ist das Problem

Der finanzielle Schaden für das Unternehmen kann beträchtlich sein, wenn ein teurer Laptop verloren geht und nicht wiedergefunden wird. Doch aus Datenschutzsicht liegt das eigentliche Problem woanders: dem Kontrollverlust über das Gerät selbst! Dadurch besteht auch die Gefahr eines Datenlecks und einer Verletzung der Vertraulichkeit dieser Informationen – es sei denn sie waren gut verschlüsselt bzw. zusätzlich in einer Cloud gespeichert.

Das führt zu einem meldepflichtigen Datenschutzvorfall

In solch einem Fall handelt es sich um einen meldepflichtigen Datenschutzvorfall gemäß den Vorschriften zur Aufsicht des Datenschutzes . Dies bedeutet, dass sowohl die zuständige Behörde informiert werden muss als auch alle betroffenen Personen darüber informiert werden sollen. Es gibt allerdings Ausnahmefälle, in denen eine Meldung an diese Behörde nicht notwendig ist. Solche speziellen Fälle sollten Fachleuten überlassen werden, daher sollte man den Verlust des Geräts sofort am nächsten Morgen im Unternehmen melden.

Eine Verschlüsselung ist in jedem Fall Gold wert

Eine gute Verschlüsselung der Festplatte kann in jedem Fall sehr hilfreich sein. Normalerweise ist dies bereits auf Ihrem Laptop implementiert, es sei denn Sie haben Änderungen daran vorgenommen. Sind Sie sich unsicher, dann fragen Sie besser im Unternehmen nach! Wenn die Datenverschlüsselung dem aktuellen Stand der Technik entspricht, sollten Unbefugte normalerweise keinen Zugriff auf die Daten erhalten können – was einer schlaflosen Nacht vorbeugen würde und auch rechtliche Vorteile für das Unternehmen mitbringt.

Dank Verschlüsselung entfällt die Meldepflicht gegenüber der Aufsicht

Dank der Verschlüsselung entfällt auch die Meldepflicht gegenüber den Aufsichtsbehörden für Datenschutz – sofern davon ausgegangen wird, dass keine Gefahr für Rechte und Freiheiten natürlicher Personen besteht (gemäß Artikel 33 Absatz 1 Satz 1 DSGVO). Dennoch bleibt Ihre Pflicht zur Meldung an Ihr eigenes Unternehmen bestehen, da diese vertraglich geregelt ist. Das ermöglicht dem Arbeitgeber eine Untersuchung des Vorfalls, andernfalls droht Ihnen möglicherweise eine Abmahnung.

Eine gewisse Vorsicht wäre gut 

Es wäre natürlich am besten, von Anfang an vorsichtig zu sein, um Diebstahl oder Verlust zu vermeiden. Das mag leicht gesagt als getan sein. Prüfen Sie daher genau, wann und wo sie ihr mobiles Endgerät wirklich benötigen. Wenn beispielsweise nach einer schwierigen Konferenz ein gemütliches Abendessen geplant ist, könnten Sie den Laptop mitnehmen. Jedoch wäre es möglicherweise besser, ihn im sicheren Hotelzimmer zu lassen.

Wenn Sie Fragen zu Meldungen bei der Datenschutzbehörde haben, vereinbaren Sie einen Telefontermin mit mir: Datenschutz Beratung

5 Jahre DSGVO in Europa und kein bisschen besser?

5 Jahre DSGVO

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft und hat seitdem große Auswirkungen auf die Art und Weise, wie Unternehmen personenbezogene Daten verwalten und schützen. Fast fünf Jahre nach ihrer Einführung ist es an der Zeit, die Auswirkungen der DSGVO zu bewerten und einen Blick auf ihre Zukunft zu werfen.

Die DSGVO wurde entwickelt, um die Datenschutzgesetze der Europäischen Union (EU) zu vereinheitlichen und zu stärken. Sie gibt Einzelpersonen mehr Kontrolle über ihre persönlichen Daten und stellt sicher, dass Unternehmen verantwortungsbewusst mit diesen Daten umgehen. Die Verordnung gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten oder speichern, unabhängig davon, wo das Unternehmen seinen Sitz hat.

In den vergangenen fünf Jahren hat die DSGVO die Art und Weise verändert, wie Unternehmen personenbezogene Daten behandeln. Die Verordnung hat Unternehmen dazu veranlasst, ihre Datenschutzpraktiken zu überdenken und zu verbessern, um sicherzustellen, dass sie den neuen Vorschriften entsprechen. Unternehmen müssen nun beispielsweise eine klare und verständliche Datenschutzerklärung bereitstellen, die die Betroffenen über die Art, den Zweck und die Verarbeitung ihrer Daten informiert. Darüber hinaus müssen Unternehmen auch sicherstellen, dass sie die Einwilligung der betroffenen Personen einholen, bevor sie deren Daten verarbeiten.

Ein weiterer wichtiger Aspekt der DSGVO ist das Recht auf Vergessenwerden, das Einzelpersonen das Recht gibt, ihre Daten von Unternehmen löschen zu lassen. Unternehmen müssen sicherstellen, dass sie die personenbezogenen Daten ihrer Kunden sicher und geschützt aufbewahren, und sie müssen sicherstellen, dass sie die Daten gemäß den Richtlinien der DSGVO verwenden.

Obwohl die DSGVO in Europa weit verbreitet ist und von vielen Unternehmen umgesetzt wurde, gibt es auch Kritik an der Verordnung. Einige Unternehmen haben argumentiert, dass die Einhaltung der DSGVO zu kostspielig und zeitaufwendig ist und dass es schwierig ist, den Anforderungen der Verordnung gerecht zu werden. Einige haben auch argumentiert, dass die DSGVO den Wettbewerb in einigen Branchen behindert und die Innovation einschränkt.

Die Zukunft der DSGVO hängt davon ab, wie sie von den Unternehmen und Einzelpersonen akzeptiert wird. Die DSGVO hat bereits einen großen Einfluss auf den Datenschutz in Europa und darüber hinaus gehabt. Es bleibt abzuwarten, wie sich die DSGVO in den kommenden Jahren entwickeln wird und ob sie dazu beitragen wird, den Datenschutz und die Privatsphäre von Einzelpersonen weiter zu verbessern.

Aus meiner Sicht, des Datenschutzbeauftragten, hat die DSGVO trotz vieler Umsetzungshürden viel positives bewirkt. Neben den wirklich nötigen Betroffenenrechten haben Unternehmen begonnen sich intensiver mit Ihrer IT-Sicherheit und Infrastruktur zu beschäftigen. Dienstleister wurden vor der Beauftragung genauer unter die Lupe genommen und Schwachstellen schon vor möglichen Datenpannen behoben.

Einige Unternehmen haben sogar durch die Erstellung der Verarbeitungsverzeichnisses und die oftmals dadurch offengelegten Organisationsschwachpunkte die Digitalisierung vorangetrieben und verbesserte Organisationsstrukturen aufgebaut.

Wer erst einmal die erste Hürde der DSGVO Aufgaben gemeistert hat, erkennt schnell, dass die Pflege des geforderten Datenschutzmanagementsystems im laufenden Betrieb einen relativ geringen Aufwand erzeugt, wenn die nötigen Prozesse erst einmal etabliert sind.

Was ich noch festgestellt habe ist, dass fast alle beteiligten Personen der DSGVO Umsetzung innerhalb der Firmen ein erweitertes Bewusstsein über die Weitergabe Ihrer eigenen personenbezogenen Daten im Privatleben entwickelt haben und auch in der Arbeit deutlich vorsichtiger mit personenbezogenen Daten anderer umgehen.

Wie so häufig, bestätigen die wenigen Ausnahmen auch hier die Regel.

Missbrauch von Daten für private Zwecke

Wer in einem Unternehmen arbeitet, hat normalerweise Zugang zu Daten von Kunden. Jedem ist klar, dass er diese Daten nicht für private Zwecke nutzen darf. Aber was sind die Folgen, wenn das trotzdem einmal geschieht? Mit einer Geldbuße dürften die wenigsten rechnen.

Nehmen wir einfach einmal an …

Angenommen, Sie haben von jemandem noch Geld zu bekommen. Leider ist Ihr Schuldner inzwischen umgezogen. Sie wissen nur nicht, wohin. Sie vermuten, dass er zu den Kunden Ihres Arbeitgebers gehören könnte. Und tatsächlich: Ein Blick in die Kundendatenbank bestätigt das. Mit einem Mausklick haben Sie seine neue Adresse gefunden.

Auch wenn Sie das sicher nie tun würden: Nehmen wir einmal an, Sie benutzen seine neue Adresse, um mit ihm wegen der Geldsache Verbindung aufzunehmen. Welche rechtlichen Folgen kann das haben?

Der Grundsatz der Zweckbindung ist verletzt

Es liegt auf der Hand, dass hier der Grundsatz der Zweckbindung verletzt ist. Der Kunde hat seine Daten dem Unternehmen genannt, damit das Unternehmen die Daten verwendet. Es braucht sie beispielsweise, um Bestellungen zu bearbeiten und auszuliefern. Nie würde der Kunde auf die Idee kommen, dass ein Mitarbeiter oder eine Mitarbeiterin diese Daten für irgendwelche privaten Zwecke „abzweigt“. Dafür waren sie nicht gedacht. Deshalb kann es gut sein, dass sich der Kunde bei der Datenschutzaufsicht beschwert.

Die Datenschutzaufsicht kann Geldbußen verhängen

Die Datenschutzaufsicht wird sich um den Fall kümmern. Seit die DSGVO gilt, hat die Datenschutzaufsicht viel mehr Befugnisse als vorher. Unter anderem kann sie Geldbußen verhängen. Das kann im Einzelfall richtig teuer werden. Einige Hundert Euro sind sehr schnell fällig. Das gilt natürlich auch, wenn jemand Daten des Arbeitgebers für private Zwecke missbraucht.

Wer muss mit einer Geldbuße rechnen?

Interessant ist dabei die Frage, wer für diesen Datenmissbrauch geradestehen muss. Ist es die beschäftigte Person, die die Daten missbraucht hat? Oder ist es der Arbeitgeber, für den sie tätig ist? Die Meinungen hierzu gehen zwischen den Aufsichtsbehörden auseinander.

Ein „Mitarbeiterexzess“ ist eine hässliche Sache

Die meisten Aufsichtsbehörden sprechen in einem solchen Fall von einem „Mitarbeiterexzess“. Gemeint sind damit nach einer gängigen Definition „Handlungen von Beschäftigten, die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können.“ Das hört sich zwar etwas juristisch an. Aber eigentlich ist ziemlich klar, was damit gemeint ist.

Ständige Überwachung soll nicht sein

Kein Arbeitgeber kann ständig hinter jedem Beschäftigten stehen. Und er soll das auch gar nicht tun. Deshalb kann der Arbeitgeber nicht für alles verantwortlich sein, was ein Beschäftigter an seinem Arbeitsplatz treibt. Wenn der Beschäftigte sich dort um rein private Angelegenheiten kümmert, ist das keine Sache des Arbeitgebers. Dafür muss vielmehr der Beschäftigte selbst geradestehen. Das gilt auch dann, wenn der Beschäftigte seine Möglichkeiten missbraucht, auf dienstliche Daten zuzugreifen.

Die Geldbuße dafür muss der Beschäftigte zahlen

Beim Missbrauch von Daten für private Zwecke hat das für den „Täter“ erhebliche Konsequenzen. Er wird durch diesen Missbrauch selbst zu der Stelle, die für den Umgang mit den Daten verantwortlich ist. Damit haftet er selbst für den Missbrauch der Daten. Die Datenschutzaufsicht kann gegen ihn persönlich ein Bußgeldverfahren einleiten und eine Geldbuße verhängen. 200 oder 300 Euro Geldbuße sind in solchen Fällen die untere Grenze. Es kann auch teurer werden.

Eine Geldbuße für den Arbeitgeber ist keine schöne Alternative

Letztlich noch unangenehmer wird es für den Beschäftigten, wenn eine Aufsichtsbehörde den Vorgang nicht als „Mitarbeiterexzess“ behandelt. Auch dann hat er selbstverständlich rechtliche Folgen. Sie richten sich gegen das Unternehmen. Denn irgendjemand muss natürlich für den Verstoß geradestehen. Und wenn es nicht der Mitarbeiter ist, ist es eben das Unternehmen.

In solchen Fällen gilt der Grundsatz: Unternehmen haften für das Fehlverhalten ihrer Beschäftigten. Deshalb wird die zuständige Datenschutzaufsicht eine Geldbuße gegen das Unternehmen verhängen.

Der Arbeitgeber wird Konsequenzen ziehen

Selbstverständlich wird das Unternehmen dies nicht einfach schulterzuckend zur Kenntnis nehmen. Vielmehr wird es das Fehlverhalten intern aufklären, arbeitsrechtliche Konsequenzen eingeschlossen. Deshalb gilt: Finger weg von dienstlichen Daten für private Zwecke! Das gilt auch dann, wenn es um scheinbar banale Daten wie eine Adresse geht. Die Folgen sind es auch hier nicht wert.

Die Praxisübernahme und das „Zwei-Schrank-Modell“

Was passiert eigentlich mit Behandlungsunterlagen, wenn eine Nachfolgerin oder ein Nachfolger eine Arztpraxis übernimmt oder wenn eine neue Betriebsärztin auf den bisherigen Betriebsarzt folgt? Das „Zwei-Schrank-Modell“ stellt in solchen Fällen den Datenschutz sicher.

Höchster Schutz für medizinische Daten

Wer sich ärztlich behandeln lässt, erwartet für seine Daten höchsten Schutz. Die ärztliche Schweigepflicht spielt dabei eine zentrale Rolle. Sie muss auch dann gewahrt bleiben, wenn ein Nachfolger eine Arztpraxis übernimmt oder wenn der Betriebsarzt wechselt.

Aufbewahrungspflicht von zehn Jahren

Rein rechtlich ist alles klar: Nach Abschluss einer Behandlung muss ein Arzt die Patientenakte zehn Jahre lang aufbewahren. Das steht so in § 630f Abs. 3 Bürgerliches Gesetzbuch (BGB). Diese Pflicht besteht fort, wenn ein Arzt beispielsweise in den Ruhestand tritt und die Praxis an einen Nachfolger übergibt. Die Patientenunterlagen müssen weiterhin zuverlässig geschützt sein.

Zu schnell steht die Aufbewahrungspflicht nur auf dem Papier

Doch wie lässt sich das in der Praxis sicherstellen? Der bisherige Praxisinhaber will sich im Ruhestand um die Unterlagen nicht mehr kümmern. Und ein Betriebsarzt, der ausgeschieden ist, hat inzwischen auch anderes zu tun. Verständlich, dass er sich mit den vorhandenen Unterlagen am liebsten nicht mehr befassen möchte.

Die Elemente des „Zwei-Schrank-Modells“

Einen Ausweg aus diesem Dilemma bietet das „Zwei-Schrank-Modell“. Die Datenschutzaufsichtsbehörden empfehlen es. Inzwischen ist es allgemein üblich. Für klassische Patientenakten auf Papier funktioniert es in einer Arztpraxis so:

  • Man stellt in der Arztpraxis zwei Schränke auf.
  • In Schrank 1 kommen die Unterlagen, die bei der Tätigkeit des bisherigen Praxisinhabers entstanden sind. Sie werden eingeschlossen.
  • Schrank 2 ist zunächst völlig leer.
  • Den Schlüssel für beide Schränke erhält der Praxisnachfolger.
  • Der bisherige Inhaber der Praxis und sein Nachfolger schließen einen Vertrag. Darin verpflichtet sich der Nachfolger, die vorhandenen Unterlagen streng gesichert in Schrank 1 aufzubewahren.
  • Kommt ein Patient des bisherigen Praxisinhabers zum Nachfolger, fragt dieser den Patienten, ob er den Zugriff auf die vorhandenen Unterlagen erlaubt.
  • Meist ist das der Fall. Dann wird Schrank 1 geöffnet und die dort vorhandenen Unterlagen des Patienten kommen in Schrank 2.
  • Nach einiger Zeit hat sich Schrank 1 meist ziemlich geleert und Schrank 2 ziemlich gefüllt.
  • Die „Restunterlagen“ in Schrank 1 bleiben dort, bis die Aufbewahrungsfrist von zehn Jahren abgelaufen ist. Dann werden diese Unterlagen datenschutzgerecht vernichtet.

Das Modell funktioniert auch bei elektronischen Unterlagen

Das Beispiel der klassischen Patientenakten auf Papier ist besonders leicht nachzuvollziehen. Das Modell funktioniert jedoch auch, wenn die Patientenunterlagen in elektronischer Form vorhanden sind. In wenigen Jahren dürfte das die Regel sein. In diesem Fall wird das „Zwei-Schrank-Modell“ einfach elektronisch nachgebildet.

Der vorhandene Datenbestand wird bei der Übergabe der Praxis gesperrt und besonders gegen Zugriff gesichert. Erst wenn der Patient gegenüber dem Praxisnachfolger zustimmt, schaltet der Praxisnachfolger den Datensatz frei. Das muss er selbstverständlich nicht unbedingt persönlich tun. Auch jemand aus dem Sprechstundenteam, der dafür besonders eingewiesen ist, kann das erledigen.

Besonders datenschutzkonform: die Protokollierung von Zugriffen

Die elektronische Variante ist besonders datenschutzkonform. Bei ihr ist es problemlos möglich, jeden Zugriff zu protokollieren. Wenn die Protokollierung richtig eingerichtet ist, lassen sich die gespeicherten Daten im Nachhinein nicht mehr verändern. Dann lässt sich bei etwaigen Beschwerden leicht feststellen, ob alles ordnungsgemäß abgelaufen ist oder nicht.

Kleine Besonderheiten beim Wechsel des Betriebsarztes möglich

Beim Wechsel des Betriebsarztes lässt sich das Modell an die Strukturen anpassen, die jeweils vorhanden sind. Manche Unternehmen haben die Funktion des Betriebsarztes bei einer externen Praxis angesiedelt, die auch die Patientenunterlagen aufbewahrt. Dann passt alles, was bisher gesagt wurde, 1:1. Bei anderen Unternehmen erfolgt die Aufbewahrung der Patientenunterlagen im Unternehmen selbst. Zugriff hat dabei selbstverständlich nur der Betriebsarzt. In diesem Fall müsste der Schlüssel für die vorhandenen Unterlagen so lange beim bisherigen Betriebsarzt bleiben, bis ein neuer Betriebsarzt bestimmt ist.

Datenauskunft als Datenpanne?

Datenauskunft als Datenpanne

Die Umsetzung der DSGVO bereitet gerade bei den Betroffenenrechten weiterhin Probleme. So haben Unternehmen oftmals noch keinen richtigen Prozess, um Auskunftsersuchen datenschutzgerecht nachzukommen. So muss etwa geklärt werden, ob die anfragende Person wirklich die betroffene Person ist.

Fristen einzuhalten ist nicht alles

Stellen Sie sich vor, Sie sollen einen Antrag auf Auskunft bearbeiten. Sie müssen feststellen, ob Ihr Betrieb personenbezogene Daten verarbeitet, die die anfragende Person betreffen. Ist das der Fall, klären Sie, welche Daten dies sind und zu welchem Zweck Ihr Betrieb sie verarbeitet. Sie bereiten nun eine Kopie der personenbezogenen Daten vor, die Gegenstand der Verarbeitung sind, um diese Informationen zur Verfügung zu stellen.

Dabei können Sie sich nicht beliebig Zeit lassen. Denn die Auskunft muss unverzüglich, also ohne schuldhaftes Zögern, erteilt werden, spätestens jedoch binnen eines Monats nach Eingang des Auskunftsersuchens. Nun darf es aber nicht passieren, dass Sie möglichst schnell die Datenkopie verschicken – sonst könnte die Datenauskunft zu einer Datenpanne werden.

Die Identität des Antragstellers muss geklärt sein

Die Aufsichtsbehörden für den Datenschutz haben mehrfach deutlich gemacht: Es muss sichergestellt sein, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten.

Das bedeutet somit, dass Sie sicherstellen müssen, dass die Person, die die Auskunft wünscht, auch tatsächlich das Recht dazu hat, also tatsächlich die betroffene Person oder eine von der betroffenen Person bevollmächtigte Person ist. Das sollte jedes Unternehmen durch einen Prozess sicherstellen. Bei vielen Unternehmen ist dem aber noch nicht so, auch wenn die DSGVO bereits drei Jahre zur Anwendung kommt.

Nicht auf die falsche Prüfung der Identität setzen

Nun gibt es verschiedene Wege, um die Identität einer anfragenden Person zu überprüfen. Dabei muss dieser Weg zum einen datenschutzgerecht sein, also zum Beispiel keine unnötigen Daten abfragen. Zum anderen muss der gewählte Weg aber auch sicher genug sein.

Wenn Sie das Verfahren in Ihrem Unternehmen noch nicht kennen, erkundigen Sie sich bitte, bevor Sie ein Auskunftsersuchen bearbeiten. Wichtig ist auch, dass Sie die Einschränkungen der Verfahren kennen, die gern in der Praxis genutzt werden.

Ob beispielsweise die Identifizierung über ein Nutzerkonto (also Benutzername und Passwort) sicher ist, hängt sehr stark vom Passwort ab, das der Nutzer vergeben hat. Ist es zu leicht zu knacken, können Angreifer Nutzerkonten übernehmen und damit weitere Daten ausspähen – womöglich dann über ein Auskunftsersuchen mit gefälschter Identität.

Kennt also eine anfragende Person das Passwort der betroffenen Person, das für einen Online-Dienst Ihres Unternehmens besteht, und kann sie sich einloggen, bedeutet dies nicht, dass es wirklich die betroffene Person ist, die die Anfrage stellt. Seien Sie also vorsichtig, denn Identitätsdiebstahl im Internet greift um sich. So basieren die stark verbreiteten Phishing-Attacken genau auf einer gefälschten digitalen Identität, die Vertrauen erwecken und vertrauliche Daten herauslocken soll. Das Auskunftsersuchen per Mail kann also auch eine Fälschung sein.

Kennzeichen-Kameras beim Parken

Kennzeichen-Kameras beim Parken

An immer mehr Parkplätzen verschwinden die Einfahrtsschranken. Stattdessen erfassen Kameras die Kennzeichen. Wie ist das mit dem Datenschutz zu vereinbaren?

Einfahrtsschranke – das ist Vergangenheit!

Immer mehr Unternehmen bauen an der Einfahrt zum Firmenparkplatz die Einfahrtsschranke ab. Stattdessen filmen sie die Kennzeichen der einfahrenden Fahrzeuge. In einer Datenbank lässt sich feststellen, ob dieses Fahrzeug den Parkplatz benutzen darf.

Ähnlich verfahren die Betreiber von öffentlichen Parkhäusern. Hineinfahren kann jeder einfach so. Bezahlt wird am Automaten, nachdem der Fahrer sein Kennzeichen eingegeben hat.

Mehr Bequemlichkeit beim Parken

Die Vorteile liegen auf der Hand. Kein Fahrer muss mehr die Scheibe an der Fahrertür öffnen, nach dem Einfahrtschip kramen oder mühsam das Parkticket bei der Einfahrt lösen. Bei der Bezahlung muss man kein Einfahrtticket mehr in den Automaten stecken. Stattdessen gibt man sein Kennzeichen ein.

Kfz-Kennzeichen sind personenbezogen

Der Datenschutz ist ein Thema, weil die Kennzeichen von Fahrzeugen personenbezogene Daten enthalten. Das überrascht auf den ersten Blick. Aber: Mithilfe des Kennzeichens ist es leicht möglich, den Halter eines Fahrzeugs festzustellen. Genau dazu sind sie da. Wer Kennzeichen festhält, muss deshalb die Datenschutzregelungen beachten.

Kaum Probleme bei Firmenparkplätzen

Bei einem Firmenparkplatz ist alles relativ einfach. Seine Benutzung ist in irgendeiner Weise im Zusammenhang mit dem Arbeitsverhältnis geregelt. Beispielsweise kann der Arbeitsvertrag eine entsprechende Klausel enthalten. Vielleicht gibt es auch eine Betriebsvereinbarung. Arbeitsvertrag oder Betriebsvereinbarung sind dann die Rechtsgrundlage dafür, dass der Arbeitgeber die nötigen Daten festhalten darf.

Meist kosten Firmenparkplätze nichts. Dann genügt es, die Parkberechtigung festzustellen. Dazu sind die Kennzeichen der berechtigten Fahrzeuge in einer Datenbank gespeichert. Fährt ein Fahrzeug in den Parkplatz ein, wird sein Kennzeichen mit dieser Datenbank abgeglichen.

Daten für die Abrechnung

Kostet ein Parkplatz etwas, braucht man zusätzlich Daten für die Abrechnung. Bei öffentlichen Parkplätzen ist das die Regel. Abgerechnet wird bei der Ausfahrt. Dazu braucht man Einfahrtszeit und Ausfahrtszeit. Manchmal bestehen Monatsverträge für Dauerparker. Bei ihnen spielen die Parkzeiten normalerweise keine Rolle. Dann sind diese Daten auch nicht nötig.

Datenschutzhinweise bei der Einfahrt

Ein häufiges Konfliktthema sind die Datenschutzhinweise an der Einfahrt zum Parkplatz. Bei einem Firmenparkplatz für Beschäftigte können sie entweder sehr kurz ausfallen oder sogar völlig wegbleiben. Die Beschäftigten sind im Regelfall auch ohne solche Hinweise ausreichend informiert. So steht beispielsweise in Betriebsvereinbarungen für Firmenparkplätze meist auch, welche Daten gespeichert werden dürfen und was mit ihnen geschieht.

Parkhäuser mit engen Einfahrten

Bei Parkhäusern ist es nicht ganz so einfach. Typisch ist folgende Situation: Wer parken will, merkt erst an der Einfahrt, dass es keine Schranke gibt. Oft genug sind die Einfahrten eng. Für große Schilder mit ausführlichen Informationen ist schlicht kein Platz. Die Datenschutz-Grundverordnung verlangt aber, dass eine umfassende Information über die Verarbeitung der Daten erfolgt.

Vernünftige Lösungen für die Praxis

Für solche Fälle sind die Datenschutzbehörden mit praxisnahen Lösungen einverstanden. Sie sehen so aus: An der Einfahrt steht ein Schild, das auf die Kennzeichenerfassung hinweist. Ansonsten heißt es dort lediglich: „Weitere Informationen im Parkhaus. Freie Ausfahrt binnen 10 Minuten möglich.“ Diese Formulierung ist nur ein Beispiel, es sind auch andere kurze Texte möglich.

Wem es nicht gefällt, kann kostenlos ausfahren

Wer einfährt, kann sich dann im Parkhaus informieren, wie die Kennzeichenerfassung erfolgt und welche Daten gespeichert werden. Ist er damit nicht einverstanden, kann er sich wieder ins Auto setzen und gebührenfrei ausfahren. Sein Kennzeichen wurde dann zwar bei der Einfahrt erfasst. Das System ist aber so eingestellt, dass es diese Daten vollständig löscht, wenn das Fahrzeug innerhalb der Karenzzeit ausfährt.

Bequemlichkeit und Datenschutz – das geht!

Insgesamt ist die Kennzeichenerfassung auf Parkplätzen ein Beispiel dafür, dass Bequemlichkeit und Datenschutz wunderbar zusammenpassen können. Es ist deshalb kein Wunder, dass immer mehr Supermärkte und Einkaufszentren solche Systeme einsetzen.