Stolpersteine mit dem Datenschutz
In unserem Blog erklären wir jede Woche, worauf Sie bei der Einhaltung der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) achten müssen, um den Datenschutz einzuhalten. Regelmäßig berichten wir Ihnen auch von Datenschutzverstößen, die meist mehr oder weniger große Strafen mit sich bringen. Oft betrifft das Fälle, die durch die Presse gehen.
Aber auch kleine Datenpannen können unangenehme Konsequenzen für ein Unternehmen haben. Um deutlich zu machen, wie schnell solche Stolpersteine entstehen können, hat das Team von Datenschutzberater.NRW eine kleine Sammlung von fiktiven Datenpannen zusammengetragen. Wir möchten Sie in diesem Artikel für die Gefahren im Umgang mit dem Datenschutz sensibilisieren.
Die zusammengetragenen Beispiele sind frei erfunden, können aber durchaus im hektischen Arbeitsalltag eines Unternehmens auftauchen.
Der Retouren-Zettel – Datenschutz im Einzelhandel
Wir alle kennen das: Der Artikel, der gekauft wurde, passt nicht oder muss aus einem anderen Grund umgetauscht werden. Viele Geschäfte machen es möglich, dass man die Ware dann zurückgeben kann. Im Arbeitsalltag haben die Mitarbeiter oft nicht die Zeit, zu überprüfen, ob die Ware vollständig, ungetragen oder ganz ist. Aus diesem und anderen Gründen, werden die Daten des Kunden erfasst. Mögliche Rückfragen werden dadurch möglich, die Ausgabe des Zahlbetrags bestätigt usw.
Egal, aus welchem Grund die Daten erfasst werden, auch hier greift natürlich der Datenschutz. Grundsätzlich gelten bei dieser Art von Datenerfassung natürlich die gleichen „Spielregeln“ wie bei jeder anderen Datenerfassung. Der Vorgang muss im Verzeichnis der Verarbeitungstätigkeiten (VVT) erfasst werden, der Betroffene muss über die Datenverarbeitung mit all ihrer Konsequenzen aufgeklärt werden (Betroffenenrechte) und entsprechend ein Widerspruchsrecht erhalten.
Soweit ist das in vielen Unternehmen mittlerweile schon angekommen und die DS-GVO wird weitestgehend eingehalten. In der praktischen Umsetzung sieht das oft aber dann nicht mehr ganz so DS-GVO-konform aus. Es kann passieren, dass die Kunden zum einen nicht ausreichend informiert werden, aber auch, dass die Zettel an der Kasse frei zugänglich aufbewahrt werden. Die Daten sind also nicht ausreichend geschützt und können ggf. durch einen Außenstehenden eingesehen werden. Passiert das, liegt eine Datenpanne vor.
Krankschreibungen, Rezepte und der Datenschutz
Gerade im Bereich von Gesundheitsdaten spielt der Datenschutz eine große Rolle. Wie wir in unseren vergangenen Artikeln bereits aufgezeigt haben, zählen diese zur besonderen Kategorie personenbezogener Daten. Hierbei gelten besondere Regeln bei der Einhaltung der Datenschutzgrundverordnung (lesen Sie hierzu unseren Blog über personenbezogene Daten).
Liegen Arbeitsunfähigkeitsbescheinigungen, Rezepte und teilweise auch Krankenakten (so Sie denn noch handschriftlich geführt werden) auf dem Empfangstresen oder auch in einem Bereich des Schreibtisches am Empfang, bei denen man als Unbeteiligter durchaus Daten einsehen könnte, sollte das nicht auf die leichte Schulter genommen werden. Auch bei der Aufnahme am Empfang persönlich oder am Telefon ist es in kleineren Arztpraxen mitunter nicht so einfach, die Daten entsprechend der DS-GVO von Dritten fernzuhalten.
Entsprechende Vorsichtsmaßnahmen sollten in jeder Arztpraxis zum Standard gehören und die Daten zwingend uneinsehbar aufbewahrt werden. Wenn Patientendokumente fein säuberlich auf dem Tresen des Empfangs aufgereiht liegen, ist dies sicher für den Arbeitsablauf praktisch, sind diese aber nicht sicher geschützt, selbst wenn die Arzthelferin ein Auge darauf haben kann. (Worauf Sie bei der Umsetzung der DS-GVO in Arztpraxen achten sollten, lesen Sie hier).
Der Dienstplan und die DS-GVO
In vielen Unternehmen gibt es ihn: Den Dienstplan. Egal ob in gedruckter Form als Aushang oder auch elektronisch für die entsprechenden Abteilungen und Kollegen zugänglich. Was viele nicht wissen: Auf dem Dienstplan sollte nur die Anwesenheit oder Abwesenheit des Mitarbeiters zu sehen sein.
Auf vielen Dienstplänen gibt es aber immer noch die Unterscheidung zwischen krank, Urlaub und sogar Mutterschutz. Nach Datenschutzgrundverordnung sind aber vor allem die letzteren beiden Angaben mehr als problematisch zu sehen, da es sich im weitesten Sinne um Gesundheitsdaten handelt. Eine solche Kennzeichnung ist nach den Vorgaben der DS-GVO nicht zulässig und kann vor allem dann zu Problemen führen, wenn ein Mitarbeiter sich durch diese Ausführung gestört fühlt.
Meldet ein Mitarbeiter diese Situation an die Aufsichtsbehörde, kann das für ein Unternehmen schnell unangenehm und auch teuer werden. Veröffentlichen Sie Dienstpläne und Anwesenheitslisten daher nur wenn es nötig ist und schreiben Sie nicht den Grund für die Abwesenheit in das Dokument. Markieren Sie die Abwesenheit auch nicht farblich, um eine Zuordnung auszuschließen. Es wird auch empfohlen, wenn möglich, den Dienstplan zu pseudonymisieren – das bedeutet: verwenden Sie nicht die gesamten Namen, sondern z.B. nur die Kürzel der Mitarbeiter.
Telefonische Bestellungen beim Lieferservice – die Datenpanne am Telefon
Nicht nur in Zeiten von Corona: Die Deutschen bestellen gerne Essen beim Restaurant um die Ecke. Wenn wir bestellen, dann müssen wir natürlich personenbezogene Daten wie Name, Adresse und Telefonnummer angeben. Das ist nachvollziehbar und notwendig, um den Vorgang abzuschließen.
Problematisch wird es aber, wenn man am Telefon diesen Vorgang von anderen Kunden mithören kann. Nicht selten passiert es, dass man bei der Bestellung im Raum steht oder, wie bei unserem Beispiel, der Lieferservice mehrere Telefone gleichzeitig in der Verwendung hat. Stellt man dann den Wartenden nicht in die Warteschleife und wiederholt die Angaben des Betroffenen zur Absicherung der Bestellung, dann kann ein Unbefugter die Daten mithören oder gar aufschreiben. Hierbei handelt es sich dann um eine Datenpanne, die geprüft werden muss. Das gleiche gilt natürlich auch für den unbeteiligten Zuhörer im Restaurant selber. Vermeiden Sie solche Datenpannen indem Sie die personenbezogenen Daten nicht durch andere mithörbar aufnehmen.
Notwendigkeit der DS-GVO
Unsere erfundnen Beispiele zeigen, welche Notwendigkeit für den in der Datenschutzgrundverordnung (DS-GVO) festgelegten Schutz für personenbezogene Daten besteht.
Daten, die frei zugänglich für andere aufbewahrt oder weitergegeben werden, können betroffene Personen gefährden. Nicht nur durch die Weitergabe von Bankdaten, kann die Freiheit des Einzelnen gefährdet werden. Gerade bei Gesundheitsdaten oder Adressdaten kann dem Betroffenen ein nicht unerheblicher Schaden zugefügt werden.
Unsere Beispiele zeigen auch, wie wichtig es ist, die Mitarbeiter entsprechend für die Einhaltung des Datenschutzes zu sensibilisieren. Regelmäßige Mitarbeiterschulungen und Unterweisungen sollten genauso zum Standard in einem Unternehmen gehören, wie auch ein Datenschutzhandbuch, das für alle Mitarbeiter zugänglich ist. Die Umsetzung der technisch-organisatorischen Maßnahmen (TOMs) und ein aktuelles Verzeichnis der Verarbeitungstätigkeiten (VVT) helfen dem Mitarbeiter ebenfalls dabei, die Umsetzung des Datenschutzes unternehmensspezifisch praktisch zu verstehen und umzusetzen.
Wie kann der (externe) Datenschutzbeauftragte helfen?
Der (externe) Datenschutzbeauftragte eines Unternehmens sollte den Verantwortlichen entsprechend mit Rat und Tat unterstützen. Wenn ein Unternehmen keinen (externen) Datenschutzbeauftragten nach DS-GVO stellen muss, dann kann dies auch ein Datenschutzberater übernehmen.
Dabei macht zu Beginn eine Datenschutz-Erstberatung Sinn, bei der der Datenschutz im Unternehmen grundlegend beleuchtet wird. Auch ein Datenschutz-Audit kann in regelmäßigen Abstand die Einhaltung der DS-GVO und die Weiterentwicklung Ihrer Einhaltung gewährleisten.
Datenschutz und IT-Sicherheit liegen eng zusammen, daher sollten Sie sich in diesem Zusammenhang auch Gedanken um eine IT-Erstberatung und ein IT-Audit machen.
Datenschutzberater.NRW bietet in verschiedene Konzepte für Ihr Unternehmen. Unser Team mit Fachleuten aus Datenschutz, Steuerrecht und IT bietet Ihnen ebenfalls Unterstützung bei der Umsetzung der GoBD-Grundlagen an. Wir betreuen Kunden aus Köln, Bonn, Düsseldorf und ganz NRW. Setzen Sie sich einfach mit uns in Verbindung, wir erstellen Ihnen ein praxisnahes und umsetzbares Konzept für Ihr Projekt.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Bei den Beispielen handelt sich ausschließlich um konstruierte Beispiele, die wir zur Verdeutlichung der DS-GVO verwenden.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.