Wie können personenbezogene Daten geschützt werden?
Die Arbeitswelt entwickelt sich vor allem im Bereich der Digitalisierung derzeit so rasant wie selten. Für den Verantwortlichen und den (externen) Datenschutzbeauftragten eines Unternehmens bedeutet das, dass sie diese Entwicklung in puncto Datenschutz und Umsetzung der Datenschutzgrundverordnung (DS-GVO) immer genau im Auge behalten müssen.
Vor allem die Messenger-Dienste, die auf Handys, Notebooks und anderen mobilen Endgeräten genutzt werden, spielen eine zunehmende Rolle auch für den Datenschutz.
Messenger-Dienste verarbeiten personenbezogene Daten
Immer öfter werden auch im unternehmerischen Bereich, aber auch bei Vereinen, Schulen, Kindergärten und so weiter, Messenger-Dienste für eine schnelle und vermeintlich unkomplizierte Kommunikation genutzt. Dabei werden durch die Nutzung dieser Dienste unter Umständen personenbezogene Daten von Betroffenen verarbeitet.
Daher muss auch bei dieser Nutzung im nicht privaten Bereich, die Einhaltung des Datenschutzes sichergestellt werden. Die mögliche Verarbeitung von personenbezogenen Daten unterliegt allen Vorgaben im Datenschutz.
Prüfen, welche personenbezogenen Daten verarbeitet werden
Zu Beginn des Datenschutzes sollten alle Prozesse der Messenger-Dienste auf eine mögliche Verarbeitung von personenbezogenen Daten hin geprüft werden. Dort wo möglicherweise personenbezogene Daten verarbeitet werden, müssen alle Vorgaben der DS-GVO umgesetzt werden.
Diese Prüfung der Vorgänge, Festlegung der Maßnahmen und Dokumentation des Datenschutzes müssen durch den Verantwortlichen regelmäßig überprüft und weiterentwickelt werden. Jedes neu genutzte Tool zur Datenübermittlung muss vor Einführung darauf hin geprüft werden.
BLOG-TIPP: DATENSCHUTZ: PFLICHTEN DES VERANTWORTLICHEN
Bei der Verwendung von personenbezogenen Daten auf die IT-Sicherheit achten
Besonders wichtig ist dabei auch, unbemerkte Verarbeitungen von personenbezogenen Daten im Hintergrund zu erkennen und datenschutzkonform zu gestalten – im Besten Fall eine solche Verarbeitung zu blockieren.
Die IT-Sicherheit spielt in der Verwendung von Messenger-Diensten eine besondere Rolle. Jegliche Nutzung von Messenger-Diensten muss auf die IT-Sicherheit hin geprüft und abgesichert werden.
Personenbezogene Daten vor Angriff durch Hacker schützen
Gerade dann, wenn durch mögliche Hackerangriffe auf die Messenger-Dienste personenbezogene Daten illegal abgegriffen werden können, ist die Gefahr für personenbezogene Daten besonders groß.
Wenn Hacker über die Messenger-Dienste Zugriff erhalten, können sie unter Umständen auch dann auf jene personenbezogenen Daten zugreifen, die nicht über den Messenger-Dienst verarbeitet wurden.
BLOG-TIPP: MOBILE ENDGERÄTE UND DER DATENSCHUTZ IN ZEITEN ERHÖHTER CYBERANGRIFFE
Nutzung von privaten Endgeräten
Auch wenn im Unternehmen selbst kein Messenger-Dienst standardmäßig verwendet wird, kommt es nicht selten vor, dass auch private Endgeräte für Teile der Arbeit genutzt werden (dürfen) oder Messenger-Dienste auf dem Firmenhandy installiert werden.
Dabei ist es natürlich ebenfalls unerlässlich den Datenschutz einzuhalten. Die Nutzung dieser Geräte muss also im Datenschutzkonzept eines Unternehmens mit aufgenommen werden.
Versand von personenbezogenen Daten
Häufig werden über die Messenger-Dienste auch Daten verschickt, zum Beispiel indem Visitenkarten oder Kontakte verschickt werden. Aber auch URLS und vor allem Bilder können personenbezogene Daten sein oder enthalten.
Daher ist auch bei dem Versand dieser Daten der Datenschutz zu berücksichtigen.
Richtiges Löschen von möglichen personenbezogenen Daten
Das Löschen der personenbezogenen Daten, die im Messenger verarbeitet werden, stellt ebenfalls einen wichtigen Bauteil im Datenschutz dar. Die Daten müssen zum Beispiel in das Löschkonzept im Datenschutz eingearbeitet werden und sichergestellt werden, dass alle Daten vollständig gelöscht werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – DATENVERNICHTEN, ABER RICHTIG
Sensibilisierung der Mitarbeiter
Bei der Nutzung von mobilen Endgeräten für die Arbeit, gilt es die Mitarbeiter ausreichend zu sensibilisieren. Vor allem dort, wo sich private Nutzung von unternehmenseigenen Endgeräten oder geschäftliche Nutzung von privaten Endgeräten überschneiden, ist das Risiko für personenbezogene Daten relativ hoch.
Mitarbeiterschulungen sollten im Datenschutz selbstverständlich sein, dabei sollte auch das Thema Messenger-Dienste angesprochen werden.
BLOG-TIPP: MITARBEITERSCHULUNGEN ALS NOTWENDIGE MASSNAHMEN IM DATENSCHUTZ
Achtung bei möglicher Übermittlung der Daten in die USA
Bei der Verwendung von Messenger-Apps von Anbietern aus dem nicht-EU-Ausland, sollte besonders auf die Einhaltung des Datenschutzes geachtet werden. Vor allem durch die Änderung der Standardvertragsklauseln ist eine Einhaltung der DS-GVO nicht immer so einfach.
DS-GVO-konforme Messenger-Dienste einsetzen
Versuchen Sie daher vor allem auf DS-GVO-konforme Messenger-Dienste zu setzen. Es macht Sinn sich dabei durch einen Fachmann beim Einsatz des richtigen Dienstes beraten zu lassen.
AV-Verträge und Betroffenenrechte
Gerade wenn personenbezogene Daten durch einen Anbieter verarbeitet werden, sollten Sie prüfen, ob entsprechende AV-Verträge, also Verträge für die Auftragsverarbeitung benötigt werden und vorliegen.
Auch die Betroffenenrechte müssen bei der Verarbeitung von personenbezogenen Daten in Messenger-Diensten eingehalten werden.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
DS-GVO-Umsetzung durch einen Fachmann sicherstellen
Ob die Nutzung von Messenger-Diensten datenschutz-konform ist, ist nicht immer einfach zu beurteilen. Daher macht es Sinn einen externen Datenschutzbeauftragten zur Unterstützung des Datenschutzes zu kontaktieren.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.