Die 10 typischen Datenschutzfallen in Unternehmen – Teil II

Wenn ein Unternehmen Dienstleistungen an externe Anbieter auslagert, müssen angemessene Verträge abgeschlossen werden, um sicherzustellen, dass die Datenschutzanforderungen erfüllt werden. Fehlende oder unzureichende Vereinbarungen können zu Datenschutzverletzungen führen. Die erste Maßnahme ist hierbei, einen Auftragsverarbeitungsvertrag mit dem jeweiligen Dienstleister abzuschließen. Eine Vorlage dafür erhalten Sie direkt bei Ihren persönlichen DEUDAT Ansprechpartner.

UNSICHERE DATENÜBERTRAGUNG UND -SPEICHERUNG

Unternehmen sollten sicherstellen, dass personenbezogene Daten während der Übertragung und Speicherung angemessen geschützt werden. Unsichere Übertragungswege oder unzureichende Sicherheitsmaßnahmen bei der Speicherung können zu Datenlecks führen.

Mögliche Maßnahmen sind unter anderem die Verschlüsselung der Daten und verschlüsselte Speicherlösungen für die Speicherung. Zudem sollten strenge Zugriffskontrollen eingeführt werden, um sicherzustellen, dass ausschließlich autorisierte Personen Zugriff auf die Daten haben. Eine weitere Maßnahme stellt die Durchführung einer Datenschutz-Folgenabschätzung dar. Dabei werden die Risiken für die Datenübertragung und -speicherung identifiziert und geeignete Maßnahmen ergriffen. Wird ein Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt sollte ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden.

FEHLENDE DATENSCHUTZ-FOLGENABSCHÄTZUNG

Die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) ist in bestimmten Fällen gemäß der DSGVO erforderlich. Eine DSFA ist ein Instrument zur Identifizierung, Beschreibung, Beurteilung und Minimierung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Nach Art. 35 Abs. 1 DSGVO ist eine DSFA grundsätzlich immer dann durchzuführen, wenn die Verarbeitung der Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist kein einmaliger Vorgang. Ergeben sich neue Risiken, die die Bewertung bereits erkannter Risiken ändern, so ist die DSFA zu überprüfen und anzupassen. Wenn Unternehmen diese Bewertung vernachlässigen oder nicht korrekt durchführen, können sie Risiken für die Datenschutzrechte der Betroffenen übersehen und somit in eine Datenschutzfalle geraten.

MANGELNDE DATENMINIMIERUNG

Unternehmen sollten nur die notwendigen personenbezogenen Daten sammeln und speichern. Wenn zu viele Daten gesammelt werden, erhöht sich das Risiko eines Datenlecks oder Missbrauchs.

Datenschutzverletzungen und unzureichende Meldeverfahren Unternehmen sollten sicherstellen, dass sie über angemessene Verfahren zur Meldung und Behandlung von Datenschutzverletzungen verfügen. Eine unzureichende Reaktion auf Datenschutzverletzungen oder das Fehlen eines Meldesystems kann zu rechtlichen und reputativen Schäden führen. Demnach sollten interne Meldesysteme für Datenschutzverletzungen im Unternehmen implementiert werden. Zudem sollte ein klarer Prozess zum Meldeverfahren festgelegt werden. Dieser beinhaltet die Dokumentation der Ereignisse, die Bewertung des Risikos, die Benachrichtigung der betroffenen Personen und gegebenenfalls die Meldung an die zuständige Datenschutzbehörde.