(PM) Pfaffenhofen a. d. Ilm, 18.07.2017 - Die Teilnehmer aus Gewerbe, Unternehmen und freien Berufen erhielten praktische Tipps, wie sie dem Datenschutz im Unternehmensalltag gerecht werden können. Hubert Daubmeier aus Neuburg a. d. Donau ist selbständiger Datenschutzbeauftragter. Er gab zunächst eine kurze Einführung in das Thema Datenschutz. Dieser bezieht sich auf personenbezogene Daten wie Anschrift oder Bankverbindung. Auch die IP-Adresse des Computers, mit dem man eine Website aufruft, zählt dazu. Wann eine Einwilligung des Betroffenen nötig ist, zu welchem Zweck Daten gespeichert werden dürfen und was „Datensparsamkeit“ bedeutet, wurde nachvollziehbar erläutert.

Konkrete Tipps für die Unternehmenspraxis
So manche Vorgabe rund um den Datenschutz sei nicht schwer umzusetzen, so der Experte. Als Beispiel nannte er die Verpflichtung der Mitarbeiter auf das Datengeheimnis. Mit dieser soll zum Ausdruck kommen, dass nicht nur der Arbeitgeber als verantwortliche Stelle, sondern jeder Beschäftigte persönliche Pflichten für die Einhaltung des Datenschutzes trägt. Eine Mustererklärung ist auf der Website des Bayerischen Landesamts für Datenschutzaufsicht erhältlich. Nebeneffekt sei, dass die Mitarbeiter sensibilisiert würden: „Kann ich wirklich die Kundenliste auf einem unverschlüsselten USB-Stick mit mir tragen?“

Apropos USB-Stick: „Verschlüsseln, verschlüsseln, verschlüsseln“ rät Daubmeier als technische Lösung. So ist gewährleistet, dass personenbezogene Daten nicht in falsche Hände geraten, falls ein Gerät – vom USB-Stick bis zum Laptop – verloren geht. Dies ist gerade in Hinblick auf die neue EU-Datenschutz-Grundverordnung ratsam. Denn zum einen müssen künftig mehr Vorfälle an die Aufsichtsbehörde gemeldet werden: Jeder Hacking-Vorfall wird künftig ebenso meldepflichtig wie heute schon der Verlust eines unverschlüsselten USB-Sticks oder eines Smartphones, sofern es nicht aus der Ferne gelöscht werden kann. Zum anderen fallen bei nachgewiesener Nicht-Meldung hohe Bußgelder an. Laut Grundverordnung müssen Unternehmen zudem künftig nachweisen, dass die Grundsätze für die Verarbeitung personenbezogener Daten tatsächlich „gelebt“ werden. „Das heißt dokumentieren, protokollieren, Verhaltensregeln aufstellen“, so der Datenschutzbeauftragte. „In elf Monaten tritt die Verordnung in Kraft und dann müssen alle Vorkehrungen getroffen sein.“ Mehr als die Hälfte der Unternehmen haben nach eigenen Angaben noch keine Umsetzungspläne.

Fallstrick private Nutzung

Doch auch mit den geltenden nationalen Bestimmungen haben die Unternehmen Handlungsbedarf. Komplex wird es, wenn Mitarbeiter private Geräte für dienstliche Aufgaben nutzen. Einfacher wäre es, wenn der Arbeitgeber das Smartphone stellt. So kann er über dessen Nutzung bestimmen und den Einhalt der Datenschutzvorgaben besser kontrollieren. So sollten zum Beispiel nie unverschlüsselte personenbezogene Daten über Cloud-Dienste synchronisiert werden oder dienstliche Dokumente, die personenbezogene Daten enthalten, auf dem privaten Drucker ausgegeben werden. Eine häufige Praxis und zugleich einen Fallstrick für die Betriebe beobachtet Daubmeier bei der – oft stillschweigend geduldeten – privaten E-Mail-Nutzung am Arbeitsplatz. Wer dann nämlich bei Urlaub oder Krankheit auf Postfächer abwesender Kollegen zugreift, kommt mit dem Fernmeldegeheimnis in Konflikt. Aber auch, wer die private Nutzung verbietet, muss kontrollieren, ob dies eingehalten wird. Sein Rat: „Eine betriebsinterne Regelung der privaten Internet- und E-Mail-Nutzung ist dringend empfohlen.“

Von der schwierigen Suche nach einem Datenschutzbeauftragten

Fabian Stahl, Geschäftsführer von Stahl Computertechnik, berichtete aus der Datenschutz-Praxis in seinem Unternehmen. Als IT-Dienstleister und Anbieter von Cloud-Lösungen hat das Unternehmen viele Kundendaten gespeichert, zudem haben die Techniker als IT-Systemadministratoren Zugang auf Kundenserver. Genau das hat es dem Systemhaus schwer gemacht, einen Datenschutzbeauftragten zu bestimmen: Diese Funktion darf nämlich kein Mitarbeiter ausüben, der in Verwaltung, Vertrieb oder Technik Zugriff auf Kundendaten hat. Ausweg war die Verpflichtung eines externen Datenschutzbeauftragten. Einen Datenschutzbeauftragten benötigen Unternehmen, wenn mehr als neun Mitarbeiter personenbezogene Daten bearbeiten.

Datenschutzerklärung für Websites

Ein weiterer Aspekt waren die Datenschutzerklärungen für Websites. Darin muss der Betreiber über die Erhebung und Verwendung personenbezogener Daten informieren. Diese fallen nicht nur an, wenn man einen Shop betreibt oder Anfragen über Formulare ermöglicht. Gerne vergessen werden so genannte Log-Daten wie Browsertyp oder IP-Adresse des Nutzers. Diese werden oft zu umfangreich erhoben, zu lange gespeichert und der Zugriff zu schwach gesichert.

Die Vortragsfolien zum Download gibt es unter www.stahlgmbh.de/meldungen/112-vortrag-zu-datenschutz-in-unternehmen-hausaufgaben-machen