Viel ist getan, nichts hat geholfen
Stellen Sie sich vor, Ihr Unternehmen hätte bei verschiedenen Gelegenheiten Gewinnspiele veranstaltet und dabei personenbezogene Daten der Teilnehmer erhoben, darunter die Kontaktdaten. Diese Daten wollte Ihr Unternehmen auch zu Werbezwecken einsetzen, vorausgesetzt natürlich, die Teilnehmerinnen und Teilnehmer hätten hierzu ausdrücklich und informiert eingewilligt. Um zu verhindern, dass Personen, die nicht eingewilligt haben, nach der Gewinnspiel-Teilnahme Werbung zugeschickt bekommen, hat Ihr Unternehmen verschiedene technische und organisatorische Maßnahmen ergriffen. Unter anderem hat es spezielle Richtlinien erstellt und Schulungen abgehalten. Trotzdem bekommen auch solche Teilnehmer Werbung, die gar nicht eingewilligt haben. Offensichtlich haben die Datenschutz-Maßnahmen nicht gegriffen. Das ist nicht nur ein theoretisches Beispiel, es passiert in der Praxis.
Datenschutz war nicht wirksam
All die Datenschutz-Maßnahmen konnten nicht verhindern, dass die Daten zweckentfremdet wurden. Ohne jede Einwilligung wurden die Kontaktdaten zu Werbezwecken verwendet. Man muss feststellen: Der Datenschutz war nicht wirksam. Das sollte sich aber nicht erst durch eine solche Datenschutzverletzung und Beschwerden Betroffener zeigen. Das muss ein Unternehmen frühzeitig selbst feststellen. So fordert die Datenschutz-Grundverordnung (DSGVO) ausdrücklich „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“. Kommt es trotz Datenschutz-Maßnahmen zu einer Datenpanne, wie in dem beschriebenen Fall, dann kann man davon ausgehen, dass es kein solches Verfahren gibt – jedenfalls keines, das funktioniert. Das kann dann dazu führen, dass eine Aufsichtsbehörde ein Bußgeld verhängt oder zu anderen Sanktionen greift.
Datenschutz überprüfen und testen
„Datensicherheit ist eine Daueraufgabe“, betont zum Beispiel der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ In der Praxis bedeutet das: Unternehmen müssen die Maßnahmen im Datenschutz auf Erfolg und Wirksamkeit hin überprüfen. Richtlinien zum Datenschutz müssen also nicht nur definiert, geschult und eingeführt werden, sie müssen auf Wirksamkeit hin überprüft und im Fall des Falls überarbeitet werden. Dazu gehört es insbesondere, alle Maßnahmen, die sich nicht praktisch verwirklichen lassen, durch andere, wirksame Maßnahmen zu ersetzen, die eine Praxisprobe bestehen. Hier sind alle gefordert, auf den Erfolg von Datenschutz-Maßnahmen zu achten. Es darf nicht so sein, dass Beschäftigte Datenschutz-Maßnahmen einfach nur als praxisfremd abtun und nicht beachten. Vielmehr sollten Sie auf mögliche Probleme hinweisen, wenn Ihnen Abweichungen im Datenschutz auffallen, die auch dadurch entstehen können, dass gut gemeinte Maßnahmen nicht greifen.
Ist der Datenschutz wirksam? Machen Sie den Test!
Frage: Wenn Datenschutz-Maßnahmen realitätsfremd erscheinen, braucht man sie nicht einzuhalten. Stimmt das?
- Nein, aber man sollte auf seine Bedenken hinweisen.
- Ja, denn solche Maßnahmen bringen sowieso nichts für den Datenschutz.
Lösung: Die Antwort 1. ist richtig. Wie bei jeder betrieblichen Vorgabe müssen Sie auch die betrieblichen Datenschutzrichtlinien beachten, selbst wenn sich der Sinn vielleicht nicht sofort erschließt oder Sie meinen, dieses oder jenes bringe nichts. Wenn Ihnen Probleme bei Maßnahmen auffallen, melden Sie das. Lassen Sie aber nicht ohne Weiteres die Vorgaben unbeachtet.
Frage: Bekannte Datenschutz-Maßnahmen wie Verschlüsselung sind immer wirksam. Stimmt das?
- Ja, sonst würden nicht so viele Unternehmen sie nutzen.
- Nein, man muss auch solche Maßnahmen regelmäßig auf Erfolg überprüfen.
Lösung: Die Antwort 2. ist richtig. Maßnahmen wie Verschlüsselung sind zwar seit vielen Jahren praxiserprobt, doch ob sie den gewünschten Schutz bringen, muss in jedem Einzelfall geklärt werden. So kann es sein, dass die Verschlüsselung nicht alle zu schützenden Daten umfasst, die Verschlüsselung nicht mehr dem Stand der Technik entspricht oder der Schlüssel zur Entschlüsselung unsicher aufbewahrt wird, um nur einige Beispiele zu nennen. Die Wirksamkeit auch solch bekannter Maßnahmen wie Verschlüsselung personenbezogener Daten muss geprüft werden, sonst könnte nur eine Scheinsicherheit vorliegen. Eine Datenschutzverletzung könnte die Folge sein.