+49 (55 03) 9 15 96 48 sorge@DatCon.de

Corona – Das Arbeiten ist anders geworden!

Durch Corona sind viele Dinge und Prozesse anders geworden. Corona hat eine Vielzahl von Schwachstellen in unserem
System zum Vorschein gebracht, wie beispielsweise im Bereich der Digitalisierung. Hier hat es sich gezeigt, dass
Deutschland noch einen enormen Aufholbedarf hat. Home-Schooling und Home-Office ist mit nicht ausreichenden
Ressourcen und instabilen Leitungen eben keine vollwertige Alternative, obwohl dies in vielen Fällen sein könnte.
Fazit, die Digitalisierung wurde sträflich missachtet!
Home-Office und der Datenschutz
Man kann gespannt sein, ob es bei dieser Konstellation jemals ruhiger wird. Auf der einen Seite die Notwendigkeit bzw.
der Wunsch nach Home-Office und auf der anderen Seite die Beachtung der datenschutzrechtlichen Anforderungen. Dies
ist anstrengend! Aber insbesondere für Unternehmen, die als Auftragsverarbeiter unterstützen, liegt hier eine enorme
Gefahr. Es sind nicht nur die datenschutzrechtlichen Anforderungen, die natürlich alle Unternehmen bei ihren Mitarbeitern
beachten und umsetzen müssen. Insbesondere Auftragsverarbeiter sollten peinlichst darauf achten, dass es mit ihren
Auftraggebern datenschutzrechtliche Vereinbarungen für den Bereich Home-Office gibt.
Warum? Die Antwort ist recht einfach. Nicht unbedingt jeder Auftraggeber möchte, dass seine Daten in einem privaten
Umfeld verarbeitet werden. Schnell kann es hier zu Regressansprüchen kommen!
Was müssen bzw. sollten Arbeitgeber nun tun?
Die Arbeitgeber müssen ihre Arbeitnehmer*innen informieren/sensibilisieren. Sie müssen klar aufzeigen, dass es ein sehr
hohes Risiko darstellt, wenn Sie die Anweisungen und Regelungen im Bereich des Datenschutzes hinsichtlich des
häuslichen Umfeldes nicht beachten (wollen). Wie schnell ist ein privates Gerät zur Abspeicherung von Daten zur Hand?
Es liegt doch nur 1 m weiter auf dem Schreibtisch. Oder auch die Einrichtung eines Remote-Zugangs muss nicht schwierig
sein. Die Praxis zeigt, dass es für die meisten Mitarbeiter*innen eines Unternehmens nicht ausreicht, wenn diese
Informationen und Verhaltensregeln einmalig sind. Der Mensch als schwächstes Glied in der Kette muss regelmäßig
sensibilisiert werden. Zumal die Aufsichtsbehörden dies verstärkt im Fokus haben.
Der Trojaner Emotet ist tot – es lebe Emotet!
Wer hat noch nie von Emotet gehört? Wir sprechen hier von einem Virus bzw. einem Trojaner, der das Ziel hat Daten zu stehlen.
Ein Klick auf einen „verseuchten“ Link reicht aus und Sie haben plötzlich ganz viele Probleme. Diejenigen, die
hinter Emotet und Co. stehen, haben gelernt, dass man nicht nur die Entschlüsselung von Dateien erpressen kann. Nein,
davor werden die Dateien gesichert, um später das Unternehmen mit einer meldepflichtigen Datenpanne zu konfrontieren
und erneut zu erpressen. Da der Nachbau von gefälschten Websites immer besser wird, wird es für die Benutzer immer
schwieriger die Gefahr zu erkennen.
Datenschutzaufsicht Niedersachsen: Ein Blick hinter die Kulissen
Gemäß Frau Barbara Thiel (Landesdatenschutzbeauftragte für Niedersachsen) muss ein Bußgeld weh tun. Aber es sind
ja nicht nur Bußgelder, die einem Unternehmen das Leben schwer machen können. Es sind auch
Schadensersatzansprüche von Betroffenen und deren Anwälten. Und in vielen Fällen ist dies ein viel höheres Risiko für
ein Unternehmen, um in eine finanzielle Schieflage zu geraten.
Auch vertritt die Aufsicht Niedersachsen die Meinung, dass bereits ein Hackerangriff eine meldepflichtige Datenpanne
darstellt. Nun kann man darüber streiten und diskutieren (oder halt nicht). Art. 33 Abs 1 DSGVO besagt:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst
binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen
Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht
zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. …“
Demnach ist eine Meldung eigentlich nur notwendig, wenn eben ein Risiko für die natürliche Person vorhanden ist. Ist dies
im Umkehrschluss nicht vorhanden, ist eigentlich auch keine Meldepflicht vorhanden. Frau Thiel begründet diese Meinung
mit dem Föderalismus, dann nicht alle Aufsichtsbehörden sehen es so wie Frau Thiel.
Nach Aussage von Frau Thiel gab es im Jahr 2020 für Niedersachsen rund 2500 Beschwerden im Bereich Datenschutz
und rund 1000 Meldungen von Datenschutzverstößen (Datenpannen).
Auch werden immer häufiger anlasslose Prüfungen durchgeführt. Hierbei werden durch die Aufsichten in der Regel
Fragebögen zu bestimmten Themen an beliebig viele Unternehmen verschickt.
Datenschutz in UK
Der Brexit ist nun durch, die nächste Hürde liegt im Bereich des Datenschutzes. Es gibt die Aussage, dass UK noch nie
ein angemessenes Datenschutzniveau hatte. Dadurch, dass UK in der EU war, hat man dieses Thema schlichtweg
verdrängt. Nun läuft die Zeit gegen uns und man kann gespannt sein, ob es hier in Kürze für die Unternehmen weitere
Hürden gibt. Wird kein angemessenes Datenschutzniveau erreicht, ist UK vergleichbar mit den USA ein Drittland!
Fazit?
Viele sehen den Datenschutz als Bremse. Vielleicht. Ja? Nein? Wichtig ist, dass der Schutz von personenbezogenen Daten
das Ziel ist. Natürlich darf der Datenschutz wichtige (lebensnotwendige) Prozesse nicht behindern. Aber es darf auch nicht
sein, dass die Zweckbindung beispielsweise im Bereich der Cookie-Nutzung bei Websites entfällt und das dadurch
Unternehmen die gewonnenen Daten „verhökern“ können. Die Praxis zeigt immer wieder, dass Profilbildungen von
Menschen ein hohes Risiko darstellen.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!