Datenschutzfallen
DSGVO-Fallen, die Sie kennen sollten

Ein sorgloser Klick, eine unüberlegte Auskunft am Telefon - manchmal merken Mitarbeiter gar nicht, dass Sie gegen die DSGVO verstoßen. Die fiesesten Datenschutzfallen und wie Ihr Team sie umgeht.

, von

So offensichtlich wie diese Mäusefallen, sind viele Datenschutzfallen nicht: Oft tappen Mitarbeiter unbemerkt hinein
So offensichtlich wie diese Mäusefallen, sind viele Datenschutzfallen nicht: Oft tappen Mitarbeiter unbemerkt hinein
© xxmmxx / iStock / Getty Images Plus

Seit die Datenschutz-Grundverordnung (DSGVO) am 25. Mai in Kraft getreten ist, lauern sie überall: Datenschutzfallen. Denn die DSGVO verpflichtet Unternehmen noch restriktiver, personenbezogene Daten vor dem Zugriff Dritter zu schützen. In vielen Firmen hat sich deshalb Panik breitgemacht; manche schränken aus Furcht vor DSGVO-Strafen sogar ihre Online-Aktivitäten ein. Beim Bundesverband Digitale Wirtschaft e. V. sind es laut einer aktuellen Umfrage 43 Prozent.

Der Datenschutzbeauftragte Fabio Pastars ist überzeugt, dass die Behörden vor allem große Datensammler wie Facebook und Google im Visier haben. Dennoch rät er zur Vorsicht: Kleine Unternehmen sollten sich nicht darauf verlassen, dass Verstöße unbemerkt bleiben. Oft schwärzten unzufriedene oder gekündigte Mitarbeiter Arbeitgeber anonym an. Oder aber Mitarbeiter tappen in Datenschutzfallen, ohne es zu merken. Zum Beispiel in diese:

Datenschutzfalle 1: Autovervollständigung

Das Problem: Tippt man die ersten Buchstaben eines Namens ins Adressfeld, schlagen manche Mailprogramme automatisch Adressen vor. Wer zu schnell auf Return drückt, schickt womöglich vertrauliche Daten an den falschen Empfänger. Laut Pastars passiere das vor allem unter Zeitdruck immer wieder – und insbesondere bei häufigen Namen wie Thomas Schmidt. Dann geht die E-Mail mit schutzbedürftigen Daten vielleicht an den Schmid mit D am Ende statt an den mit DT.

Die Lösung: Weisen Sie Ihre Mitarbeiter an, die Autovervollständigung auszuschalten. Oder sensibilisieren Sie sie für das Problem.

Datenschutzfalle 2: Unverschlüsselte E-Mails

Das Problem: Manche Daten sind laut Artikel 9 Absatz 1 der DSGVO besonders schutzbedürftig: beispielsweise biometrische Daten, Gesundheitsdaten und Daten zur sexuellen Orientierung. „Wenn ich solche Daten per E-Mail verschicke, muss ich sie verschlüsseln“, sagt Pastars. E-Mails seien wie Postkarten, warnt der Experte: Sie können theoretisch von jedem gelesen werden, dem sie in die Finger fallen.

Schon der Vorgänger der DSGVO, das Bundesdatenschutzgesetz, schrieb in diesen Fällen die Verschlüsselung vor. Dennoch vernachlässigen viele Unternehmen diese Regel. „Das liegt vor allem am Aufwand und der mangelnden Akzeptanz auf der Empfängerseite“, sagt Pastars. Um verschlüsselte E-Mails lesen zu können, müssen Empfänger zum Beispiel ein Passwort eingeben. Weil viele Kunden das ablehnen, verzichten die Firmen auf die Verschlüsselung – und verstoßen damit gegen gesetzliche Auflagen.

Die Lösung: Die Landesdatenschutzbehörde NRW empfiehlt das Verschlüsselungsverfahren GPG. Es könne als zusätzliche Software (Plug-In) für die meisten Standard-E-Mail-Anwendungen installiert werden und sei zum Beispiel hier erhältlich.

Datenschutzfalle 3: Das Telefon

Das Problem: Ein Kunde ruft an und fragt, ob das Unternehmen seine korrekte Adresse gespeichert hat. Adressdaten telefonisch abzugleichen, sei laut Pastars üblich, datenschutzrechtlich aber schwierig: „Es müsste immer eine Identitätsprüfung durchgeführt werden.“ Natürlich gehe es nicht darum, vor jedem Kundengespräch die Identität zu prüfen. Gehe es aber um persönliche Daten, müsse man sicher sein, dass der Anrufer wirklich der ist, für den er sich ausgibt.

Die Lösung: Pastars schlägt vor, jedem Kunden beispielsweise eine PIN zu geben, mit der er sich eindeutig identifizieren kann – ähnlich wie bei einer EC-Karte. Oder aber Mitarbeiter fragen mehrere Identitätsmerkmale ab, etwa Name, Geburtsdatum oder Adresse.

Datenschutzfalle 4: Whatsapp

Das Problem: Whatsapp verstößt gegen die DSGVO, weil es automatisch auf alle Kontakte im Smartphone zugreift. Mehr dazu lesen Sie in unserem Artikel „Wie gefährlich ist Whatsapp auf dem Firmenhandy?“.

Die Lösung: Es gibt DSGVO-konforme Alternativen zu Whatsapp. Welche das sind, lesen Sie in unserem Artikel „7 datenschutzkonforme Whatsapp-Alternativen„.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaften - Rückenwind für Unternehmerinnen und Unternehmer

Datenschutzfalle 5: Öffentliche Geschäftsräume

Das Problem: Es gibt in vielen Unternehmen Bereiche, in denen Kunden ein- und ausgehen. Persönliche Daten haben hier nichts zu suchen oder müssen vor neugierigen Blicken geschützt werden. Zum Beispiel im Autohaus: Ein Verkäufer sitzt mit einem Kunden am Computer und konfiguriert einen Wagen. Auf seinem Schreibtisch liegt die Visitenkarte eines anderen Kunden samt seines Kaufvertrages. Auch das verstößt gegen die DSGVO.

Die Lösung: Bildschirme immer so stellen, dass Kunden sie nicht einsehen können. Und auf Schreibtischen in frei zugänglichen Bereichen keine Visitenkarten, Verträge oder Personalakten liegen lassen.

Datenschutzfalle 6: Der Papierkorb

Das Problem: Personalakten, Bewerbungen und ähnliche Dokumente darf man nicht einfach zerreißen und in den Mülleimer werfen. DIN 66399 gibt Sicherheitsstufen für verschiedene Arten von Daten vor: Personaldaten und Arbeitsverträge fallen demnach unter die Sicherheitsstufe 3 und müssen geschreddert werden – in einem Aktenvernichter nach DIN 66399.

Die Lösung: Der TÜV Süd liefert eine Schritt-für-Schritt-Anleitung, wie man die Sicherheitsstufe von Dokumenten herausfindet. Sollten Sie keinen Aktenvernichter haben, schaffen Sie fürs Büro einen mit DIN-66399-Standard an.

Datenschutzfalle 7: Fake-Mails

Das Problem: Online sind Datendiebe unterwegs. Ihr Einbruchswerkzeug: Fake-Mails, mit denen Sie sich Zugang zu Firmen-Computern verschaffen. „Aus Datenschutzsicht sind solche Fake-Mails bedenklich, wenn sie dazu aufrufen, Daten herauszurücken“, sagt Pastars.

Zum Beispiel: Ein Mitarbeiter wird in einer E-Mail aufgefordert, einen Link zu öffnen. Tut er das, installiert sich auf dem Rechner eine Schadsoftware, die den Rechner ausspioniert.

Die Lösung: Auch wenn Sie glauben, auf so eine billige Masche falle niemand mehr rein: Es passiert – auch weil die Mails sich mit Namen bekannter Firmen tarnen. Schulen Sie Ihre Mitarbeiter. Mehr dazu lesen Sie in unserem Artikel: „Phishing-E-Mails: So wappnen Sie Mitarbeiter gegen Cyber-Angriffe„.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Seit die Datenschutz-Grundverordnung (DSGVO) am 25. Mai in Kraft getreten ist, lauern sie überall: Datenschutzfallen. Denn die DSGVO verpflichtet Unternehmen noch restriktiver, personenbezogene Daten vor dem Zugriff Dritter zu schützen. In vielen Firmen hat sich deshalb Panik breitgemacht; manche schränken aus Furcht vor DSGVO-Strafen sogar ihre Online-Aktivitäten ein. Beim Bundesverband Digitale Wirtschaft e. V. sind es laut einer aktuellen Umfrage 43 Prozent. Der Datenschutzbeauftragte Fabio Pastars ist überzeugt, dass die Behörden vor allem große Datensammler wie Facebook und Google im Visier haben. Dennoch rät er zur Vorsicht: Kleine Unternehmen sollten sich nicht darauf verlassen, dass Verstöße unbemerkt bleiben. Oft schwärzten unzufriedene oder gekündigte Mitarbeiter Arbeitgeber anonym an. Oder aber Mitarbeiter tappen in Datenschutzfallen, ohne es zu merken. Zum Beispiel in diese: Datenschutzfalle 1: Autovervollständigung Das Problem: Tippt man die ersten Buchstaben eines Namens ins Adressfeld, schlagen manche Mailprogramme automatisch Adressen vor. Wer zu schnell auf Return drückt, schickt womöglich vertrauliche Daten an den falschen Empfänger. Laut Pastars passiere das vor allem unter Zeitdruck immer wieder - und insbesondere bei häufigen Namen wie Thomas Schmidt. Dann geht die E-Mail mit schutzbedürftigen Daten vielleicht an den Schmid mit D am Ende statt an den mit DT. Die Lösung: Weisen Sie Ihre Mitarbeiter an, die Autovervollständigung auszuschalten. Oder sensibilisieren Sie sie für das Problem. Datenschutzfalle 2: Unverschlüsselte E-Mails Das Problem: Manche Daten sind laut Artikel 9 Absatz 1 der DSGVO besonders schutzbedürftig: beispielsweise biometrische Daten, Gesundheitsdaten und Daten zur sexuellen Orientierung. "Wenn ich solche Daten per E-Mail verschicke, muss ich sie verschlüsseln", sagt Pastars. E-Mails seien wie Postkarten, warnt der Experte: Sie können theoretisch von jedem gelesen werden, dem sie in die Finger fallen. Schon der Vorgänger der DSGVO, das Bundesdatenschutzgesetz, schrieb in diesen Fällen die Verschlüsselung vor. Dennoch vernachlässigen viele Unternehmen diese Regel. "Das liegt vor allem am Aufwand und der mangelnden Akzeptanz auf der Empfängerseite", sagt Pastars. Um verschlüsselte E-Mails lesen zu können, müssen Empfänger zum Beispiel ein Passwort eingeben. Weil viele Kunden das ablehnen, verzichten die Firmen auf die Verschlüsselung - und verstoßen damit gegen gesetzliche Auflagen. Die Lösung: Die Landesdatenschutzbehörde NRW empfiehlt das Verschlüsselungsverfahren GPG. Es könne als zusätzliche Software (Plug-In) für die meisten Standard-E-Mail-Anwendungen installiert werden und sei zum Beispiel hier erhältlich. Datenschutzfalle 3: Das Telefon Das Problem: Ein Kunde ruft an und fragt, ob das Unternehmen seine korrekte Adresse gespeichert hat. Adressdaten telefonisch abzugleichen, sei laut Pastars üblich, datenschutzrechtlich aber schwierig: "Es müsste immer eine Identitätsprüfung durchgeführt werden." Natürlich gehe es nicht darum, vor jedem Kundengespräch die Identität zu prüfen. Gehe es aber um persönliche Daten, müsse man sicher sein, dass der Anrufer wirklich der ist, für den er sich ausgibt. Die Lösung: Pastars schlägt vor, jedem Kunden beispielsweise eine PIN zu geben, mit der er sich eindeutig identifizieren kann - ähnlich wie bei einer EC-Karte. Oder aber Mitarbeiter fragen mehrere Identitätsmerkmale ab, etwa Name, Geburtsdatum oder Adresse. Datenschutzfalle 4: Whatsapp Das Problem: Whatsapp verstößt gegen die DSGVO, weil es automatisch auf alle Kontakte im Smartphone zugreift. Mehr dazu lesen Sie in unserem Artikel "Wie gefährlich ist Whatsapp auf dem Firmenhandy?". Die Lösung: Es gibt DSGVO-konforme Alternativen zu Whatsapp. Welche das sind, lesen Sie in unserem Artikel "7 datenschutzkonforme Whatsapp-Alternativen". Datenschutzfalle 5: Öffentliche Geschäftsräume Das Problem: Es gibt in vielen Unternehmen Bereiche, in denen Kunden ein- und ausgehen. Persönliche Daten haben hier nichts zu suchen oder müssen vor neugierigen Blicken geschützt werden. Zum Beispiel im Autohaus: Ein Verkäufer sitzt mit einem Kunden am Computer und konfiguriert einen Wagen. Auf seinem Schreibtisch liegt die Visitenkarte eines anderen Kunden samt seines Kaufvertrages. Auch das verstößt gegen die DSGVO. Die Lösung: Bildschirme immer so stellen, dass Kunden sie nicht einsehen können. Und auf Schreibtischen in frei zugänglichen Bereichen keine Visitenkarten, Verträge oder Personalakten liegen lassen. Datenschutzfalle 6: Der Papierkorb Das Problem: Personalakten, Bewerbungen und ähnliche Dokumente darf man nicht einfach zerreißen und in den Mülleimer werfen. DIN 66399 gibt Sicherheitsstufen für verschiedene Arten von Daten vor: Personaldaten und Arbeitsverträge fallen demnach unter die Sicherheitsstufe 3 und müssen geschreddert werden - in einem Aktenvernichter nach DIN 66399. Die Lösung: Der TÜV Süd liefert eine Schritt-für-Schritt-Anleitung, wie man die Sicherheitsstufe von Dokumenten herausfindet. Sollten Sie keinen Aktenvernichter haben, schaffen Sie fürs Büro einen mit DIN-66399-Standard an. Datenschutzfalle 7: Fake-Mails Das Problem: Online sind Datendiebe unterwegs. Ihr Einbruchswerkzeug: Fake-Mails, mit denen Sie sich Zugang zu Firmen-Computern verschaffen. "Aus Datenschutzsicht sind solche Fake-Mails bedenklich, wenn sie dazu aufrufen, Daten herauszurücken", sagt Pastars. Zum Beispiel: Ein Mitarbeiter wird in einer E-Mail aufgefordert, einen Link zu öffnen. Tut er das, installiert sich auf dem Rechner eine Schadsoftware, die den Rechner ausspioniert. Die Lösung: Auch wenn Sie glauben, auf so eine billige Masche falle niemand mehr rein: Es passiert – auch weil die Mails sich mit Namen bekannter Firmen tarnen. Schulen Sie Ihre Mitarbeiter. Mehr dazu lesen Sie in unserem Artikel: "Phishing-E-Mails: So wappnen Sie Mitarbeiter gegen Cyber-Angriffe".