Aus Datenpannen lernen, nicht nur aus den eigenen
Kommt es zu einer Datenschutzverletzung, gilt es die Ursache zu finden und eine Wiederholung zu vermeiden. Es muss aber nicht erst eine Datenpanne im eigenen Unternehmen auftreten, um das zu tun.
.png)
Bild: Datenpanne/Teams
Die
Aufsichtsbehörden nennen viele Beispiele für Vorfälle, aus denen man lernen
kann und sollte.
Datenpannen sind kein abstraktes Risiko
Wenn in den Nachrichten über eine Datenschutzverletzung
berichtet wird, geht es meist um einen weltweit operierenden Konzern, von dem
Kundendaten millionenfach ungeschützt im Internet aufgetaucht sind. Kleine und
mittlere Unternehmen scheinen da nicht betroffen zu sein. Doch weit gefehlt:
Datenpannen passieren leider überall, in Unternehmen jeder Größe, in Behörden
und auch bei einzelnen Bürgerinnen und Bürgern. Die bekannten Großkonzerne
haben nur einen „höheren“ Nachrichtenwert und werden deshalb häufiger im
Fernsehen, im Radio und in den Zeitungen genannt.
Doch auch andere Datenschutzverletzungen können relevant sein
für das eigene Unternehmen und die eigene Person, denn man kann aus ihnen
lernen, wie genau gegen den Datenschutz verstoßen wurde, wie dies passieren
konnte und was geschehen muss, um dies in Zukunft oder an anderer Stelle zu
vermeiden. Aus Fehlern kann und sollte man lernen, das gilt auch im
Datenschutz!
Berichte der Datenschutzaufsichtsbehörden
bieten viele Beispiele
Nicht unbedingt in den Abendnachrichten lernt man die
Datenschutzvorfälle kennen, aus denen man für sich selbst etwas lernen kann,
sondern in den Berichten der Aufsichtsbehörden für den Datenschutz. Ein gutes
Beispiel ist der Bericht „Best of Datenschutz“, denn er enthält lebensnahe
Datenschutzfälle.
Veröffentlicht wird dieser Bericht vom Landesbeauftragten für
den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Doch auch alle
anderen Datenschutzaufsichtsbehörden berichten von Vorfällen im Datenschutz,
insbesondere in ihren Tätigkeitsberichten, die auf den Webseiten der
Aufsichtsbehörden zu finden sind.
Sicheres Löschen vor Rückgabe oder Weitergabe
von Geräten
Besonders wertvoll sind dabei Beispielvorfälle, die aus dem
Alltag stammen, aber nicht nur privat relevant sind, sondern auch aufzeigen,
wie man am Arbeitsplatz Datenpannen besser verhindern kann. Hierzu ein Beispiel
aus Rheinland-Pfalz: Eine Frau hatte in einem Elektronikmarkt eine
Virtual-Reality-Brille als Weihnachtsgeschenk für ihren Sohn erworben. Auf die
Bescherung folgte eine böse Überraschung, so die Datenschutzaufsicht: Mit dem
Gerät waren bereits Facebook- und Instagram-Konten verknüpft – mit personenbezogenen
Daten und vermutlich wenig kindgerechten Inhalten. Ein anderer Kunde hatte die
Virtual-Reality-Brille zuvor gekauft, ausprobiert und innerhalb der
Widerrufsfrist zurückgegeben. Im Vorweihnachtsstress hatte ein Mitarbeiter des
Elektronikgeschäfts vergessen, die auf dem Gerät gespeicherten Daten des ersten
Kunden vor dem Wiederverkauf zu löschen.
Dabei muss es keine VR-Brille und kein Weihnachtsgeschäft
sein, Datenpannen dieser Art passieren auch häufig in Unternehmen. Zum Beispiel
werden Festplatten oder ganze Computer ausgemustert und dann verschenkt oder
für den Weiterverkauf vorgesehen. Wird vergessen, die darauf befindlichen Daten
sicher zu löschen, dann werden mit den Geräten auch vertrauliche Daten an
Dritte ungewollt weitergegeben oder verkauft. Eine sichere Datenlöschung vor
dem Recycling, der Weitergabe oder dem Verkauf von Altgeräten ist Pflicht!
Vertrauliches ist nicht für fremde Ohren
Die Datenschutzaufsicht berichtet von weiteren Vorfällen, die
auch im eigenen beruflichen Alltag passieren können: Weil eine Bankberaterin
ein Beratungstelefonat nicht in einem separaten Büro, sondern im öffentlichen
Schalterraum geführt hatte, waren sensible Informationen zu den Vermögenswerten
und den Lebensplänen einer Kundin in unbefugte Ohren gelangt. Vertrauliche
Gespräche im öffentlichen Bereich finden aber nicht nur in diesem genannten
Schalterraum einer Bank statt.
In Arztpraxen, bei Behörden, in der Kantine eines
Unternehmens, aber auch im Frühstücksraum des Hotels bei der Dienstreise, im
Zug oder im Wartebereich am Flughafen: Es gibt viele Situationen, in denen
private und vertrauliche Gespräche und Informationen in fremde Ohren gelangen
können. Es reicht also nicht, zum Beispiel den Bildschirm des Notebooks im Zug
vor ungewollten Einblicken Dritter zu schützen. Auch bei Telefonaten und
anderen Gesprächen muss die Vertraulichkeit gewahrt werden. Hier hilft auch keine
Blickschutzfolie, wie dies für Notebooks angeboten wird. Hier sind wir Menschen
selbst gefragt. Was nicht für Dritte bestimmt ist, sollte in deren Anwesenheit
auch nicht erzählt werden.
Fragen Sie Ihren Datenschutzbeauftragten nach weiteren
Beispielen und nach dem Tätigkeitsbericht der zuständigen Aufsichtsbehörde. Man
kann sehr viel daraus lernen!
Benötigen Sie dennoch Hilfe? Kein Problem!
Das könnte Sie auch interessieren:
- 09.01.2024: Spielregeln für den Umgang mit Datenpannen
