Ein paar kurze Anmerkungen zum 35 Mio. EUR #DSGVO Bußgeld gegen H&M - und wie man gleichartige Risiken im eigenen Unternehmen verhindert.

juve.de/nachrichten/ve…
Wer (wie ich) früher in Aushilfsjobs in Handel und Produktion gearbeitet hat, weiß, dass der Führungsstil dort manchmal sehr rauh sein kann. Das spiegelt sich natürlich auch in der Art, wie und welche Daten die Führungskräfte über ihre Mitarbeiter einspeichern.
Aus Sicht der Datenschutzabteilung eines solchen Unternehmens heißt dies: Achtung, hier gibt es ein strukturelles Risiko, dass Führungskräfte personenbezogene Daten einspeichern, für die es keine Rechtsgrundlage gibt (nach Art. 6 und 9 DSGVO bzw. § 26 BDSG).
Dieses Risiko erhöht sich dadurch, dass viele Führungskräfte zur Datenverarbeitung über ihre Mitarbeiter nicht die "offiziellen" Personal-IT-Systeme nutzen, weil sie diese als veraltet und zu restriktiv empfinden.
Statt dessen benutzen diese Mitarbeiter Eigenlösungen, die in der Regel aus Word- oder Excel-Dateien bestehen, die auf dem Microsoft Sharepoint des Unternehmens abgelegt werden.

Die Datenschutzabteilung erfährt davon i.d.R. nichts, weil es die Dateien offiziell gar nicht gibt.
Aus DSGVO-Sicht ist das der GAU:

1) Daten ohne Rechtsgrundlage (Art. 6+9 verletzt)
2) Keine Transparenz (Art. 13/14 verletzt)
3) Keine oder unzureichende Zugriffsbeschränkungen (Art. 5 I c), 24 und 32 verletzt)
4) Keine angemessen Datensicherheit (Art. 32 verletzt)
5) Keine Löschfristen (Art. 5 I e) verletzt)
6) Nicht dokumentiert im Verarbeitungsverzeichnis (Art. 30 und 24 verletzt)
7) Datenschutzbeauftragter nicht informiert (Art. 38 verletzt)
... etc.
Was also können Unternehmen tun, um derartige Risiken zu vermeiden?

In erster Linie: Durch gut gemachte und zielgruppengerechte Datenschutz-Schulungen.

Ich spreche nicht von Online-Trainings, durch die Mitarbeiter sich gelangweilt "durchklicken", sondern von Präsenzworkshops.
Eine gute Datenschutzschulung für Nichtjuristen erklärt nicht die Rechtslage, sondern Grundlagen und Prinzipien. Worum geht es? Wessen Interessen soll der Datenschutz schützen? Wer das verstanden hat, versteht auch, warum solche Sharepoint-"Parallel-Personalakten" nicht OK sind.
Ich sage bei solchen Schulungen i.d.R.: "Entwickeln Sie ein Bauchgefühl. Wenn Ihnen etwas komisch vorkommt, fragen Sie die Datenschutzabteilung".

In der Regel kommen dann direkt eine Reihe von "Bauchgefühl"-Fragen, bei denen wir live vor Ort Compliance-Probleme aufdecken.
... Und zwar durchaus auch solche, die Bußgelder in zweistelliger Millionenhöhe auslösen können - wenn nicht die Datenschutz-Schulung sie aufdeckt, sondern ein Whistleblower.

Für die Datenschutzabteilungen heißt das: "Rausgehen" in die Abteilungen, mit am Tisch sitzen, schulen.
Im Übrigen auch noch wichtig:

1) Ein möglichst gutes Datenschutz-Management-System mit niedriger Aufgreifschwelle (z.B. über schnell ausfüllbare Fragebögen) - und lieber einmal zu viel als einmal zu wenig nachfragen.
2) Förderung einer Compliance-Kultur im Unternehmen - also einer Kultur die das Befolgen von Regeln nicht als "lästig" oder "nervig" erscheinen lässt. Das betrifft nicht nur, aber gerade auch den Datenschutz.
3) Spezielle Mechanismen zum Behandeln *aller* Datenverarbeitungssysteme, die Freitextfelder haben und dadurch unstrukturierte Datenerfassung ermöglichen. Das betrifft nicht nur die Kombinatation Sharepoint+Word/Excel, aber gerade dort sehe ich in der Praxis die meisten Probleme.
tl;dr:
- Fälle wie der H&M-Fall sind in der Praxis viel häufiger als mancher glauben mag
- Gut gemachte Datenschutz-Schulungen sind ein essenzieller Teil der Datenschutzcompliance
- Die Datenschutzabteilung muss "rausgehen" zu den Mitarbeitern und mit am Tisch sitzen
- Das Datenschutzmanagement-System im Unternehmen muss "versteckte" Datenverarbeitung erkennen können
- Freitextfelder und andere Arten von unstrukturierter Datenerfassung sind aus Datenschutz-Sicht ein hohes Risiko. Auf dieses Risiko muss das Datenschutzmanagement reagieren.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Simon Assion

Simon Assion Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @sas_assion

26 Aug
Der LfDI BW hat vorgestern eine Orientierungshilfe zum Umgang mit #SchremsII veröffentlicht. Ich bin wirklich dankbar für jedes belastbare Statement der Datenschutzbehörden, habe dazu aber ein paar kurze Anmerkungen (Thread).

baden-wuerttemberg.datenschutz.de/wp-content/upl…
Allgemein (nicht nur hier) würde ich mir wünschen, dass i.S. SchremsII mehr differenziert wird.

Der Fall, den der EuGH entschied, betraf Daten zum Privatleben von sehr vielen Personen und Fälle, in denen ein Zugriff von US-Sicherheitsbehörden durchaus wahrscheinlich ist.
Die typischen Fälle von Drittlandübermittlungen sind aber andere.

Das sind Fälle wie "unser 3rd level-Support sitzt in den USA, und manchmal muss er sich auf Produktivsysteme aufschalten".

Oder: "unsere zentrale Personalverwaltung sitzt in den USA".
Read 25 tweets
18 Aug
Kurzer Hinweis dazu, wie eine (stärker) zentralisierte Datenschutzaufsicht in Deutschland aussehen könnte.

Es gibt dort eine interessante Parallele zum Rundfunk-, bzw. Medienrecht, die vielleicht nicht jedem Datenschutzjuristen bekannt ist. (Thread)
Die Aufsichtsbehörden für den privaten Rundfunk (sowie über weitere Akteure rund um Rundfunk- und Medienverbreitung, Stichwort #Medienstaatsvertrag) sind die Landesmedienanstalten. Dies sind staatsfern organisierte Landesbehörden mit speziellem Aufgabenbereich.
Genau wie auch beim Datenschutz stellte sich auch im Rundfunkrecht die Frage: Wie kann eine Aufsicht organisiert werden, die zwar aus sachlichen Gründen bundeseinheitlich erfolgen muss - der Rundfunk macht nicht an Landesgrenzen halt - aber trotzdem bei den Ländern bleiben soll?
Read 15 tweets
5 Aug
Da sich in letzter Zeit zunehmend Statements von Datenschutzbehörden und Gerichten häufen, die zu Sachverhalten Stellung nehmen, die (auch) vom TK-Recht geprägt sind, hier einmal ein kurzer Abriss zu den Zusammenhängen und Unterschieden.
Das Telekommunikationsgeheimnis (bzw. auf EU-Ebene: das Recht auf Vertraulichkeit der Kommunikation) ist ein Rechtsgut, das im demselben Rang steht wie der Datenschutz und davon unabhängig ist. Historisch ist es älter, geht auf das Briefgeheimnis zurück. de.wikipedia.org/wiki/Briefgehe…
Heute sind die beiden Rechtsgüter jeweils eigenständig verankert.

TK-Geheimnis:
- 🇪🇺: Art. 7 EU-GrCh / Art. 5-10 ePrivacy-RL
- 🇩🇪: Art. 10 GG / Art. 88 TKG

Datenschutz:

- 🇪🇺: Art. 8 EU-GrCh / DSGVO
- 🇩🇪: Art. 1 I, 2 I GG, Datenschutzgesetze
Read 28 tweets
16 Jul
A few quick comments on today´s CJEU ruling on Schrems II.

First of all, I stand corrected: This is a ground-breaking decision, and probably the most important data protection decision of this year.
The court decision deals with two major topics:

1) The validity, interpretation and enforcement of Standard Contractual Clauses (SCC)

2) The validity of the EU/US Privacy Shield
1) The first topic is the validity and interpretation of the SCCs.

With respect to the validity, the CJEU holds that the SCCs are valid. SCCs *can* be invalid if they do not provide "effective mechanisms" against inadequate data transfers. However, this is not the case here.
Read 31 tweets
6 Jul
Einige kurze Anmerkungen zur BGH #Planet49-Entscheidung, deren Volltext vergangenen Samstag veröffentlicht wurde.
1) Zu sog. "nudging":

Der BGH äußert sich recht ausführlich zur Verteilung von Einwilligungs-Informationen auf zwei "Schichten" einer Schaltfläche. Im konkreten Fall wurden dort nicht nur Informationen verteilt, sondern auch ein Opt-in vs Opt-out-Mechanismus.
Der BGH sagt nun :

Eine Einwilligung ist eine unwirksame Pauschaleinwilligung, wenn:

- Informationen, die die Einwilligung hinreichend konkret machen, nur in einem "aufwendigen Verfahren" erreichbar sind,
- bzw. die Verbraucher sie "regelmäßig" nicht zur Kenntnis nehmen. Image
Read 21 tweets
26 May
Kurzer Service-Tread für alle aus dem #TeamDatenschutz, die sich gerade mit der datenschutzrechtlichen Zulässigkeit von Abwehrmaßnahmen gegen #COVID19de beschäftigen:
Seit November 2019 gibt es neu den § 22 Abs. 1 Nr. 1 d) BDSG. Dieser nutzt die Öffnungsklausel des Art. 9 Abs. 2 g) DSGVO und kann für Corona-Abwehrmaßnahmen grds. als RGL herangezogen werden.
Die Vorschrift ist mit dem Zweiten Datenschutzanpassungsgesetz im November 2019 explizit zum Zweck der Pandemiebekämpfung auch für private Unternehmen geöffnet worden. Hier ein Auszug aus der Gesetzesbegründung: dipbt.bundestag.de/dip21/btd/19/0…
Read 9 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!