insider Ausgabe 02/20 Online

gelmäßig ändern – ein sicheres Kennwort besteht aus acht bis zwölf Zeichen in Groß- und Kleinschreibung und enthält sowohl Buchstaben als auch Ziffern und Sonderzeichen. Glei- ches gilt auch für den Schutz von Diensthandys, die sich eben- falls mithilfe eines Passworts statt einer kurzen Zahlenkombi- nation oder eines einfachen Wischmusters schützen lassen. Bei der Nutzung von Diensthandys sind auch Messenger- dienste problematisch. Die deutschen Aufsichtsbehörden für Datenschutz erachten viele von ihnen, darunter WhatsApp, als nicht datenschutzkonform. Manche Dienste haben nicht nur Zugriff auf alle in einem Smartphone gespeicherten Te- lefonnummern und Kontaktdetails, sondern übermitteln sie zusätzlich in Drittländer. Wer auf Kurznachrichten nicht ver- zichten möchte, kann auf andere datenschutzkonforme Apps zurückgreifen oder SMS versenden. Datenschutzkonforme Unternehmenswebsites Auch Unternehmenswebsites müssen den aktuellen Bestim- mungen entsprechen. Um eine Website gesetzeskonform zu gestalten, reicht es nicht aus, eine allgemeine Datenschutzer- klärung irgendwo zu kopieren oder automatisiert generieren zu lassen und dann zu veröffentlichen. Jede Website besitzt nämlich eine individuelle Struktur und verwendet unter- schiedliche Plug-ins oder Cookies. Da den Aufsichtsbehörden zufolge bereits IP-Adressen als personenbezogene Daten gelten, benötigt jede Website, die diese speichert, eine Da- tenschutzerklärung. Mit deren Veröffentlichung auf der Web- site kommen Betreiber ihrer Informationspflicht nach – aber nur bei korrekter Formulierung. Nutzer müssen anhand dieser Erklärung nachvollziehen können, welche ihrer personenbe- zogenen Daten verarbeitet werden, und es gilt, sie in „klarer und einfacher Sprache“ zu verfassen und darüber hinaus noch in „präziser, transparenter, verständlicher und leicht zu- gänglicher Form“ zur Verfügung zu stellen. Zudem darf die Datenschutzerklärung kein Bestandteil des Impressums sein, wenn hier keine eindeutige Kennzeichnung erfolgt. Darüber hinaus muss die Erklärung Details der Be- troffenenrechte umfassen. Dazu zählen u. a. das Beschwer- derecht und das Recht auf Widerruf. Besteht die Absicht, die Daten in Drittstaaten zu übertragen, muss auch darüber eine Aufklärung erfolgen. Seit Oktober 2019 ist auch der Einsatz von Cookies nur dann erlaubt, wenn sie für den technischen Betrieb von Websites erforderlich sind. Alle anderen Cookies benötigen eine Einwilligung des Nutzers. Diese Einwilligung muss aufgrund einer eindeutigen, aktiven Handlung der be- treffenden Person erfolgen. Darüber hinaus ist es notwendig, über Datenverarbeitung und Speicherdauer zu informieren. Außerdem muss der Nutzer jederzeit die Möglichkeit haben, die Einwilligung zu widerrufen. Mögliche Bußgelder Halten Unternehmen diese Vorgaben nicht ein, können Sank- tionen folgen. Diese sollen grundsätzlich bewirken, dass sich Unternehmen an die DSGVO halten und sich mit ihr ausei- nandersetzen. Oft erfolgen zunächst Mahnungen und even- tuell verhängte Strafen müssen verhältnismäßig sein – nach Artikel 83 der DSGVO sind diesbezüglich bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweit erzielten Jahresum- satzes möglich. Sanktionen und die Höhe der Strafgelder rich- ten sich nach der Art der Verstöße. Es spielt z. B. eine Rolle, wie viele Personen die Datenschutzverletzung betrifft, ob das Unternehmen absichtlich handelte oder ob sich die Firma kooperativ verhält. Erhalten Unternehmen eine Anfrage ihrer Datenschutzbehörde, sollten sie den Beistand eines Experten ersuchen. Meist beginnt eine Untersuchung damit, dass Unternehmen einen mehrseitigen Fragebogen zugesendet bekommen, den die Mitarbeiter häufig eher arglos ausfüllen – sie kopieren z. B. die entsprechenden Antworten und Daten aus dem Internet. Eine solch unbedachte Vorgehensweise fällt den Aufsichts- behörden sofort auf und kann im Zweifelsfall kostspielige Fol- gen für Unternehmen haben. Außerdem lassen sich Daten- schutzverletzungen durch einfache Maßnahmen, bei denen Experten helfen können, vermeiden, sodass auch dem ord- nungsgemäßen Austausch mit den Behörden nichts imWege steht. << 65 Haye Hösel Zertifizierter Datenschutzbeauftragter, Inhaber und Gründer der HUBIT Datenschutz GmbH & Co. KG E-Mail: info@hubit.de Telefon: +49 421 331 14 300