Datenschutz bei Nutzung von Informationskanälen

Datenschutz bei Nutzung von Informationskanälen

Je größer eine Einrichtung, ein Unternehmen, eine Arztpraxis, ein Verein o. Ä. ist, desto wichtiger ist es, Neuigkeiten, Anweisungen oder sonstige Informationen effizient zu vermitteln. Um dies zu erreichen, gibt es zahlreiche Informationskanäle. Wie wir uns das vorstellen können und worauf beim Datenschutz bei Nutzung von Informationskanälen zu achten ist, betrachten wir in diesem Beitrag näher.

Mögliche Informationskanäle

Wenn wir von Informationskanälen sprechen, meinen wir u. a. folgende:

1) interner E-Mail-Versand,

2) Intranet,

3) Veröffentlichungen auf der Internetseite,

4) Veröffentlichungen über soziale Medien,

5) Newsletter-Versand,

6) Messenger-Dienste,

7) interne Aushänge (mehr dazu auch hier) oder auch der

8) postalischer Versand von Informationen etc.

Datenschutzmaßnahmen

In Zeiten der Digitalisierung überwiegt der Versand über digitale Kanäle beispielsweise den postalischen. Da es dabei zu einer umfangreichen Verarbeitung personenbezogener Daten kommen kann, ist es umso relevanter, entsprechende Maßnahmen zum Schutz und zur Sicherheit dieser implementiert zu haben.

Um also eine unbefugte Verarbeitung von personenbezogenen Daten möglichst zu vermeiden, bieten sich speziell folgende Maßnahmen an:

Empfängergruppen beim E-Mail-Versand

Beim E-Mail-Versand ist die Fehlerquote aufgrund menschlicher Versehen weiterhin hoch. Oft nutzen Versender versehentlich das Hauptadress- oder CC-Feld anstelle des BCC-Feldes, um die E-Mail-Adressen von Empfängern einzutragen. Dabei kann es zur unbeabsichtigten unbefugten Offenbarung personenbezogener Daten (E-Mail-Adressen) kommen, da jeder Empfänger dann die E-Mail-Adressen der anderen Personen sehen kann.

Eine weitere Schwachstelle hierbei besteht darin, dass der Versender die E-Mail-Adresse nicht komplett manuell eingibt, sondern gern auch die ersten Buchstaben eingibt und mit der „Enter“-Taste automatisch ergänzt. Dabei kann es sein, dass eine empfangsunberechtigte Person Empfänger der jeweiligen E-Mail und des Inhaltes wird – nur, weil sie vielleicht mindestens zum Teil den gleichen Namen wie der eigentliche Empfänger hat.

Eine Lösung dieses Problems kann sein, E-Mail-Gruppen zu erstellen. Diese Gruppe kann einen einleuchtenden Namen haben, wie beispielsweise „Datenschutz-Newsletter“, in dem all die Personen eingetragen sind, die zum Thema Datenschutz informiert werden möchten. So kann ein Verantwortlicher auch möglichst vermeiden, dass interne E-Mails nach außen gelangen.

Newsletter-Dienste

Ein Verantwortlicher kann Fehlerquellen reduzieren, indem er einen Newsletter-Versanddienst nutzt. Dies hat auch den Vorteil, dass Newsletter-Anmeldungen automatisch vorgenommen werden. Genauso intuitiv sind dabei die Schritte bei der Newsletter-Vorbereitung und beim -Versand.

Kontrolle und Begrenzung der Zugriffsrechte

Entscheidet sich ein Unternehmen, eine Einrichtung, eine Arztpraxis o. A. dafür, relevante Informationen über das Intranet zu veröffentlichen, ist sicherzustellen, dass nicht jede beliebige Person, die eventuell versehentlich auf die jeweilige Seite stößt, auf den Inhalt zugreifen kann.

Genaue Abwägung bei Veröffentlichung personenbezogener Daten

Je nachdem, um welche Art von Veröffentlichung es sich handelt, also beispielsweise von Mitarbeiterinformationen im Intranet oder Kontaktinformationen der Recruitment-Abteilungsleitung auf der Webseite, ist die Rechtsgrundlage genau abzuwägen. Folglich wären mögliche Überlegungen, was der Zweck der Veröffentlichung von personenbezogenen Daten ist. Die Veröffentlichung von Mitarbeiterdaten im Intranet kann einerseits dem kollegialen Miteinander dienen. In diesem Fall wäre die Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO des jeweiligen Mitarbeiters einzuholen. Andererseits kann es sich aber auch um für die Arbeit und firmeninterne Prozesse wichtige Mitteilungen handeln. In diesem Fall besteht entweder ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO des Verantwortlichen in der Kommunikation dieser Information. Es kann aber auch sein, dass Art. 6 Abs. 1 lit. b) DSGVO einschlägig ist (Verarbeitung von personenbezogenen Daten im Zuge der Durchführung eines Beschäftigungsverhältnisses).

Dokumentation der Datenschutz- und sicherheitsmaßnahmen

Hat ein Verantwortlicher entschieden, welche technischen und organisatorischen Maßnahmen – die oben genannten sind natürlich nicht abschließend – er zum Schutz der Verarbeitung von personenbezogenen Daten bei Nutzung der jeweiligen Informationskanäle implementiert, muss er die umgesetzten dokumentieren. Darauf weist Art. 5 Abs. 2 DSGVO hin. – Zum Thema der Nachweispflicht eines Verantwortlichen haben wir uns in diesem Beitrag näher beschäftigt. –

Den Datenschutz betreffende Dokumente

Darüber hinaus sind weitere Datenschutzdokumente zu erstellen oder zu ergänzen. Es ist notwendig, die betroffenen Personen mithilfe der Datenschutzinformationen über die Verarbeitung zu unterrichten. Das Verzeichnis von Verarbeitungstätigkeiten muss die entsprechenden Details zum Verarbeitungsprozess enthalten. Kommen externe Dienstleister zum Einsatz, muss ein Verantwortlicher untersuchen, inwiefern eine Auftragsverarbeitung oder vielleicht sogar eine gemeinsame Verantwortlichkeit nach vorliegt. Beruht die Rechtmäßigkeit einer Verarbeitung auf einer Einwilligung, empfehlen wir, schriftliche Einwilligungen einzuholen.

Richtlinien

Auch ist es hier wichtig, in den entsprechende Richtlinien Vorgaben zu machen, sodass die Beschäftigten, zu deren Aufgabe die Veröffentlichung bzw. der Versand von Informationen über den jeweiligen Informationskanal gehört, wissen, wie sie sich verhalten sollen, welche Prozesse es gibt, welche Informationskanäle (Dienste) genutzt werden dürfen etc.

Grundsätze der Verarbeitung

Prozesse müssen datenschutzkonform und in Einklang mit den Grundsätzen zur Verarbeitung personenbezogener Daten gestaltet sein. Im Zuge der Einhaltung dieser ist also zu beachten, dass nur die Daten veröffentlicht werden, die notwendig sind oder für die die Einwilligung erteilt worden ist. Wird dann eine Einwilligung widerrufen oder fällt der Verarbeitungszweck weg, ist es wichtig, die Daten zu löschen. Das bedeutet dann auch, u. a. in den sozialen Medien nachzusehen, inwiefern dort entsprechende frühere Veröffentlichungen zu löschen sind.

Des Weiteren dürfen natürlich zusätzliche Dokumente wie Lösch- und Berechtigungskonzepte nicht fehlen.

Fazit

Den Datenschutz im Auge zu behalten ist also auch bei der Nutzung von Informationskanälen wichtig. Einen Verantwortlichen dabei zu unterstützen, zu beraten und auf mögliche Problematiken hinzuweisen ist Aufgabe eines Datenschutzbeauftragten. – Diese Funktion übernehmen wir bei Ihnen gern. Kontaktieren Sie uns gern für ein unverbindliches Angebot. – Hält ein Verantwortlicher dann die Vorgaben der DSGVO ein, kann er Bußgelder, Abmahnungen und Schadenersatzansprüche vermeiden.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.