1) Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!

Die DSGVO sieht in Artikel 83 vor, dass Unternehmen als Ganzes dafür haften, wenn Beschäftigte – also nicht nur Führungspersonen – gegen den Datenschutz verstoßen, solange es sich nicht um einen Exzess handelt. Das deutsche Recht ist zwar noch nicht an diese europäische Regelung angepasst; da EU-Recht hier aber Vorrang hat, gilt diese Regel dennoch. 

Freiheit und Sicherheit werden oft als zwei große Gegensätze unserer Zeit dargestellt. Man will sich natürlich sicher fühlen, aber dabei auch nicht zu sehr eingeschränkt werden. Aktuelle Beispiele liefern gerade zwei Gesetzentwürfe bzw. Gedankenspiele aus dem Justiz- und dem Innenministerium: Es geht um eine mögliche Pflicht von Online-Diensten, Passwörter von mutmaßlichen Kriminellen herauszugeben sowie flächendeckende Gesichtserkennungs-Software, die z.B. in den USA schon weit verbreitet ist: Der Dienst „Clearview“ ermöglicht dort, Straftäter in einer drei Billionen Bilder umfassenden Datenbank in Minuten ausfindig zu machen.

Cyberkriminelle sind heutzutage weniger direkt auf Geld aus als auf Kundendaten – denn die sind wertvoller, da sie teuer auf dem Schwarzmarkt oder an Wettbewerber verkauft werden können. Angriffspunkt sind meist die Vertriebsabteilungen, weil sie die menschliche und digitale Schnittstelle sind. Schon jede dritte kleine und mittelständische Firma hat Cyberangriffe erlebt. Natürlich stehen die Big Player im Fokus, aber kleine Unternehmen sollten die Gefahr keinesfalls unterschätzen! Besonders gefährdet sind die Automobil- und Transportbranche sowie Firmen im Bereich Pharma und Gesundheit.

Natürlich haben Arbeitgeber ein Interesse an ehrlichen Mitarbeitern. „Vertrauen ist gut, Kontrolle ist besser“, weiß der Volksmund. Wie weit darf man dabei als Arbeitgeber gehen? Schließlich stellt jede Kontrolle einen Eingriff ins Persönlichkeitsrecht des Mitarbeiters nach dem Bundesdatenschutzgesetz dar.

Derzeit bestimmt das Corona-Virus SARS-CoV-2 und die daraus resultierende Lungenkrankheit CoViD-19 unseren Alltag in nie gekanntem Ausmaß. Auch im Bereich Datenschutz wirft diese Krise allerlei Fragen auf. Diese lassen sich grob kategorisieren in zwei Bereiche: Maßnahmen zur Eindämmung der Pandemie und Maßnahmen zum Datenschutz im Home-Office.

Weiterhin dominiert das Corona-Virus unseren Alltag und wirft zahlreiche, auch datenschutzrechtliche Fragen auf – z.B. wie viele Daten bei Anträgen auf Soforthilfe auch durch private Unternehmen erfasst werden, um Phishing zu verhindern oder ob Gesundheitsämter die Daten von Corona-Infizierten an die Polizei weitergeben dürfen.

Nach und nach gewöhnt man sich an die neue Normalität mit Abstands- und Hygieneregeln. Damit endet nun spätestens jetzt die Zeit, in der beim Datenschutz aufgrund der außergewöhnlichen CoViD-19-Pandemie alle Augen zugedrückt werden konnten. Auch die Aufsichtsbehörden arbeiten inzwischen wieder normal. Die DSGVO gilt nach wie vor und hat gerade ihren zweiten Geburtstag gefeiert. Auch wenn kürzlich von diversen Verbänden Lockerungen beim Datenschutz während der Corona-Pandemie gefordert wurden, sieht es danach derzeit noch nicht aus.

Für die heutige Überschrift habe ich eine Weile gegrübelt, wie sich die aktuellen Kurzmeldungen am Anfang und das Hauptthema „Datenschutz bei der Kommunikation zwischen Arztpraxis und Patient“ unter einen Hut bringen lassen. Dabei schlummerte das Stichwort „Security by Design“ schon lange im Text. Was es damit auf sich hat, erfahren Sie gleich. Schauen wir uns aber zunächst einige Negativ-Beispiele an, wo (Daten-) Sicherheit eben offenbar nicht von Anfang an mitgedacht wurde.

Wenn Sie im August einen neuen Personalausweis beantragt haben, haben Sie es vielleicht schon bemerkt: Ab sofort muss man beim Einwohnermeldeamt verpflichtend seine Fingerabdrücke abgeben – sie werden dann zusammen mit einem digitalen Foto auf einem Chip im Personalausweis gespeichert. Bisher war die Abgabe der Fingerabdrücke freiwillig, nun ist sie für die beiden Zeigefinger Pflicht.

„99 Prozent der Probleme sitzen vor dem Computer.“ – den Satz haben sie bestimmt schon mal von IT-Leuten gehört. Und es stimmt: Ihr Datenschutz kann noch so gut sein – wenn Mitarbeiter*innen und Kolleg*innen ihn, meist sogar unwissentlich, hintertreiben, dann bringt er leider auch nichts. Daher muss Datenschutz immer einhergehen mit sogenannter „Security Awareness“, um die Sicherheitslücke Mensch möglichst klein zu halten. Es gilt, die eigenen Angestellten für Gefahren und Risiken wie Datenklau, Hackerangriffe oder Industriespionage zu sensibilisieren.

Haben auch Sie einen eigenen Newsletter? Damit sind nicht alleine: Der mittlerweile klassische Weg des Marketings ist wohl die E-Mail: In einer aktuellen Studie des Deutschen Dialogmarketing-Verbands gaben sagenhafte 98 Prozent der befragten Unternehmen an, E-Mail-Marketing einzusetzen, um regelmäßig mit Kunden und Interessenten in Kontakt zu treten. Das ist, eventuell coronabedingt, nochmal eine Steigerung um drei Prozent im Vergleich zum Vorjahr. E-Mails sind zweifelsohne eines der wichtigsten Marketing-Instrumente von Unternehmen.