Deutschland sucht das Datenleck: So gelingt Unternehmen die Digitalisierung
Die Coronavirus-Pandemie zwingt Unternehmen in aller Welt, ihre Digitalisierungsbemühungen zu verstärken. Dabei haben viele von ihnen Lücken in ihren Prozessen und im Datenschutz festgestellt. Ein Risiko für Dich und Deine Kunden.
Kein Mut zur Lücke
Frühjahr 2020: Nachdem die Coronavirus-Pandemie sich über den ganzen Erdball ausbreitete, zogen mehr und mehr Unternehmen die Reißleine. Wie der Branchenverband Bitkom berichtet, arbeitete knapp die Hälfte der Deutschen (49 Prozent) von zu Hause aus. Für ein knappes Fünftel (18 Prozent) war das ein Novum, sie durften vorher nicht vom Homeoffice aus arbeiten. Digitale Lösungen rückten bei vielen Unternehmen in den Vordergrund. „Gleichzeitig spüren wir schmerzhaft, in welchen Lebensbereichen – etwa in der Bildung oder der Medizin – wir zu nachlässig bei der Einführung digitaler Lösungen waren“, sagte Bitkom-Präsident Achim Berg in einer Pressemeldung.
Cyber-Versicherungen im Kommen
Wann die große Homeoffice-Phase offiziell endet, ist derzeit nicht klar. Zwar gibt es weltweit Bemühungen, wieder in alte Muster zu verfallen, doch es steht bereits fest, dass die Krise das Arbeitsleben unwiderruflich verändert hat. Unternehmen wie Google entschieden sich bereits dazu, das Homeoffice als gängige Arbeitsform auf längere Zeit beizubehalten. Für Unternehmen, die sich zusätzlich absichern wollen, eignen sich Cyber-Versicherungen. Nico Streker, Geschäftsführer von ASSPICK-Versicherungsmakler, prognostizierte im persönlichen Interview eine steigende Beliebtheit der Cyberversicherung. Eine Entwicklung, die eine neue Umfrage von Assekurata nun bestätigte. Deutschlandweit stellen Unternehmen sich also den Lücken in ihren digitalen Infrastrukturen. Doch um welche handelt es sich dabei? Die Gothaer hat beim Juristen und Datenschutzprofi Bartlomiej Zornik von der Kanzlei van Velzen nachgefragt.
Bartlomiej Zornik: Zu Beginn der Krise war der Datenschutz nach unserer Erfahrung eher ein Thema mit niedriger Priorität. Erst nach den ersten Wiedereröffnungen von Lokalen und der Lockerung von Corona-Maßnahmen haben sich die ersten Personen und Unternehmen mit dem Datenschutz befasst. Angesichts dessen, dass es diesbezüglich durchaus noch Lücken gibt, halte ich das für nachlässig.
Gothaer: Von wo kam denn das meiste Interesse?
Bartlomiej Zornik: Bemerkenswert war die Zahl der Anfragen, die wir von Unternehmen bekommen haben, die ins Onlinegeschäft einsteigen wollten.
Bartlomiej Zornik: Für viele Unternehmen war die Schließung der klassischen Geschäftsräume ein Weckruf, um etwas umzustellen. In nahezu allen Fällen unterschätzten sie die Fülle an Regelungen, die zum Beispiel mit dem Einstieg in einen Online-Shop zu beachten sind. Besonders wichtig ist es, die Allgemeinen Geschäftsbedingungen anzupassen. Weiterhin müssen Unternehmen im Zuge zunehmender Digitalisierung ihres Geschäfts die Datenschutzerklärung ergänzen. Und letztendlich kommen sie nicht umhin, sich mit neuen Technologien und Prozessen auseinanderzusetzen.
Gothaer: Oder sie lassen die Anpassungen von einem Online-Service durchführen. Davon gibt es ja auch einige.
„Professionelle Hilfe von Anwälten und Webdesignern ist ein Rettungsring.“
Bartlomiej Zornik: Davon rate ich stark ab. Natürlich gibt es Online-Services, die „schnelle und kostengünstige“ Lösungen anbieten, aber auf lange Sicht ist die professionelle Hilfe von Anwälten und Webdesignern ein wahrer Rettungsring. Und außerdem nicht unbedingt teuer.
Gothaer: Um größere Ausbrüche zu verhindern, verfolgen die Gesundheitsämter die Infektionsketten – mitunter durch die Hilfe von Unternehmen, die Daten der Kunden sammeln. Wie ist das datenschutzrechtlich zu bewerten?
Bartlomiej Zornik: Herrschender Datenschutz muss stets ein verlässliches Instrument für jeden Bürger sein. Sobald personenbezogene Daten im Zusammenhang mit der Corona-Pandemie erhoben werden, wird zumeist ein Bezug zwischen Personen und deren Gesundheitszustand hergestellt, dementsprechend handelt es sich um Gesundheitsdaten, die nach Art. 9 DSGVO besonders geschützt sind.
Redaktion: Aber sie dürfen trotzdem gespeichert werden.
„Datenschutz ist Chefsache.“
Bartlomiej Zornik: Ja, denn es besteht eine Verpflichtung, und gemäß Art. 6 Abs. 1 lit.c DSGVO auch die Berechtigung, Kontaktdaten und Zeitpunkt des Aufenthalts schriftlich zu dokumentieren und vier Wochen lang aufzubewahren. Zu beachten ist, dass in jedem Fall ein entsprechender Datenschutzhinweis erfolgen muss (gemäß Art. 13 DSGVO). Diese Daten dürfen ausschließlich für den Zweck einer Warnung im Falle eines Corona-Ausbruchs verarbeitet werden. Jede anderweitige Verwendung der Kontaktdaten ist strengstens untersagt. Ich möchte an dieser Stelle auch unterstreichen, dass Datenschutz hier „Chefsache“ ist. Dieser hat sicherzustellen, dass insbesondere Telefonnummern, Namen und Adressen keinen Personen ersichtlich sein dürfen. Die Daten von Besuchern sind mithin aufzunehmen und sicher zu lagern, sodass keine anderen Besucher Zugang zu diesen haben.
Gothaer: Mittlerweile hat die Bundesregierung mit der „Corona-App“ einen weiteren Weg der Rückverfolgung bereitgestellt. Diese App stand jedoch auch zwischenzeitlich unter Feuer. Worauf gilt es hier zu achten?
Bartlomiej Zornik: Die Corona-Warn-App ist eine Software, welche vom BfDI und BSI entwickelt wurde und die den Schutz der Privatsphäre hoch priorisiert. Es kursieren durchaus einige Verschwörungstheorien und Mythen um die App, aber die sind in meinen Augen zu ignorieren. Es handelt sich lediglich um ein Werkzeug, um Risiken frühzeitig zu erkennen. Nicht mehr und nicht weniger.
Gothaer: Was passiert mit den gesammelten Daten, wenn die Pandemie vorüber ist?
Bartlomiej Zornik: Nach Wegfall des jeweiligen Verarbeitungszwecks müssen erhobene Daten unverzüglich gelöscht werden.
Weitere spannende News und Infos zum Thema Datenschutz stellt Bartlomiej Zornik auf der Webseite Privacynow.one zur Verfügung. Und auf dem Blog der Gothaer findest Du ausführliche Informationen zur IT-Sicherheit im Homeoffice.