Datenschutz FAQ

“Verantwortliche Stelle” ist in der Regel das Unternehmen, welches personenbezogene Daten verarbeitet, also eine “juristische Person”. Das Unternehmen entscheidet über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. (Art. 4 (7) DSGVO)

Verantwortlich für den Datenschutz innerhalb des Unternehmens ist die Geschäftsleitung. 

Sie kann Aufgaben zwar delegieren und sich Unterstützung holen, z.B. durch eine(n) Datenschutzbeauftragte(n), nicht aber die Verantwortung abgeben.

Wenn die verantwortliche Stelle personenbezogene Daten durch Dritte im Auftrag verarbeiten lässt, ist das Unternehmen dafür verantwortlich, hierfür nur einen geeigneten Dienstleister einzusetzen und diesen vertraglich auf klar definierte Verarbeitungen zu verpflichten (Art. 28 DSGVO). Das ist häufig bei IT-Dienstleistern, wie z.B. Newsletter-Versendern, der Fall.

Lässt der Verantwortliche personenbezogene Daten durch Dritte verarbeiten, die dies nicht nach seinen ausdrücklichen Weisungen tun, geht die Verantwortung in der Regel an diesen Dritten über. Die ist z.B. der Fall bei einem Steuerberater.

Jedes Unternehmen muss nachweisen können, dass es personenbezogene Daten nur gemäß den Grundsätzen der DSGVO verarbeitet:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben (Fairness), Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Für diesen Nachweis gibt es verschiedene Instrumente, als Bestandteile eines Datenschutz-Managementsystems.

Hierzu zählen u.a. 

• Das Verzeichnis der Verarbeitungstätigkeiten,
• Dokumentierte Schulungen - informierte und bewusst handelnde Beschäftigte sind ein Schlüsselelement eines jeden Management-Konzepts
• Dokumentierte Prozesse zur Wahrung der Rechte Betroffener
• Interne Richtlinien, z.B. über die Privatnutzung E-Mail, Nutzung von KI-Tools, …
• Die verarbeiteten Daten mit technischen und organisatorischen Maßnahmen zu schützen, wie z.B. Virenschutz, Backups, etc..

Nein.

Der Art. 37 der DSGVO legt zunächst einige Kriterien fest: 

• wenn die Kerntätigkeit eines Unternehmens Verarbeitungen durchführen, die eine umfangreiche und lückenlose Überwachung von Betroffenen erforderlich machen
• wenn die Kerntätigkeit eines Unternehmens eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten, biometrische Daten, etc.) oder Art. 10 DSGVO (Daten über Straftaten) beinhaltet

dann muss ein Datenschutzbeauftragter benannt werden.

Durch eine sog. Öffnungsklausel, können nationale Gesetzgeber zur Benennungspflicht eines Datenschutzbeauftragten weitere Vorgaben erlassen. Der deutsche Gesetzgeber hat dies in Form des §38 Bundesdatenschutzgesetz (BDSG) getan. Hier heiß es zusammengefasst:

• Mehr als 20 Personen in einem Unternehmen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut
• Wenn in einem Unternehmen Verarbeitungen vorgenommen werden, die eine Datenschutz-Folgenabschätzung (DSFA - siehe dort) erforderlich machen

dann muss ebenfalls ein Datenschutzbeauftragter benannt werden.

Einen Datenschutzbeauftragten zu benennen kann aber auch dann sinnvoll sein, wenn man gesetzlich nicht dazu verpflichtet ist. Das kann im Zweifelsfall kostengünstiger sein, als sich anlassbezogen stets an einen Fachanwalt zu wenden.

Tatsächlich denken viele Unternehmer nach wie vor so. Und es ist auch nicht von der Hand zu weisen, dass man mit einem Datenschutz-Konzept ein Bürokratie-Monster im eigenen Unternehmen schaffen KANN.

Allerdings ist es auch so, dass täglich eine Unmenge an personenbezogenen Daten von den unterschiedlichsten Akteuren verarbeitet werden. Und häufig geschieht dies auf intransparente Weise und für Zwecke, von denen die von der Verarbeitung betroffenen Personen keine oder keine konkreten Vorstellungen haben. Würden nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck benötigt werden und dies im vollständigen Bewusstsein der Betroffenen geschehen, wäre das Thema Datenschutz deutlich einfacher zu handhaben.

Als Unternehmer sollte man sich selbst stets folgende Fragen beantworten können:

• Sind die personenbezogenen Daten, die in unserem Unternehmen verarbeitet werden, für den jeweiligen Zweck unbedingt erforderlich (und hiermit ist jetzt kein wirtschaftlicher Zweck gemeint)?
• Weiß ich, wohin die personenbezogenen Daten, für die ich verantwortlich bin, intern und extern übermittelt werden und wer  darauf Zugriff hat?
• Habe ich für unsere Verarbeitungstätigkeiten überhaupt eine Rechtsgrundlage?
• Wie sind unsere (personenbezogenen) Daten geschützt?

Oder ganz konkret aus dem Tagegeschäft - wie sich ein Unternehmen ohne viel Aufwand selbst in die Bredouille bringen kann:

• Die Marketing-Abteilung soll mal flugs einen Newsletter an all unsere Endkunden schicken und nächste Woche nachtelefonieren.
• Ich schaue regelmäßig in die Postfächer meiner Beschäftigten, sollte ja kein Problem sein.
• Da fragt uns jemand, was wir für Daten über ihn gespeichert haben. Keine Zeit für sowas.
• Sag unserer Webagentur, sie sollen Google-Analytics und dieses Pixel-Ding auf unserer Website einbauen.
• Habe heute bei dem Elektronikversender meines Vertrauens 6 Webcams geordert. Der Techniker soll die mal an verschiedenen Stellen anbringen. Wir wollen ja schließlich wissen, was hier in und vor unserem Firmengebäude los ist. Klar, die Straße kann ruhig mit drauf.
• Wieso soll ich mein Notebook verschlüsseln? Ich schließe das immer im Kofferraum ein, wenn ich auf Reisen bin.
• Dieses neue KI-Tool kann uns beim Video-Bewerberinterview ganz klar sagen, ob der mental zu uns passt und checkt noch in Echtzeit dessen Instagram-Profil auf Party-Bilder. Müssen wir haben.

Das sind nur ein paar reale Beispiele aus der Praxis. Sie haben das Potenzial, dem Unternehmen neben hohen DSGVO-Bußgeldern auch Abmahngen und nicht zu vergessen Reputations- und Vertrauensverlust zu bescheren.

Mit überschaubaren Aufwand regelt man im Unternehmen grundlegende Dinge und bezieht den Datenschutz einfach frühzeitig bei der Einführung neuer Verarbeitungen (wie Kameras, Cloudsysteme, KI-Lösungen, …) mit ein. Das kann dann helfen, jede Menge Ärger und Frust bereits im Vorfeld zu vermeiden.

Zunächst: das kann durchaus teuer werden.

Die DSGVO sieht die Möglichkeit vor, hohe Bußgelder bei Datenschutzverstößen zu verhängen. Die Bußgeldhöhe orientiert sich unter anderem am Umsatz eines Unternehmens (bzw. der Unternehmensgruppe). 

Allerdings sollte man nicht nur das potenzielle Bußgeld im Auge haben. Sich im Falle eines Datenschutzverstoßes mit einer Aufsichtsbehörde auseinandersetzen zu dürfen, ist vom “Spaßfaktor” ähnlich gelagert, wie eine Steuerprüfung im Haus.

Ebenfalls ein Quell von Ungemach: Abmahnungen aufgrund (vermeintlicher) Wettbewerbsverstöße. Diese werden zwar auch immer mal wieder gerne in Form von Massenabmahnungen missbraucht, sind aber dennoch ein ernstzunehmendes Instrument aus dem Wettbewerbsrecht. Und wenn sich ein Unternehmen durch die Missachtung des Datenschutzrechts einen Vorteil verschafft, kann dies abmahnfähig sein.

Nicht zu vergessen ist auch das Recht Betroffener auf Schadensersatz aufgrund eines Datenschutzverstoßes. Gefühlt vergeht im Augenblick kaum eine Woche, in der nicht ein weiters Gerichtsurteil zu diesem Thema veröffentlicht wird.

Sehr gravierend kann sich ein Datenschutzverstoß allerdings auch auf das Vertrauen in Ihr Unternehmen auswirken. Das kann schon bei Kleinigkeiten anfangen, wenn beispielsweise auf Ihrer Bewerberseite Datenschutzinformationen fehlen und unkontrolliertes Tracking stattfindet. Damit vergraulen Sie vielleicht genau den potenziellen Mitarbeiter, den Sie so gerne eingestellt hätten.

Gelebter und gut kommunizierter Datenschutz ist heute mehr denn je ein Vertrauensfaktor - für Ihre Kunden und Ihre Beschäftigten.

Sehr viele Unternehmen haben bereits ein oder mehrere Managementsystem(e) implementiert, wie beispielsweise Qualitätsmanagement (ISO 9001), Umweltmanagement (ISO 14001), Informationssicherheitsmanagement (ISO 27001), usw. Im Regelfall sind diese Managementsysteme miteinander verzahnt … weil sie eine vergleichbare Struktur haben und mit vergleichbaren Instrumenten ein Ziel erreichen wollen: die Einhaltung der Normvorgaben.

Um Datenschutz in einem Unternehmen zu implementieren, bedarf es ebenso eines Managementsystems (MS).

Was also liegt näher, als sich an ein bereits funktionierendes MS “dranzuhängen”, wenn es sinnvoll ist. Im Idealfall spricht man dann von einem integrierten Managementsystem (IMS).

Aber auch “stand alone” lässt sich für ein Datenschutz-Managementsystem (DSMS) gut “spickeln” bei den oben erwähnten Systemen. Folgende Grundstruktur bietet sich dabei an:

• Kontext (im welchen Umfeld finden meiner Verarbeitungen statt, wer sind die Akteure, die berücksichtigt werden müssen, welche Risiken gibt es)
• Führung und Verpflichtung (die Geschäftsleitung bekennt sich aktiv zum Datenschutz)
• Planung (was muss getan werden, welche Instrumente werden dazu genutzt)
• Unterstützung (welche Ressourcen werden benötigt und genutzt, intern wie extern)
• Umsetzung (was ist im Tagesgeschäft zu beachten)
• Bewertung des Systems und ständige Verbesserung

Das lässt sich für kleine Unternehmen, wie für große Konzerne, gut an die jeweiligen Herausforderungen anpassen oder, wie oben erwähnt, bestenfalls mit einem bereits implementierten System verknüpfen.

Die meisten Managementsystem verbindet darüber hinaus etwas, was auch bei einem DSMS eine wichtige Rolle spielt: Risikobasiert und ständige Weiterentwicklung (PDCA).

Wenn wir wüssten, was wir wissen …

Das Verzeichnis der Verarbeitungstätigkeiten, kurz VVT, ist ein viel diskutiertes Instrument. Ist das sinnvoll? Braucht ein (kleines) Unternehmen so etwas überhaupt? Kann man das nicht abschaffen? usw.

Tatsache ist: Wie soll ein Unternehmen in der Lage sein, seine Datenverarbeitungen zu überblicken und wie seiner Rechenschaftspflicht über diese Verarbeitungen nachkommen, wenn sie nicht zumindest in rudimentärer Form irgendwo irgendwie dokumentiert sind?

Ein VVT ist nämlich nichts anderes. Eine Zusammenstellung der Verarbeitungstätigkeiten in einem Unternehmen, mit einigen zusätzlichen Informationen angereichert. Die genauen Inhalte sind im Art. 30 DSGVO festgeschrieben, für die Form selbst gibt es keine Vorgaben. Das VVT kann also, abhängig von der Unternehmensgröße und der Komplexität der Verarbeitungen, auch ein einfaches Excel-Sheet oder Word-Dokument sein (natürlich geht auch Libre-Office). Bei etwas größeren Unternehmen verwenden wir eine professionelle, webbasierte Anwendung dafür, an der man gut im Team zusammen arbeiten kann.

Man muss hier keine Raketenwissenschaft daraus machen, aber ein gut geführtes und gepflegtes VVT hilft Verantwortlichen bei der Durchführung weiterer Aufgaben eines DSMS (AV-Verträge verwalten, Betroffenenanfragen bearbeiten, Rechtsgrundlagen nachweisen, Löschkonzept erstellen, …). Das VVT ist ein rein internes Dokument. Alleine die Datenschutz-Aufsichtsbehörde kann die Herausgabe des / die Einsicht in das VVT verlangen.

Um den Datenschutz an den verschiedenen Stellen des Unternehmens zu verankern, empfiehlt es sich, verbindliche Vorgaben schriftlich festzuhalten, zu schulen und regelmäßig auf Aktualität zu überprüfen.

Die Aussagen “das hat mir keiner gesagt” oder “das wusste ich nicht”, hat vermutlich jeder Verantwortliche schon ein oder zwei Mal gehört.

Mit verbindlichen und gut kommunizierten Regeln, schafft man für alle Beteiligten Klarheit und spart dem Unternehmen im Zweifelsfall unnötigen Ärger. Ob diese Regeln in einem Datenschutzhandbuch zusammengefasst, als globale Datenschutz- und IT-Richtlinie verteilt oder in Form von Einzel-Richtlinie im Intranet veröffentlicht werden, hängt ganz von der Unternehmensgröße und -kultur ab. 

Beispiele für Richtlinien:

• Privatnutzung Unternehmens-IT und Internet
• KI-Nutzung
• Beschaffung neuer Hard- und Software / neuer Dienstleister
• Umgang mit Betroffenenrechten
• Social-Media-Management
• On- und Offboarding
• Mobiles Arbeiten

Auch hier lässt sich erkennen, dass es durchaus Schnittstellen zu anderen, vielleicht schon implementierten Managementsystemen, gibt.

Sobald ein Unternehmen mit einem externen Dienstleister zusammenarbeitet muss geklärt werden, ob dieser personenbezogene Daten verarbeitet, für die das Unternehmen verantwortlich ist (siehe oben “wer ist verantwortlich”).

Klassische Beispiele sind hierbei:

• IT-Dienstleister (legt Benutzer ein und vergibt Rechte, richtet E-Mail-Konten ein, hat Admin Rechte)
• E-Mail-Anbieter (verwaltet alles Postfächer des Unternehmens)
• ERP/CRM-Hersteller mit der Möglichkeit des Fernzugriffs (kann theoretisch auf alle Kundendaten zugreifen, sieht Mitarbeiterdaten)
• Cloud-Anbieter (je nach dem, was das Unternehmen in der Cloud speichert, hat der Anbieter Zugriffsmöglichkeiten auf personenbezogene Daten des Unternehmens)
• Newsletter-Versender (verarbeitet E-Mail-Adressen der Unternehmenskunden)
• Externes Lohnbüro (sofern nicht auch gleichzeitig Steuerberater)

Diese Dienstleister verarbeiten also personenbezogene Daten im Auftrag des Verantwortlichen. In solch einem Fall ist es wichtig, einen Vertrag zur Auftragsverarbeitung mit dem Dienstleister abzuschließen, einen sog. AVV. Dies ist in der DSGVO im Art. 28.festgeschrieben.

Es gibt jedoch auch Fälle, bei denen Daten durch Dritte in eigener Verantwortung verarbeitet werden. Diese Dritten arbeiten also ausdrücklich nicht weisungsgebunden. Mit diesen muss (kann) kein AVV abgeschlossen werden.

Beispiele hierfür sind:

• Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
• Inkassobüros mit Forderungsübertragung
• Bankinstitute für den Geldtransfer
• Postdienste für den Brieftransport

Dies lässt sich übrigens gut im Beschaffungsmanagement verankern.

“Betroffene” sind die natürlichen Personen, deren Daten verarbeitet werden.

Ein wichtiger Baustein in der DSGVO sind die Rechte, die jedem Betroffenen in Bezug auf die von ihm verarbeiteten Daten zustehen.

Für ein Unternehmen ist es von größter Wichtigkeit, diese Rechte zu kennen und zu gewährleisten, dass sie umgesetzt werden. Werden Betroffenenrechte von einem Unternehmen ignoriert oder nicht korrekt umgesetzt, ist das ein Datenschutzverstoß, der zu Bußgeld und/oder Schadensersatzforderungen führen kann.

Die Betroffenenrechte sind im Detail im Kapitel 3 der DSGVO nachzulesen, diese hier vollständig aufzuführen, wäre nicht zielführend. Die für das Tagesgeschäft “wichtigsten”, sollen hier jedoch kurz erwähnt werden:

• Transparenz (Art. 12 - 14 DSGVO) - es sind exakt die Informationen gem. Art. 13, die jeder Websitebetreiber in seinen in der Regel ungelesenen Datenschutzerklärungen aufführt. Der Betroffene soll darüber informiert werden, wer seine Daten verarbeitet, an wen sie weitergegeben werden, wann sie gelöscht werden, etc. Wichtig zu wissen ist hierbei, dass diese Informationen nicht nur für den Betrieb einer Website erforderlich sind, sondern auch für alle anderen Verarbeitungstätigkeiten, über die die Betroffenen informiert werden müssen. Das gilt selbstverständlich auch (insbesondere) für die eigenen Beschäftigten.
• Auskunftsrecht (Art. 15 DSGVO) - welches dem Betroffenen das Recht einräumt, bei einem Verantwortlichen zu erfragen, welche Daten von ihm verarbeitet werden, an wen sie weitergebene werden, usw. - einschließlich eine Kopie von diesen zu erhalten. Dies kann für das verantwortliche Unternehmen viel Arbeit bedeuten und ist an eine Frist von einem Monat gebunden. Hier richtig zu reagieren, ist für das verantwortliche Unternehmen von höchster Bedeutung.
• Beschwerderecht (Art. 77 DSGVO) - jeder Betroffene hat das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn er den Eindruck hat, dass seine Rechte durch ein verantwortliches Unternehmen verletzt werden oder wurden.

Die Kenntnis der Betroffenenrechte und die entsprechenden Prozesse zur Umsetzung, müssen also im Unternehmen verankert sein. Details hierzu erörtern Sie vertiefend mit Ihrem Datenschutzbeauftragten. 

Im Art. 32 (Sicherheit der Verarbeitung) fordert die DSGVO, dass der Verantwortliche Technische und Organisatorische Maßnahmen (eben die TOM) ergreift, um die von ihm verarbeiteten personenbezogenen Daten angemessen zu schützen.

Der Verantwortliche berücksichtig dabei sowohl das Risiko (Schadenshöhe und Eintrittswahrscheinlichkeit), als auch die Implementierungskosten. Kurz gesagt, je höher das Risiko, desto umfassender die Maßnahmen. Hierbei wird ausdrücklich nicht nur auf die technische Umsetzung (Virenschutz, Update- und Patchmanagement, Firewall, etc.) abgestellt, sondern eben auch auf die Organisation der Informationssicherheit. Der Verantwortliche sollte daher die eingesetzten Maßnahmen und ihre Überwachung vernünftig organisieren und dokumentieren. Darüber hinaus können nicht alle Sicherheitsaspekte rein technisch abgedeckt werden (oder der Aufwand hierfür, stünde in keinem Verhältnis). In solchen Fällen kann mit organisatorischen Maßnahmen (z.B. Richtlinien oder Schulungen) mögliche Risiken nicht-technisch minimieren.

Die DSGVO erwähnt im Art. 32 folgende Maßnahmen:

• Pseudonymisierung und Verschlüsselung
• Sicherstellen von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
• Sicherstellen der Wiederherstellbarkeit
• Regelmäßige Überprüfung der Wirksamkeit der Maßnahmen

Die meisten Unternehmen verfügen heutzutage über ein mehr oder weniger gut umgesetztes IT-Sicherheitskonzept. Dieses sollte die obigen Punkte zumeist abdecken. Sinnvoll (bzw. gesetzlich gefordert) ist jedoch in jedem Fall, dieses Konzept und sein Umsetzungsüberwachung mit dem Datenschutzbeauftragen regelmäßig zu erörtern.

Eine besondere Rolle spielen die TOM bei der Beauftragung eines Auftragsverarbeiters. Der Verantwortliche muss anhand der TOM des Auftragnehmers beurteilen, ob dieser ein ausreichendes Schutzniveau für die von ihm verarbeiteten Daten bietet. Legt der Auftragsverarbeiter einen AV-Vertrag ohne TOM vor, sind diese zwingend anzufordern. Hat der Auftraggeber (der Verantwortliche) Zweifel an der Wirksamkeit der vorgelegten TOM, sollte er sich u.U. nach einem alternativen Auftragnehmer umsehen.

Grundsätzlich gilt: Wer für die Erfüllung seiner Tätigkeiten personenbezogene Daten verarbeitet, sollte nur diejenigen Daten verarbeiten können (also erheben, anzeigen, speichern, verändern, übermitteln, löschen, sperren), die für diese Tätigkeiten erforderlich sind. Hier spricht man vom need-to-know Prinzip.

Das fängt bei den zur Verfügung gestellten Programm-Modulen und Datenfeldern der eingesetzten Systeme (ERP, CRM, HR,  ...) an, geht über Kalender, Intranet, Telefonie- und Chat-Software, bis hin (natürlich) zu Dateisystem und Speicherorten in der Cloud. Dies sollte, soweit möglich, durch technische Einstellungen in Abstimmung mit dem IT-Betreuer oder der IT-Abteilung erfolgen. Ein vernünftiges Rechte- und Rollenkonzept zu implementieren ist je nach Unternehmensgröße keine einfache, aber eine wichtige Aufgabe.

Ein Datenschutzverstoß kann durch ein fehlendes Zugriffsmanagement schnell passieren, wenn z.B. Beschäftigte unberechtigt auf Personaldaten oder Buchhaltungsdaten zugreifen können. Auch KI-Tools oder Schadprogramme bewegen sich oft im Benutzer-Kontext. Kann der Benutzer auf Daten zugreifen, die ihn nichts angehen, kann das ein KI-Bot den dieser Benutzer einsetzt, oder ein Virus, den sich der Benutzer eingefangen hat, unter Umständen auch.

Es gibt also mehrere gute Gründe für ein Rechte- und Rollen-Konzept.

Hier ist die Antwort ganz einfach: Es kommt darauf an. Oder anders formuliert: alles oder (fast) gar nichts.

Es würde den Rahmen dieser kurzen FAQ völlig sprengen, wollte man das komplexe und sehr dynamische KI-Thema hier ausführlich darstellen. Daher hier nur einige Aspekte, die beachtet werden müssen.

KI-Systeme können inzwischen für die unterschiedlichsten Zwecke eingesetzt werden. Und durch sog. Agenten, kommen KIs auch mehr und mehr mit anderen Applikation im unternehmenseigenen IT-Ökosystem in Kontakt. Hierbei sind dann früher oder später fast zwangsläufig auch personenbezogene Daten im Spiel. Hier gilt es also genau hinzuschauen, mit welchen Daten die KI im Unternehmen in Berührung kommt. Daraufhin muss dann geprüft werden, was mit diesen Daten geschieht, von welchen, ggf. externen, Stellen werden die Daten weiterverarbeitet, können sie dort auch korrigiert oder gelöscht werden, sind die Betroffenen in ausreichendem Maß transparent über diese Verarbeitungen informiert, wie kann missbrauch verhindert werden, werden von der KI den Benutzer betreffende Entscheidungen getroffen, etc.

Beim Einsatz von KI ist im Übrigen nicht nur die DSGVO zu beachten, sondern auch die noch recht neue KI-Verordnung, sowie andere Gesetze wie bspw. das Urheberrecht.

Zwei einfache Merksätze für das Tagesgeschäft:

• In einem frei und ohne Vertrag über das Internet nutzbare KI-Bots (z.B. ChatGPT) haben personenbezogene Daten nichts verloren!
• KI-Tools im Bewerber- / HR-Prozess (inkl. Monitoring) müssen regelbasiert und mit aller größter Umsicht und Transparenz eingesetzt werden - hier droht sonst Ungemach!

Aus diesem Grund empfiehlt es sich, die Nutzung von KI-Tools im Unternehmen verbindlich zu regeln. Die Gefahr von “Schatten-KI” ist vermutlich noch größer als die Wucherungen einer Schatten-IT.

Verschlüsselung ist die “Königsdisziplin” um die Vertraulichkeit personenbezogener Daten zu gewährleisten. Ob es sich um Kommunikation oder um Dateien/Datenträger handelt - sind die Daten verschlüsselt, kommt man ohne passenden Schlüssel an diese Daten nicht heran (das bezieht sich auf den heutigen Stand von Verschlüsselung und der Möglichkeiten, diese zu knacken).

Hier ein paar Beispiele

• E-Mail-Verschlüsselung: Heutzutage sind E-Mails in der Regel auf dem Transportweg verschlüsselt. Sobald sie aber auf dem Server des Empfängers ankommen, sind sie das nicht mehr. Das bedeutet für den täglichen Gebrauch, eine “normal vertrauliche” Business-Kommunikation gilt so nach vorherrschender Meinung als ausreichend geschützt. Für den Versand von Daten mit sehr hohem Schutzbedarf (z.B. Gesundheitsdaten), ist diese Kommunikationsform nicht geeignet. Erst wenn sich beide Kommunikationspartner auf eine gemeinsame Verschlüsselung einigen (PGP oder S/MIME), spricht man von einer Ende-zu-Ende-Verschlüsselung und kann auch sensible Daten per E-Mail versenden/empfangen. Leider hat sich das die letzten Jahrzehnte nicht flächendeckend durchgesetzt und spielt im normalen Tagesgeschäft so gut wie keine Rolle.
• Verschlüsselte Messenger-Kommunikation: Über viele moderne Messenger kommunizieren die Teilnehmer Ende-zu-Ende verschlüsselt. Allerdings gibt es hier andere Aspekte, die beim Einsatz solcher Messenger unter Datenschutz-Gesichtspunkten zu beachten sind. Auch gibt es regelmäßig Bestrebungen, diese Verschlüsselung “in besonderen Fällen” aufzubrechen.
• Verschlüsselung bei Cloud-Dienstleistern: Daten, die bei einem Cloud-Dienstleister verschlüsselt abgelegt werden sind nur dann wirklich als sicher verschlüsselt anzusehen, wenn man als Unternehmen seinen eigenen Schlüssel verwendet (bring-your-own-key). In allen anderen Fällen hat der Anbieter stets die Möglichkeit, die Daten trotz Verschlüsselung einzusehen / einsehen zu lassen. Das ist bei der Nutzung von Clouddiensten abzuwägen bei der Entscheidung, welche Kategorien von Daten das Unternehmen dort ablegen will.
• Verschlüsselung von Web-Traffic: Nur der Vollständigkeit halber erwähnt, da die allermeisten Web-Aufrufe über https verschlüsselt übertragen werden. Das ist ganz besonders von Belang, wenn Zahlungsdaten bei z.B. einem Shop eingegeben werden. Manche Fakeshops verzichten auf ein SSL-Zertifikat, sodass statt https nur http in der Adresszeile des Browsers zu sehen ist. Dann auf alle Fälle: Finger weg.
• Verschlüsselte mobile Datenträger und Notebooks: Der Vorteil von USB-Sticks, externen Festplatten und Notebooks: man kann sie überall hin mitnehmen. Der Nachteil von USB-Sticks, externen Festplatten und Notebooks: man kann sie überall hin mitnehmen (und vergessen oder sich stehlen lassen). Um es kurz zu machen. Mobile Datenträger und Notebooks sind grundsätzlich zu verschlüsseln. Ein Geschäftsreisender, der sein unverschlüsseltes Notebook im Zug vergisst, handelt nicht nur grob fahrlässig, sondern begeht auch (in der Regel) einen meldepflichtigen Datenschutzverstoß. Ein verschlüsseltes Notebook, das abhanden kommt, bereitet normalerweise eher dem Controller Kopfweh, als dem Datenschutzbeauftragten.