Nach DSGVO: 5 Tipps, die Unternehmen bei ihrer digitalen Kommunikation beachten sollten

Autor: Brigitta Strigl
Veröffentlicht am 1. August 2018

Die Datenschutz-Grundverordnung (DSGVO) ist seit einigen Monaten in Kraft, und die hektische Aufgeregtheit rund um diese Neuregelung legt sich langsam. Unternehmen aller Größen und Branchen, die in der EU ansässig sind oder auch nur Daten von EU-Bürgern verarbeiten, müssen sich an die Grundverordnung halten. Dazu zählt auch die digitale Kommunikation, z. B. per E-Mail oder Chat, rein intern, aber auch mit Kunden, Partnern und Dienstleistern. Diese fünf Tipps sollten Sie in Ihrem Unternehmen bei der digitalen Kommunikation auf jeden Fall berücksichtigen, damit Sie DSGVO-konform agieren. 

1. Datenminimierung und Zweckbindung beachten

Stellen Sie sich vor, Sie sind ein Reiseunternehmen und speichern personenbezogene Daten Ihrer Kunden. Dazu gehören die Kontaktdaten, aber möglicherweise auch weiterführende Informationen wie beispielsweise Beruf, Anzahl der Kinder und Bankverbindung. Bei der täglichen Zusammenarbeit im Unternehmen werden diese Daten oft auch zwischen Kollegen ausgetauscht und landen somit als personenbezogene Inhaltsdaten in E-Mails oder Chats.
In einem solchen Szenario sind mehrere Prinzipien zu beachten. Zum einen die Zweckbindung: Nicht jeder Mitarbeiter braucht für seine Arbeit Zugriff auf alle Kundendaten. Laut DSGVO dürfen diese Daten dann auch nicht zugänglich gemacht werden.
Natürlich gilt es auch, in einem allerersten Schritt die Rechtmäßigkeit der Datenerhebung selbst zu prüfen. Gibt es für alle erhobenen Daten eine Rechtsgrundlage? Sind noch Einwilligungen der Kunden einzuholen oder Daten zu löschen? Wenn Sie sich nicht sicher sind, ziehen Sie einen Experten hinzu. Ein wichtiger Aspekt hierbei ist das Prinzip der Datenminimierung, also die Beschränkung auf das absolut notwendige Maß.

2. Löschfunktion vorsehen

Das Recht auf Vergessenwerden ist ein wesentlicher Bestandteil der DSGVO. Die digitale Kommunikation ist dabei jedoch ein Sonderfall, denn hier überwiegt zunächst das unternehmerische Interesse an der Aufbewahrung der Daten, z. B., um bei Rechtsstreitigkeiten Kommunikationsverläufe nachvollziehen zu können. Trotzdem gilt: Sobald die rechtlichen Archivierungsfristen verstrichen sind, müssen auch E-Mails oder Chatnachrichten auf Verlangen gelöscht werden.

3. Datenschutzfreundliche Grundeinstellung im System integrieren

Unternehmen werden durch das Gesetz verpflichtet, ihre Prozesse so datenschutzfreundlich wie möglich zu gestalten. Nutzen Sie deshalb Kommunikationssysteme, die den Prinzipien „Privacy by Design“ und „Privacy by Default“ folgen. Dann können Sie die Einhaltung der DSGVO leichter nachweisen.
„Privacy by Design“ ist dann erfüllt, wenn bereits bei der Entwicklung des Kommunikationssystems auf Datenschutz geachtet wurde. Empfehlenswert ist dabei etwa die Option, Kommunikationsteilnehmer zu pseudonymisieren. Dann erscheint im Kommunikationsverlauf z. B. eine Nummer statt des Namens. Das kann ein möglicher Kompromiss sein, wenn zwischen dem Recht auf Vergessenwerden und dem unternehmerischen Interesse an der Datenaufbewahrung (siehe Punkt 2) abzuwägen ist.
„Privacy by Default“ bedeutet, dass datenschutzfreundliche Grundeinstellungen vorliegen. Hier lohnt sich z. B. ein Blick in Datenschutzhinweise und Settings der eingesetzten Lösung: Müssen datenschutzrelevante Optionen erst manuell aktiviert werden? Schickt das System standardmäßig Logs im Hintergrund – ohne Zustimmung des Nutzers?

4. Auf umfassende Verschlüsselung setzen

In der DSGVO kommt der Datensicherheit eine große Bedeutung zu. Verschlüsselung wird dabei konkret als Maßnahme empfohlen – die Details dazu lässt der Gesetzestext jedoch offen. Umso wichtiger für Sie, sich so weit wie möglich abzusichern und bei der digitalen Kommunikation ausschließlich auf Vollverschlüsselung zu setzen. Diese umfasst nicht nur die Ende-zu-Ende-Verschlüsselung der Daten während der Übertragung, sondern auch die Verschlüsselung der ruhenden Daten auf den Endgeräten der Nutzer. So wird auch der Verlust eines Handys oder Laptops nicht zum Datenschutzrisiko.

5. Anbieter aus Europa wählen

Werden Daten in der EU erhoben, müssen Sie das hier geltende Schutzniveau aufrechterhalten – egal, in welchem Land die Daten gespeichert werden. In Ländern außerhalb Europas ist das derzeit praktisch unmöglich. Daher sind europäische Anbieter, die auch hierzulande die Daten speichern, die sicherste Wahl. 

Weitere Details zu den genannten Tipps sowie viele weitere Infos zum Thema finden Sie auch in unserem eBook „Digitale Kommunikation unter der DSGVO“ – hier kostenlos zum Download:

eBook herunterladen
Weitere Informationen finden Sie hier:
https://digitalcourage.de/blog/2015/was-ist-privacy-design
https://digitalcourage.de/blog/2014/privacy-default-datenschutz-darf-keine-ausnahme-bleiben

Sie möchten mehr über ginlo @work erfahren?

Mehr über ginlo @work