Datenschutzrechtliche Risikofaktoren: ehemalige Mitarbeiter und unzufriedene Kunden

Unternehmer meinen sich sicher fühlen zu können aufgrund der geringen Kapazitäten der Kontrollinstanzen. Eine Frage, die man als Datenschutzbeauftragter dann immer wieder gestellt bekommt, lautet: „Was soll denn schon passieren? Das merkt doch eh niemand!“

Ein Blick auf die Zahlen in den von den Aufsichtsbehörden veröffentlichten Tätigkeitsberichten 2019 zeigt, dass die Zahl der Beschwerden und Kontrollanregungen seit Einführung der DSGVO enorm steigt. Bürger wurden sowohl durch die Medienberichterstattung als auch bspw. durch eigene Schulungen als Mitarbeiter stark für Datenschutz sensibilisiert. Datenschutz-Verstöße werden daher schneller und leichter erkannt. Besonders Mitarbeiter und Kunden können bei der Aufdeckung von Bußgeldtatbeständen eine Schlüsselfigur für die Risikofaktoren spielen.

Mitarbeiter bekommen im Laufe ihrer Tätigkeit viel über Abläufe und Strukturen in ihrem Unternehmen mit. Aufgrund der höheren Sensibilisierung verstehen die meisten, wenn Abläufe im Unternehmen nicht DSGVO-konform geregelt sind und wissen, welche Führungskräfte im Unternehmen dem Datenschutz keinen hohen Stellenwert beimessen. Entsprechend negativ kann es sich auswirken, wenn Mitarbeiter unzufrieden werden. Besonders niedrig ist die Hemmschwelle, es dem Unternehmen „heimzuzahlen“, wenn Mitarbeiter entlassen werden. Und was wäre da leichter, als mal eben der Aufsichtsbehörde einen Tipp zu geben, dass Kundendaten sich seit 30 Jahren im offenen Aktenschrank in der Mitarbeiterküche stapeln oder bei Arbeitsunfähigkeitsbescheinigungen oder dass Mitarbeiter Krankmeldungen per E-Mail an alle Kollegen „zu Informationszwecken“ verschicken.

Schlagzeilen machte zudem das Urteil des Arbeitsgerichts Düsseldorf vom 05.03.2020 – 9 Ca 6557/18, wonach einem Mitarbeiter Schadenersatz in Höhe von 5.000 € zugesprochen wurde, weil sein Auskunftsanspruch nach DSGVO nicht ausreichend und fristgerecht erfüllt worden war. Wenn künftig noch mehr Gerichte diesem Ansatz folgen, dürfte auch die Aussicht, Schmerzensgeld zu erhalten, für Mitarbeiter und Kunden einen erhöhten Anreiz darstellen, Verstöße bei der Aufsichtsbehörde zu melden.

Ein weiterer von vielen Risikofaktoren sind Kunden. Auch Kunden bekommen mit, wenn Abläufe DSGVO-widrig geregelt sind. Liegen bspw. im Empfangsbereich die Akten anderer Kunden offen einsehbar, findet Videoüberwachung ohne Beschilderung statt oder erhalten sie E-Mails, die für einen anderen Empfänger bestimmt waren, kann sich dem Kunden schnell der Eindruck aufdrängen, dass dem Unternehmen Datenschutz, und somit auch die Risikofaktoren nicht so wichtig ist.

Besonders gereizt können Kunden reagieren, wenn ihre Anfragen bzgl. Serviceleistungen nie zu beantworten sind. Hierfür aber alle 4 Wochen Werbung in den Briefkasten flattert, obwohl dem bereits (mehrfach) widersprochen worden war. Der geneigte Verbraucher informiert sich schnell im Internet über die Zulässigkeit solchen Gebarens und macht über das Online-Formular der Aufsichtsbehörden ganz unkompliziert eine entsprechende Eingabe.

Wem das als Unternehmer noch zu wenig ist: Nur ein Blick auf die Unternehmens-Website, bei der die Datenschutzerklärung äußerst kurz ausfällt und der Cookie-Banner veraltet ist, genügt für wütende Mitarbeiter und unzufriedene Kunden, um sofort feststellen zu können: Das kann eine Aufsichtsbehörde mit einem Bußgeld geahndet werden.

Unternehmer unterschätzen offene Flanken beim Datenschutz. Besonders Kunden und Mitarbeiter erhalten Einblicke ins Unternehmen, mit denen sich Lücken im Datenschutz erkennen lassen. Unternehmen sollten sich nicht bestärkt fühlen, wenn in der Presse berichtet wird, dass die personelle Ausstattung der Aufsichtsbehörden Wünsche offenlässt und mit anlasslosen Kontrollen in den wenigsten Fällen gerechnet zu werden braucht.

Denn auch wenn anlasslose Kontrollen noch viel zu selten stattfinden: Viele Verbraucher und Mitarbeiter wissen inzwischen sehr gut über ihre Rechte und Pflichten aus der DSGVO Bescheid und machen von der praktischen Möglichkeit, für Beschwerden das Online-Formular zu verwenden, Gebrauch. Wenn sich Unternehmer nicht um Anpassung bemühen, um DSGVO-Konformität herzustellen, wird bei einer Prüfung durch die Aufsichtsbehörden einen schweren Standpunkt haben. Das Argument „Das weiß doch keiner!“ lässt sich also leicht widerlegen. Noch besser aber wäre es, wenn man Datenschutzbeauftragter erst gar nicht damit konfrontieren kann.

Datenschutzlücken schließen

Wir als Datenschutzbeauftragte haben die Aufgabe, auf Lücken im Datenschutz frühzeitig zu erkennen und Sie durch passgenaue Lösungen bei der Herstellung der DSGVO-Konformität zu unterstützen. So können Sie sich auf Ihre Kernaufgaben konzentrieren, während wir uns um Ihren Datenschutz kümmern. Wenn Sie unsicher sind, was für Ihr Unternehmen wichtig ist – wir beraten Sie gerne. Hier kommen Sie zu unserem Kontaktformular.