Trotz gelegentlicher Aufregung funktioniert der Datentransfer in die USA dank des „Angemessenheitsbeschlusses“ der EU-Kommission seit Juli 2023 reibungslos. Unternehmen, die dem EU-USA-Datenschutzrahmen beigetreten sind, bieten ein angemessenes Datenschutzniveau, sodass personenbezogene Daten wie innerhalb der EU übermittelt werden dürfen. Auch wenn es in der Vergangenheit mit „Safe Harbor“ und „Privacy Shield“ Rückschläge beim Europäischen Gerichtshof gab, ist derzeit kein Verfahren gegen den aktuellen Rahmen anhängig. Unruhen durch politische Entscheidungen in den USA, etwa unter Trump, sorgen zwar für Unsicherheit, haben aber keine unmittelbaren Auswirkungen auf die Rechtslage. Wichtig: Der Angemessenheitsbeschluss bleibt gültig, bis er offiziell aufgehoben wird. Unternehmen sollten daher weiterhin die bestehenden Regeln nutzen und sich nicht von Spekulationen verunsichern lassen.

Viele junge Menschen kennen das Briefeschreiben kaum noch, umso größer sind die Risiken für Datenschutzpannen beim postalischen Versand. Die Aufsichtsbehörden berichten häufig von Fehlern wie falschen Empfängeradressen, dem Versand von Unterlagen an Unbefugte, ungeschützten Fensterumschlägen oder nicht richtig verschlossenen Briefen. Umso wichtiger sind klare Vorgaben und regelmäßige Schulungen für Beschäftigte, nicht nur für Azubis. Außerdem sollte man auf sichere Versandarten setzen: „Einwurfeinschreiben“ bieten eine Zustellbestätigung, und bei Paketen ist die Nachverfolgung meist inklusive. Ein besonderes Augenmerk gilt dem Versand von USB-Sticks, etwa im Gesundheitswesen. Hier helfen gepolsterte Umschläge und Verschlüsselung, um Datenverlust oder -diebstahl zu verhindern. Datenschutz erfordert auch bei der klassischen Post besondere Sorgfalt, denn ein verlorener Brief kann schnell zu einer Datenpanne werden.

Laut Bitkom waren bereits 8 von 10 Unternehmen in Deutschland von Cyberangriffen betroffen. Dabei ist es keine Frage mehr ob, sondern wann ein Angriff erfolgt. Wichtig ist: Cyberattacken zu erkennen ist nur der erste Schritt. Neben schnellen Gegenmaßnahmen müssen auch alle relevanten Stellen informiert werden. Die DSGVO verpflichtet Unternehmen, Angriffe, die personenbezogene Daten betreffen, der Datenschutzaufsichtsbehörde und teilweise den Betroffenen zu melden. Darüber hinaus gibt es weitere Meldepflichten, etwa an das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei kritischen Infrastrukturen. Eine Strafanzeige bei der Polizei ist zwar nicht gesetzlich vorgeschrieben, kann aber zur Aufklärung und Prävention beitragen. Deshalb sollte bei einem Cyberangriff stets geprüft werden, ob die Polizei eingeschaltet wird, zusätzlich zur Meldung an die Datenschutzbehörde. Im Zweifel hilft der Datenschutzbeauftragte weiter.

Immer mehr Menschen machen von ihrem Recht auf Löschung Gebrauch – ein zentrales Betroffenenrecht in der DSGVO. Zu Recht, denn sobald der Zweck der Datenverarbeitung erfüllt ist und keine gesetzlichen Aufbewahrungsfristen mehr bestehen, müssen personenbezogene Daten gelöscht werden. Trotzdem ist nicht jede Anfrage automatisch berechtigt: Vor einer Löschung muss geprüft werden, ob die Anfrage tatsächlich von der betroffenen Person stammt – etwa durch eine Identitätsbestätigung. Auch muss klar sein, ob gesetzliche Pflichten einer Löschung entgegenstehen. Wer einfach löscht, handelt genauso falsch wie jemand, der Anfragen ignoriert. Unternehmen sollten daher intern festlegen, wie mit Lösch-Anfragen korrekt umzugehen ist – nicht nur, weil die Datenschutzaufsicht aktuell EU-weit prüft, ob das in der Praxis auch funktioniert.

Manchmal geschieht es in bester Absicht: Eine dienstliche Mail wird kurzerhand an den privaten E-Mail-Account weitergeleitet – etwa weil der Laptop streikt oder weil Daten für einen Außentermin gebraucht werden. Doch auch wenn es praktisch erscheint, ist es keine gute Idee. Sobald dienstliche E-Mails das Unternehmen verlassen, liegt die Kontrolle nicht mehr beim Arbeitgeber. Besonders bei personenbezogenen oder vertraulichen Daten ist das problematisch. Ohne klare Freigabe fehlt die rechtliche Grundlage  und wer solche Daten weiterleitet, wird selbst zum Verantwortlichen im Sinne der DSGVO. Auch arbeitsrechtlich kann das kritisch werden. Unser Tipp: Stimmen Sie sich bei Bedarf immer mit Ihrem Unternehmen ab. Selbst bei Zeitdruck oder technischen Problemen gilt: Datenschutz hat Vorrang – auch in der E-Mail-Weiterleitung.

Weniger ist mehr, auch bei Daten! Die Idee des digitalen Aufräumens stammt von der Datenschutzaufsicht Baden-Württemberg und hat es in sich: Wer überflüssige Daten löscht, schützt nicht nur die Privatsphäre, sondern macht es auch Cyberkriminellen schwerer. Datenmüll sammelt sich schnell an. Unzählige E-Mails, veraltete USB-Sticks oder inaktive Accounts sind oft unnötig und können sogar ein Sicherheitsrisiko darstellen. Wer den Überblick verliert, läuft Gefahr, auf Phishing hereinzufallen oder ungewollt Daten preiszugeben. Unser Tipp: Löschen Sie alte Accounts und Newsletter, die Sie nicht mehr brauchen, entsorgen Sie ungenutzte oder defekte Datenträger und räumen Sie auch digitale Altlasten in E-Mails, Ordnern oder Papierakten auf. Das reduziert Risiken und spart Zeit, wenn einmal eine Auskunftsanfrage gestellt wird.