Der Datenschutz muss in die DNA eines Unternehmens integriert werden, beginnend beim Design, der Implementierung, dem Betrieb oder der Außerbetriebnahme von Informationssystemen. Eine enge und nachhaltige Zusammenarbeit von IT, IT-Sicherheit und dem Datenschutzbeauftragten ist unvermeidlich.

Wer die Bestimmungen der Datenschutzgrundverordnung (DSGVO) verletzt, riskiert empfindliche Strafen – das sollte seit Inkraftsetzung jedem Unternehmen bekannt und bewusst sein. Artikel 83 DSGVO regelt dies unmissverständlich und droht wirksame und abschreckende Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Umsatzes an, je nachdem was höher ausfällt.

Zugegeben, in Deutschland gab es noch keine Androhung eines Bußgelds in Höhe von 202 Millionen Euro, wie gegen British Airways vorgeschlagen wurde (wenngleich diese Summe richterlich auf »nur« 22 Millionen Euro reduziert wurde). Ein Blick auf in Deutschland verhängte Bußgelder zeigt aber, dass die Behörden tätig werden und weder vor Individuen wie Privatpersonen oder Polizisten noch vor großen Unternehmen haltmachen. Die Bußgelder rangierten von dreistelligen Eurobeträgen bis hin zu über 35 Millionen Euro im kürzlich öffentlich gewordenen Fall des Einzelhändlers H&M aus dem Oktober 2020.

Verstöße gegen einige wenige Bestimmungen kristallisieren sich dabei als Hauptgründe zur Verhängung der Bußgelder heraus, oftmals sogar in Kombination von zwei oder drei verletzten Normen. Dies betrifft insbesondere die Artikel 5, 6 und 32 DSGVO, welche die Grundsätze für die Verarbeitung personenbezogener Daten und die Rechtmäßigkeit der Verarbeitung sowie die Sicherheit der Verarbeitung regeln. Die Einhaltung der Grundsätze als auch die Bestimmung der Rechtmäßigkeit einer Datenverarbeitung werden überwiegend eher nicht im originären Verantwortungsbereich der IT angesiedelt sein, sondern basieren auf Vorgaben derjenigen Unternehmensbereiche, für welche die Daten eine Relevanz besitzen.

Natürlich kann und sollte hier das IT-Management beratend zur Seite stehen, aber in der Regel weiß ja nur die anfordernde Stelle, welche Daten tatsächlich und für wie lange für welchen Zweck benötigt werden. Anforderungen an die technische Umsetzung und damit unmittelbar eingreifend in Lösungen stellt Artikel 32, auch wenn hier der Gesetzgeber beispielsweise sehr unbestimmt auf den Stand der Technik und die Höhe von Implementierungskosten verweist. Offensichtlich gibt es aber genug Raum für Verbesserungen auch bei großen Organisationen, wie die verhängten Bußgelder beispielsweise gegen die AOK Baden-Württemberg, Deutsche Wohnen oder 1&1 zeigen.

Welche Handlungsempfehlungen ergeben sich nun insbesondere aus den drei oben zitierten Artikeln der DSGVO?

1. Saubere technische Konfigurationen
Einige Datenpannen sind auf fehlende oder falsch gesetzte Konfigurationen von IT-Systemen zurückzuführen. Wenn die gesamte Kundendatenbank ungesichert online verfügbar ist, nützen die besten Berechtigungskonzepte nichts. Daher sollte vor jeder Inbetriebnahme, Veränderung und auch Aktualisierung geprüft werden, ob und inwieweit solche Systeme (auch Backup-Speicher) von außen beziehungsweise über das Internet erreichbar sind. Dies umfasst auch ein angemessenes Authentifizierungsverfahren, das mehrere Faktoren umfassen sollte. Ebenso sollten nicht genutzte oder benötigte Accounts gelöscht, gesperrt oder zumindest deaktiviert werden.

Hinzu kommt, dass die Rechtfertigung »Das geht technisch nicht« durch Aufsichtsbehörden häufig nicht nachvollzogen wird. Bei der Planung und Implementierung von IT-Systemen müssen die Grundsätze des Datenschutzes stets Berücksichtigung finden: so sollten auch archivierte Daten nach Ablauf der Aufbewahrungsfristen gelöscht werden können, im Optimalfall automatisiert.

2. Sicherheitslücken ernst nehmen
Viele Unternehmen, die von Datenpannen betroffen waren, wussten um die entsprechenden Lücken und Schwachstellen – zumeist durch Meldungen eigener Mitarbeiter, zum Teil aber auch durch Informationen von Journalisten oder anderen Dritten. Für den Umgang mit solchen Informationen sollte ein entsprechender Prozess zur Handhabung und Beseitigung von Schwachstellen in die IT-Organisation implementiert werden. Dabei ist eine schnelle Reaktionsfähigkeit ein wesentlicher Faktor, denn wenn die Datenpanne erst öffentlich geworden ist, ist auch der Ruf des Unternehmens beschädigt.

3. Transparentes Datenmanagement
Strukturelle Defizite beim Management der in der Organisation vorhandenen Daten erschweren zum einen die Identifikation der personenbezogenen Daten (etwa im Falle eines Auskunftsbegehrens durch Betroffene oder im Rahmen von Datenpannen), zum anderen bleiben dann häufig viele Datengräber im Dunkeln. Doch gerade um die Prinzipien des Artikels 5 der DSGVO umzusetzen, ist die Kenntnis aller in der Organisation vorhandenen (personenbezogenen) Daten unumgänglich – häufig sind Datensätze in mehrfacher Ausführung vorhanden (fehlende Datenminimierung) oder werden nicht gelöscht (keine Speicherbegrenzung), weil nicht bekannt ist, ob und wo sich zu löschende Daten »verstecken«. Interessanter Nebeneffekt eines transparenten Managements aller Daten im Unternehmen: Hierdurch lassen sich auch Geschäftsgeheimnisse besser identifizieren (und damit schützen).

4. Awareness
Die besten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten laufen jedoch ins Leere, wenn Mitarbeiter nicht entsprechend geschult sind und dadurch selbst (unbewusst) Datenpannen herbeiführen. Dementsprechend sollten auch datenschutzbezogene Sachverhalte und Themen in die Awareness-Maßnahmen der Organisation einfließen – sei es durch Schulungen oder aber Aushänge mit »Unfällen« und Vermeidungsmaßnahmen, wie sie aus dem Arbeitsschutz bekannt sind. Routine und »Das haben wir immer schon so gemacht« sind die bedeutendsten Faktoren für ein Fehlverhalten von Mitarbeitern, egal ob diese Gabelstapler fahren oder Beschäftigtendaten verarbeiten.

Fazit. Datenschutz muss immer »mitgedacht« werden, gleich ob beim Design, der Implementierung, dem Betrieb oder der Außerbetriebnahme von Informationssystemen. Ihm kommt die gleiche Bedeutung zu wie der Informationssicherheit – daher ist eine enge und nachhaltige Zusammenarbeit von IT, IT-Sicherheit und dem/der Datenschutzbeauftragten Pflicht. Die Bedrohungen werden nicht weniger. Deshalb müssen die einschlägigen Themen immer wieder nachgehalten werden. Dazu sind auch die Fachbereiche in die Pflicht zu nehmen und zugleich zu beraten. Bußgelder in Millionenhöhe sind im Zweifelsfall teurer als die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes.

Christoph Lüder (l.), Marcus Schwertz,
LEXTA CONSULTANTS GROUP, Berlin

www.lexta.com/de

Illustration: © alex74 /shutterstock.com

983 Artikel zu „DSGVO Datenschutz“

NEWS | IT-SECURITY | STRATEGIEN

Datenschutz – Zunehmende DSGVO-Geldbußen rücken »Privacy by Design« ins Interesse

27. April 2020

Der Datenschutz hat sich seit der Einführung der Datenschutzgrundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet. Die DSGVO gibt…

Der Datenschutz muss in die DNA eines Unternehmens integriert werden, beginnend beim Design, der Implementierung, dem Betrieb oder der Außerbetriebnahme von Informationssystemen. Eine enge und nachhaltige Zusammenarbeit von IT, IT-Sicherheit und dem Datenschutzbeauftragten ist unvermeidlich.

Christoph Lüder (l.), Marcus Schwertz, LEXTA CONSULTANTS GROUP, Berlin

983 Artikel zu „DSGVO Datenschutz“

Christoph Lüder (l.), Marcus Schwertz,
LEXTA CONSULTANTS GROUP, Berlin