Die Informationsrechtskolumne: bITte – RECHT, freundlich

Der Datenschutz muss in die DNA eines Unternehmens integriert werden, beginnend beim Design, der Implementierung, dem Betrieb oder der Außerbetriebnahme von Informationssystemen. Eine enge und nachhaltige Zusammenarbeit von IT, IT-Sicherheit und dem Datenschutzbeauftragten ist unvermeidlich.

Wer die Bestimmungen der Datenschutzgrundverordnung (DSGVO) verletzt, riskiert empfindliche Strafen – das sollte seit Inkraftsetzung jedem Unternehmen bekannt und bewusst sein. Artikel 83 DSGVO regelt dies unmissverständlich und droht wirksame und abschreckende Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Umsatzes an, je nachdem was höher ausfällt.

Zugegeben, in Deutschland gab es noch keine Androhung eines Bußgelds in Höhe von 202 Millionen Euro, wie gegen British Airways vorgeschlagen wurde (wenngleich diese Summe richterlich auf »nur« 22 Millionen Euro reduziert wurde). Ein Blick auf in Deutschland verhängte Bußgelder zeigt aber, dass die Behörden tätig werden und weder vor Individuen wie Privatpersonen oder Polizisten noch vor großen Unternehmen haltmachen. Die Bußgelder rangierten von dreistelligen Eurobeträgen bis hin zu über 35 Millionen Euro im kürzlich öffentlich gewordenen Fall des Einzelhändlers H&M aus dem Oktober 2020. 

Verstöße gegen einige wenige Bestimmungen kristallisieren sich dabei als Hauptgründe zur Verhängung der Bußgelder heraus, oftmals sogar in Kombination von zwei oder drei verletzten Normen. Dies betrifft insbesondere die Artikel 5, 6 und 32 DSGVO, welche die Grundsätze für die Verarbeitung personenbezogener Daten und die Rechtmäßigkeit der Verarbeitung sowie die Sicherheit der Verarbeitung regeln. Die Einhaltung der Grundsätze als auch die Bestimmung der Rechtmäßigkeit einer Datenverarbeitung werden überwiegend eher nicht im originären Verantwortungsbereich der IT angesiedelt sein, sondern basieren auf Vorgaben derjenigen Unternehmensbereiche, für welche die Daten eine Relevanz besitzen.

Anzeige

Natürlich kann und sollte hier das IT-Management beratend zur Seite stehen, aber in der Regel weiß ja nur die anfordernde Stelle, welche Daten tatsächlich und für wie lange für welchen Zweck benötigt werden. Anforderungen an die technische Umsetzung und damit unmittelbar eingreifend in Lösungen stellt Artikel 32, auch wenn hier der Gesetzgeber beispielsweise sehr unbestimmt auf den Stand der Technik und die Höhe von Implementierungskosten verweist. Offensichtlich gibt es aber genug Raum für Verbesserungen auch bei großen Organisationen, wie die verhängten Bußgelder beispielsweise gegen die AOK Baden-Württemberg, Deutsche Wohnen oder 1&1 zeigen.

Welche Handlungsempfehlungen ergeben sich nun insbesondere aus den drei oben zitierten Artikeln der DSGVO?

1.  Saubere technische Konfigurationen
Einige Datenpannen sind auf fehlende oder falsch gesetzte Konfigurationen von IT-Systemen zurückzuführen. Wenn die gesamte Kundendatenbank ungesichert online verfügbar ist, nützen die besten Berechtigungskonzepte nichts. Daher sollte vor jeder Inbetriebnahme, Veränderung und auch Aktualisierung geprüft werden, ob und inwieweit solche Systeme (auch Backup-Speicher) von außen beziehungsweise über das Internet erreichbar sind. Dies umfasst auch ein angemessenes Authentifizierungsverfahren, das mehrere Faktoren umfassen sollte. Ebenso sollten nicht genutzte oder benötigte Accounts gelöscht, gesperrt oder zumindest deaktiviert werden.

Hinzu kommt, dass die Rechtfertigung »Das geht technisch nicht« durch Aufsichtsbehörden häufig nicht nachvollzogen wird. Bei der Planung und Implementierung von IT-Systemen müssen die Grundsätze des Datenschutzes stets Berücksichtigung finden: so sollten auch archivierte Daten nach Ablauf der Aufbewahrungsfristen gelöscht werden können, im Optimalfall automatisiert.

Anzeige

2. Sicherheitslücken ernst nehmen
Viele Unternehmen, die von Datenpannen betroffen waren, wussten um die entsprechenden Lücken und Schwachstellen – zumeist durch Meldungen eigener Mitarbeiter, zum Teil aber auch durch Informationen von Journalisten oder anderen Dritten. Für den Umgang mit solchen Informationen sollte ein entsprechender Prozess zur Handhabung und Beseitigung von Schwachstellen in die IT-Organisation implementiert werden. Dabei ist eine schnelle Reaktionsfähigkeit ein wesentlicher Faktor, denn wenn die Datenpanne erst öffentlich geworden ist, ist auch der Ruf des Unternehmens beschädigt.

3. Transparentes Datenmanagement
Strukturelle Defizite beim Management der in der Organisation vorhandenen Daten erschweren zum einen die Identifikation der personenbezogenen Daten (etwa im Falle eines Auskunftsbegehrens durch Betroffene oder im Rahmen von Datenpannen), zum anderen bleiben dann häufig viele Datengräber im Dunkeln. Doch gerade um die Prinzipien des Artikels 5 der DSGVO umzusetzen, ist die Kenntnis aller in der Organisation vorhandenen (personenbezogenen) Daten unumgänglich – häufig sind Datensätze in mehrfacher Ausführung vorhanden (fehlende Datenminimierung) oder werden nicht gelöscht (keine Speicherbegrenzung), weil nicht bekannt ist, ob und wo sich zu löschende Daten »verstecken«. Interessanter Nebeneffekt eines transparenten Managements aller Daten im Unternehmen: Hierdurch lassen sich auch Geschäftsgeheimnisse besser identifizieren (und damit schützen).

4. Awareness
Die besten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten laufen jedoch ins Leere, wenn Mitarbeiter nicht entsprechend geschult sind und dadurch selbst (unbewusst) Datenpannen herbeiführen. Dementsprechend sollten auch datenschutzbezogene Sachverhalte und Themen in die Awareness-Maßnahmen der Organisation einfließen – sei es durch Schulungen oder aber Aushänge mit »Unfällen« und Vermeidungsmaßnahmen, wie sie aus dem Arbeitsschutz bekannt sind. Routine und »Das haben wir immer schon so gemacht« sind die bedeutendsten Faktoren für ein Fehlverhalten von Mitarbeitern, egal ob diese Gabelstapler fahren oder Beschäftigtendaten verarbeiten.

Fazit. Datenschutz muss immer »mitgedacht« werden, gleich ob beim Design, der Implementierung, dem Betrieb oder der Außerbetriebnahme von Informationssystemen. Ihm kommt die gleiche Bedeutung zu wie der Informationssicherheit – daher ist eine enge und nachhaltige Zusammenarbeit von IT, IT-Sicherheit und dem/der Datenschutzbeauftragten Pflicht. Die Bedrohungen werden nicht weniger. Deshalb müssen die einschlägigen Themen immer wieder nachgehalten werden. Dazu sind auch die Fachbereiche in die Pflicht zu nehmen und zugleich zu beraten. Bußgelder in Millionenhöhe sind im Zweifelsfall teurer als die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes.


Christoph Lüder (l.), Marcus Schwertz,
LEXTA CONSULTANTS GROUP, Berlin
www.lexta.com/de

 

Illustration: © alex74 /shutterstock.com

 

983 Artikel zu „DSGVO Datenschutz“

Datenschutz – Zunehmende DSGVO-Geldbußen rücken »Privacy by Design« ins Interesse

Der Datenschutz hat sich seit der Einführung der Datenschutzgrundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet.   Die DSGVO gibt…

Datenschutzkonformität: Schnell Klarheit zur EU DSGVO mit Self-Assessment

Ein neu entwickeltes, webbasiertes Self-Assessment von TÜV SÜD hilft Unternehmen bei der Einschätzung ihrer aktuellen Datenschutzkonformität gemäß der EU DSGVO. Die Online-Analyse wird ergänzt durch eine kostenlose Erstberatung und einen frei erhältlichen Praxisleitfaden, speziell für kleine und mittelständische Unternehmen (KMU). »Besonders kleine und mittelständische Unternehmen sind oft unsicher, ob sie die Anforderungen der mit Frist…

DSGVO steigert das Vertrauen der Mitarbeiter in die Datensicherheit – Datenschutz ist keine Einmalaufgabe

Seit Mai 2018 ist die DSGVO anzuwenden, um den Schutz der personenbezogenen Daten zu verbessern und die Privatsphäre der Menschen zu gewährleisten. Die Umsetzung der DSGVO zeitigt einen erheblichen Vertrauenszuwachs bei den Beschäftigten. Qualitätsorientierte Unternehmen streben eine Maximallösung an, um eine belastbare Datenverarbeitungsgrundlage für die Zukunft zu schaffen.

DSGVO: Ein Jahr Datenschutzgrundverordnung

Fast 150.000 Anfragen und Beschwerden mit DSGVO-Bezug sind seit Mai 2018 bei Datenschutzbehörden in Europa aufgelaufen – davon rund 90.000 Benachrichtigung über Datenschutzverletzungen. Zum ersten Jahrestag der neuen europäischen Datenschutzvorschriften ziehen Andrus Ansip, Vizepräsident der Kommission und Kommissar für den digitalen Binnenmarkt‚ und Věra Jourová, Kommissarin für Justiz, Verbraucher und Gleichstellung, eine positive Bilanz: »Durch…

DSGVO und umfassender Datenschutz – wann wird ein Schuh daraus?

Statement zum Europäischen Datenschutztag 2019.   Liviu Arsene, Leitender Bedrohungsanalyst bei Bitdefender Vor einem Dreivierteljahr trat die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Eine wichtige Verordnung, um die Daten von Verbrauchern besser zu schützen. Man könnte annehmen, damit wähnt sich der jährlich mahnende Europäische Datenschutztag an seinem Ziel, erinnert er doch schon zum 13. Mal an das…

DSGVO: Umsetzung der Datenschutzregeln an vielen Stellen weiterhin unklar

■  100 Tage Datenschutzgrundverordnung: Bitkom zieht Bilanz. ■  Dehmel: »Die DSGVO hat die Unternehmen viel Zeit und Geld gekostet.«    Die Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom hatten drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. »Auch jetzt noch…

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutzgrundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem Stichtag am 25. Mai herrscht in vielen Unternehmen immer noch Unklarheit. Laut einer aktuellen Bitkom-Studie haben 75 % der deutschen Unternehmen die Frist der DSGVO verfehlt [1]. Lediglich ein Viertel haben ihre Datenverarbeitungsprozesse bereits vor Gültigkeit der Verordnung vollständig an die neuen Datenschutzregeln angepasst. Doch…

US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?

  Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in…

Die DSGVO als Chance zur Verbesserung von Datenschutz und Sicherheit

Regulierung und Verbrauchererwartungen führen dazu, dass Unternehmen ihre Sicht auf Datenhaltung überdenken; 80 Prozent der befragten Unternehmen planen Verringerung der Menge an gespeicherten personenbezogenen Daten. Eine neue Studie von IBM zeigt, dass fast 60 Prozent der befragten Unternehmen die Datenschutzgrundverordnung (DSGVO) als Chance zur Verbesserung der Privatsphäre, Sicherheit, Datenverwaltung und Katalysator für neue Geschäftsmodelle ansehen…

Datenschutzgrundverordnung: Deutsche Unternehmen überwiegend nicht DSGVO-Ready

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Mit der DSGVO soll die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Datenschutzverstöße können nach Inkrafttreten der Verordnung mit Geldbußen in Höhe von bis zu vier Prozent des weltweiten Umsatzes pro Verstoß bestraft werden. Eine realistische Gefahr für…

DSGVO gilt auch für stoffliche Dokumente: Toxische Papiere gefährden Datenschutz

Die »Europäische Datenschutzgrundverordnung« (DSGVO) hat in Marketing-, Vertriebs- und Rechtsabteilungen von Unternehmen ein mittleres Erdbeben ausgelöst. Die Herausforderungen sind immens. Und die Uhr tickt: In wenigen Wochen tritt die DSGVO in Kraft. Die meisten Unternehmen konzentrieren sich jedoch bei der Umsetzung der neuen Verordnung auf ihre digitalen Daten. Völlig außer Acht gelassen wird dabei, dass…

DSGVO: Datenschutz und Datensicherheit

  Ob Datenschutztag, Data Protection Day oder Data Privacy Day – gemeint ist stets der 28. Januar. Das Datum steht für einen 2007 vom Europarat initiierten, jährlich wiederkehrenden Tag, der das Bewusstsein für Datenschutz und Datensicherheit schärfen soll. Selten aber kam dem Datenschutztag eine so besondere, aktuelle Bedeutung zu wie dieses Jahr. Denn ab dem…

Gestärkte Rechte der Betroffenen und neue Datenschutzerklärung nach DSGVO: Was Unternehmen jetzt tun müssen

Am 25. Mai 2018 startet europaweit mit der EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära. Ihr Ziel: Die Rechte der von der Datenverarbeitung betroffenen Personen zu stärken und Unternehmen bei Datenschutzverstößen empfindlich zu treffen.   Die neuen oder gestärkten Betroffenenrechte sowie die Neuregelungen zur Datenschutzerklärung sind allerdings riesige Bausteine der DSGVO und für viele Unternehmen eine echte…

Schärfere Vorgaben beim Datenschutz: Endspurt für die Vorbereitung auf die DSGVO

Der Countdown läuft: Bis zum 25. Mai 2018 müssen Unternehmen die Neuerungen der seit 2016 geltenden Datenschutz-Grundverordnung (DSGVO) umgesetzt haben. Die Verschärfungen betreffen vor allem die Rechenschafts- und Nachweispflicht beim Umgang mit personenbezogenen Daten sowie die Meldepflicht im Fall von Datenpannen. Gleichzeitig steigt auch die Höhe möglicher Bußgelder deutlich. Um auch in Zukunft rechtskonform aufgestellt…

Privacy Shield versus DSGVO: Zweierlei Maß beim Datenschutz

Gerade hat die Artikel-29-Datenschutzgruppe, ein unabhängiges Beratergremium der Europäischen Kommission eine Evaluation des Privacy Shield veröffentlicht [1]. Die Experten sind im Großen und Ganzen zufrieden mit dem Nachfolger des Safe-Harbor-Abkommens, das die Daten von EU-Bürgern in den USA schützen soll. Größter Kritikpunkt ist, dass die geplante Ombudsmann-Stelle noch nicht besetzt wurde. Dieses vorsichtig optimistische Fazit…

DSGVO: Der Countdown läuft – ist Ihr Unternehmen auf die neue Datenschutz-Grundverordnung vorbereitet?

In fünf Monaten, am 25. Mai 2018, wird die neue Datenschutz Grundverordnung (DSGVO) der Europäischen Union in Kraft treten, und die alte EU-Datenschutzrichtlinie aus dem Jahre 1995, die längst überholt ist, ersetzen. Die EU-Bezeichnung zum gleichen Thema lautet General Data Protection Regulation (GDPR). Viele Unternehmen haben sich mit dem Thema noch nicht oder wenig befasst.…

EU-DSGVO: Compliance-Check testet Datenschutzpraxis von Unternehmen auf Herz und Nieren

Testergebnis gibt individuelle Handlungsempfehlungen und Praxishilfen. Der europäische Security-Hersteller ESET stellt ab sofort Organisationen und Unternehmen einen umfassenden Compliance-Check zum Datenschutz kostenlos unter dsgvo.eset.de zur Verfügung. Das Online-Tool dient als Praxishilfe zur Umsetzung der kommenden EU-Datenschutz-Grundverordnung. Damit können Verantwortliche und Entscheider ihren Status Quo in puncto Sicherheit und Unternehmensrichtlinien bestimmen und so prüfen, ob sie…

DSGVO: Jedes dritte Unternehmen hat sich noch nicht mit der Datenschutzgrundverordnung beschäftigt

  Aktuell haben erst 13 Prozent erste Maßnahmen angefangen oder umgesetzt.   Nur eine Minderheit glaubt, die EU-Verordnung fristgerecht umzusetzen.   Größte Hürden sind unklarer Umsetzungsaufwand und Rechtsunsicherheit.   September 2017: Der großen Mehrheit der Unternehmen in Deutschland drohen in wenigen Monaten Millionen-Bußgelder. Am 25. Mai 2018 müssen nach einer zweijährigen Übergangsfrist die Vorgaben der…