Datenpannen steigen DSGVO: 48,1 Millionen Euro Bußgelder und kein Ende in Sicht

Autor: Heidi Schuster

Noch bevor die DSGVO anwendbares Recht geworden ist, hat sie schon für Unmut in Unternehmen gesorgt. Zu kompliziert, zu undurchsichtig, zu teuer in der Umsetzung. Drei Jahre später scheinen Unternehmen immer noch ihre Probleme damit zu haben.

Firmen zum Thema

Alleine in Deutschland wurden 2020 im Rahmen der DSGVO 48,1 Millionen Euro an Bußgeldern verhängt.
Alleine in Deutschland wurden 2020 im Rahmen der DSGVO 48,1 Millionen Euro an Bußgeldern verhängt.
(Bild: klausfotolia48 - stock.adobe.com)

Haute, am 25. Mai, jährt sich zum dritten Mal, dass die Datenschutzgrundverordnung (DSGVO) anwendbares Recht geworden ist. Zahlen aus dem Jahr 2020 deuten darauf hin, dass es Firmen anscheinend schwerer fällt, wegen der Corona-Pandemie die wachsenden Datenmengen der Verordnung entsprechend zu verarbeiten. 26.057 Datenpannen wurden Veritas zufolge im vergangenen Jahr deutschlandweit gemeldet, so viele wie zwischen Mai 2018 bis Ende 2019 nicht. Am häufigsten wurden Vorfälle im Zusammenhang mit dem Versand von Dokumenten, Cyber-Angriffen und technischen Mängeln gemeldet.

Lange keimte die Hoffnung, dass es die Behörden mit Bußgeldern in Zusammenhang mit der DSGVO nicht so genau nähmen und die angekündigten hohen Strafen nur zur Abschreckung dienten. Die deutschen Datenschutzbehörden haben dem DSGVO-Portal zufolge im Jahr 2020 Bußgelder in Höhe von 48,1 Millionen Euro verhängt, rund 50 Prozent mehr als im Vorjahr. Europaweit summierte sich 2020 die Höhe der Strafen in den 27 Mitgliedsländern auf 158,5 Millionen Euro, eine Steigerung von rund 40 Prozent gegenüber 2019.

DSGVO als Druckmittel vor dem Arbeitsgericht

Laut Veritas sind Fälle bekannt, in denen Arbeitnehmer Kopien aller personenbezogenen Daten in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten des Arbeitgebers von Vorgesetzten und Kollegen verlangten. Dies zeigt ein Fall vor dem Arbeitsgericht Düsseldorf (Az. 9 Ca 6557/18), das entschieden hat, dass ein Arbeitnehmer vom Arbeitgeber Auskunft über die über ihn gespeicherten Daten verlangen kann. Bei einer unvollständigen Datenauskunft steht demnach dem Arbeitnehmer ein Schadenersatz nach der DSGVO zu. Für eine um Monate verspätete und unvollständige Auskunft sei der Schadenersatz auf 5.000 Euro zu beziffern.

Der Brexit und die unklare Rechtslage

Dass sich die Rahmenbedingungen beim Thema Compliance ändern, ist spätestens seit dem Austritt von Großbritannien aus der EU klar. So ist es etwa nicht mehr ohne weiteres möglich, Daten zwischen Deutschland und Großbritannien auszutauschen. Daher läuft aktuell das Verfahren zum Erlass eines Angemessenheitsbeschlusses. Diese Regelung soll gewährleisten, dass die bestehenden Datenschutzbestimmungen im Vereinigten Königreich ausreichend sind und Unternehmen aus der EU Daten dort speichern dürfen. Allerdings müssen die EU-Mitgliedsstaaten dem Entwurf noch zustimmen. Dafür haben sie bis Juni Zeit. Erst danach ist der Datenaustausch zwischen der EU und dem Vereinigten Königreich wieder ohne Einschränkungen möglich.

Das gilt es zu beachten

Für Firmen wird es also immer wichtiger, ihre Daten gemäß der DSGVO zu organisieren. In den vergangenen Jahren haben die Compliance-Spezialisten bei Veritas miterlebt, welche Fehler Firmen bei der Umsetzung der Compliance machen und wie hingegen erfolgreiche Firmen vorgehen, und zeigen auf, welche Punkte besonders zu beachten sind:

1. Compliance ganzheitlich denken: Auch wenn beispielsweise das fristgerechte Löschen von Daten in erster Linie im Bereich der IT anzusiedeln ist, darf nicht vergessen werden, dass Compliance eine klar rechtliche Aufgabe ist. Bei erfolgreichen Projekten arbeiten alle Beteiligten zusammen: die Rechtsabteilung, der Datenschutzbeauftragte, die IT und auch die Geschäftsführung. Dieser Ansatz hilft dabei, sämtliche Aspekte zu berücksichtigen – seien es Risiken durch ein gestiegenes Datenaufkommen oder sich wandelnde politische Regelungen. Auf diese Weise können alle Beteiligten mögliche Risiken gemeinsam einschätzen und für reibungslose Prozesse sorgen.

2. Die Rolle des Managements: Die Führungsetage eines Unternehmens sollte sich der strategischen Bedeutung des Compliance-Themas bewusst sein und die dafür erforderlichen finanziellen und zeitlichen Mittel zur Verfügung stellen. Denn bei solchen Projekten geht es um eine der wertvollsten Ressourcen von Unternehmen: die Daten. Sie stellen eine wichtige Quelle für die Optimierung der eigenen Produktpalette dar, und Firmen sind daher gut beraten, diese Informationen wertzuschätzen. Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen – und damit auf lange Sicht auch Umsatz.

3. WORM ist keine Compliance-Garantie: Mit dem WORM-Verfahren („Write Once, Read Many“) lassen sich Daten unveränderbar auf Speicher ablegen. Irrtümlicherweise gehen viele Compliance-Verantwortliche davon aus, dass mithilfe dieser Lösung bereits Revisionssicherheit (fälschlich auch „Rechtssicherheit“) besteht. Für Firmen ist es daher hilfreich, sämtliche Verfahren, bei denen es um personenbezogene Daten geht, zu betrachten und zu dokumentieren. In diesem Zusammenhang ist es wichtig, den Zugriff der Mitarbeiter auf die Daten zu beschränken und in Audit-Logs genau nachzuvollziehen. Die Rechte selbst sollten in einem Rollenkonzept klar definiert und dokumentiert sein. Um Compliance-Konformität zu gewährleisten, müssen personenbezogene Daten nach Ablauf des dokumentierten Zwecks automatisch gelöscht werden – sowohl in den Archiven als auch in sämtlichen anderen Datenquellen. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das diese Daten automatisch und fehlerfrei in allen Speicherorten findet.

4. Vom Ist-Zustand zum Soll-Zustand: Organisationen sollten Prozesse für ihr Compliance-Projekt klar definieren und auf dieser Basis vorantreiben. Dabei ist es wichtig, die internen Abläufe und Daten im Rahmen einer Ist-Aufnahme zu erfassen und daraus einen Soll-Zustand abzuleiten. Im Anschluss können alle Beteiligten – beispielsweise Rechtsabteilung, Datenschutzbeauftragte, IT und Geschäftsführung – gemeinsam einen pragmatischen Anforderungskatalog mit klaren Zielen und Zwischenschritten definieren.

„Das Thema Datenschutz wird für Unternehmen kontinuierlich anspruchsvoller. Sie müssen mit immer größeren Datenmengen zurande kommen und gleichzeitig ein Auge auf die politischen Rahmenbedingungen werfen. Bestes Beispiel hierfür ist der Austritt von Großbritannien aus der EU“, sagt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies. „Verstehen Unternehmen das Thema Compliance ganzheitlich und sind sich der Bedeutung dieses Themas sowohl auf Management-Ebene als auch in der IT bewusst, ist ein großer Schritt in Richtung Compliance-Konformität getan. Denn dadurch gibt es eine gute Grundlage für eine enge und effektive Zusammenarbeit.“

(ID:47399276)

Über den Autor

 Heidi Schuster

Heidi Schuster

Redakteurin, Online CvD, Vogel IT-Medien