DSGVO – Eine erste Bilanz und was Unternehmen daraus lernen können

Data & Storage
Datenschutz (Bild: Shutterstock)

Seit fast zwei Jahren gehört die Datenschutz-Grundverordnung (DSGVO) nun zum Unternehmensalltag. Wurden Verstöße dagegen tatsächlich geahndet? Wie hoch waren die verhängten Strafen? Welche Unternehmen sind daran gescheitert und warum? Wären sie nicht gut beraten gewesen, sich besser vorzubereiten und – im Vergleich zum Strafmaß – einen Bruchteil der Summe in ein sicheres Identity- und Access-Management (IAM) zu investieren, um DSGVO-konform zu sein?

Seit fast zwei Jahren gilt die Datenschutz-Grundverordnung (DSGVO). In 99 Artikeln regelt sie den Umgang mit personenbezogenen Daten durch Organisationen und Institutionen für Bürger der EU – und sollte damit zum festen Bestandteil des Unternehmensalltags geworden sein. Dass dies noch längst nicht überall der Fall ist, zeigen die drastischen Busgelder in Millionenhöhe, die kürzlich verhängt wurden. Gab es in den ersten Monaten des Inkrafttretens nur vereinzelt geringe Geldstrafen, traf es mit der Wohngesellschaft Deutsche Wohnen und dem Telekommunikationsanbieter 1&1 gegen Ende des Jahres 2019 gleich zwei etablierte deutsche Unternehmen umso härter.

Dirk Wahlefeld, der Autor dieses Gastbeitrags, ist Product Manager bei Cognitum Software. Er ist verantwortlich für die Standard-basierte Identity-Management-Lösung go:Identity und das umfassende Werkzeug rund um Businessrollen-Modelle, go:Roles. (Bild: Cognitum)
Dirk Wahlefeld, der Autor dieses Gastbeitrags, ist Product Manager bei Cognitum Software. Er ist verantwortlich für die Standard-basierte Identity-Management-Lösung go:Identity und das umfassende Werkzeug rund um Businessrollen-Modelle, go:Roles. (Bild: Cognitum)

Mit 14,5 Millionen Euro sprach die Berliner Datenschutzbehörde kürzlich das bislang höchste Bußgeld der deutschen Datenschutzgeschichte gegen die Deutsche Wohnen aus. Die Behörde kritisierte, dass die Wohnungsgesellschaft ein Archivsystem benutze, das keine Möglichkeit zur Löschung nicht mehr benötigter persönlicher Daten vorsehe. Ganze 9,55 Millionen Euro beträgt die Strafe gegen die 1&1 Telecom GmbH. Verhängt wurde diese vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Stein des Anstoßes hier war, dass Anrufer durch die Angabe des Namens und des Geburtsdatums weitreichende persönliche Informationen erhalten konnten, das Unternehmen also personenbezogene Daten nicht ausreichend geschützt hatte. Neben den deutschen Unternehmen traf es auch andere, mehr oder weniger bekannte europäische Organisationen, wie British Airways; Marriot International, Inc., Google Frankreich oder das Haga Hospital in Den Haag.

Wer zeigte an, wie hoch waren die Strafen, wofür wurde bestraft?

Es lohnt sich, einen genauen Blick auf die Website enforcementtracker.com/ zu werfen. Hier werden weitestgehend alle DSGV-Verstöße europaweit dokumentiert. Die Daten sind für jeden zugänglich. So lässt sich feststellen, dass von April 2018 bis Dezember 2019 insgesamt 168 Verletzungen gegen die DSGVO dokumentiert wurden. Das Strafvolumen betrug insgesamt knapp 420 Millionen Euro. Doch wie werden Verstöße eigentlich als solche erkannt? Sie können entweder von individuellen Personen, die das Gefühl haben, das an einer bestimmten Stelle nicht DSGVO-konform mit sensiblen Daten umgegangen wird, an die jeweils zuständige Datenschutzbehörde gemeldet werden. Oder aber das Unternehmen, dass mit Daten arbeitet, zeigt sich selbst an – so geschehen im Falle von Marriot International, Inc und British Airways.

Im Falle einer Selbstanzeige reduziert sich die anschließend durch die Datenschutzbehörde verhängte Strafe deutlich. Auch die jeweilige Datenschutzbehörde selbst kann den Umgang mit personenbezogenen Daten prüfen und Verstöße direkt ahnden. Zudem können Mitarbeiter von Unternehmen Datenschutzverletzungen an den vorhandenen Unternehmensstrukturen vorbei bei den Behörden melden. Dies ist häufig der Fall, wenn sie das Gefühl haben, mit ihren Anliegen ignoriert zu werden. Ebenso haben sich NGOs (nichtstaatliche Organisationen) formiert, die wie im Fall von Google Frankreich, Verstöße aufdecken und zur Anzeige bringen

Mit 66 Prozent wurden die meisten Verstöße durch individuelle Personen gemeldet, gefolgt von 22 Prozent, die durch die Datenschutzbehörden aufgedeckt wurden. Auf Platz drei liegen mit sechs Prozent die Mitarbeiter, auf Platz vier die Unternehmen mit drei Prozent. NGOs informierten die Behörden in drei Fällen. Die Strafe hierfür betrug jedoch ganze 68 Millionen Euro. Interessant an dieser Aufstellung ist, dass zwar nur drei Prozent der Unternehmen sich selbst angezeigt haben, in diesem Bereich mit rund 315 Millionen Euro jedoch die höchsten Strafen verhängt wurden. Zwar haben die individuellen Personen die meisten Fälle zur Anzeige gebracht, jedoch betrug das Strafvolumen hier nur 7,5 Millionen Euro.

Nicht weniger von Interesse ist, welche Vergehen die zehn europäischen Unternehmen, gegen die die höchsten Busgelder verhängt wurden, begangen haben: Die Hälfte von ihnen ist nicht korrekt mit Kundendaten umgegangen, 30 Prozent hat Personendaten unerlaubter Weise gesammelt und weiterverarbeitet und 20 Prozent waren nicht in der Lage, besonders sensible Daten – in diesem Fall Patienteninformationen – gesetzeskonform zu schützen.

Wie wird geprüft?

Die DSGVO besteht aus 99 Artikeln, die in elf Kapiteln gebündelt wurden. Im Falle einer Untersuchung werden alle 99 Artikel geprüft. Die meisten Unternehmen verstoßen nur gegen einzelne Artikel, nicht jedoch gegen alle. Der Artikel, der von April 2018 bis Dezember 2019 mit 67 Fällen am häufigsten verletzt wurde, ist Artikel 5. Dieser beschäftigt sich mit den Grundsätzen für die Verarbeitung personenbezogener Daten. 58 mal wurde gegen Artikel 6, die Rechtmäßigkeit der Verarbeitung und 41 mal gegen Artikel 32 verstoßen, der die Sicherheit der Datenverarbeitung regelt. Und dennoch: Wurde Artikel 32 zwar nur am dritthäufigsten verletzt, sorgt er jedoch mit großem Abstand für das höchste Strafmaß: 332 der insgesamt 420 Millionen Euro entfallen allein auf ihn.

Doch auch bei Strafen in Millionenhöhe stellt sich die Frage nach der Verhältnismäßigkeit. Sprich: Sind diese Geldsummen nun viel oder wenig? Ein Blick auf das Bruttoinlandsprodukt (BIP) der EU, das für das Jahr 2018 16 Trillionen Euro beträgt, hilft, diese Frage ganz klar mit Nein zu beantworten. Die Strafen, die bislang verhängt wurden, betragen gerade 0,002 Prozent des EU BIP. Die Strafe für das Verletzen der DSGVO kann bis zu vier Prozent des Gesamtumsatzes eines Unternehmens betragen.

Was kann ein Unternehmen tun, um DSGVO-sicher zu arbeiten?

Die 99 Artikel der Verordnung lassen sich kategorisieren in organisatorische und operative Themen. Ersteres bedeutet, die Datenschutzbeauftragten zu schulen, zu zertifizieren, die eigene Datenschutzerklärung zu aktualisieren und Zugänge zu diesen Informationen bereitzustellen. Letzteres hingegen klärt, welche Prozesse implementiert und wie diese automatisiert werden können. Man kann feststellen, dass zwar 52 Prozent aller Bußgelder organisatorisch bedingt waren. Schaut man auf die Strafen, wurden aber 84 Prozent davon für operative Unzulänglichkeiten verhängt. Oder anders gesagt: Eine Handvoll Artikel der DSGVO machen 84 Prozent aller Strafen aus.

Für Unternehmen gibt es also erheblichen Nachholbedarf. Optimierungen im organisatorischen Bereich würde die Anzahl der Strafen reduzieren, während operative Verbesserungen die Höhe der Strafen senken würde. Alle Maßnahmen zusammen ließen also die Wahrscheinlichkeit, eine DSGVO-Prüfung ohne Beanstandungen zu überstehen, deutlich steigen.

Identity und Access Management (IAM) – der Schlüssel zur DSGVO-Konformität?

Gerade die operativen Themen können durch eine wohl durchdachte und gut implementierte IAM-Strategie positiv beeinflusst werden. Tools allein genügen zwar nicht, dennoch helfen diese, Personendaten (Identitäten), Berechtigungen und Rollen aufzusetzen sowie zu verwalten. Die Datenschutzgrundverordnung gilt für jedes Unternehmen, welches persönliche Daten von Bürgern der EU erfragt, speichert, verarbeitet oder weiterleitet – egal welcher Branche es angehört und wie groß es ist. Der Blick auf die bisherigen Verstöße hat gezeigt: Busgelder können jeden treffen – es gibt keine Ausnahme.

Umso wichtiger ist es, dass sich gerade kleinere und mittlere Unternehmen Hilfe holen. Sie haben häufig weder eine Rechtsabteilung noch einen Rechtsanwalt an Bord, der sich mit Datenschutz auskennt. Eine solche Hilfe können Berater oder spezialisierte Anwaltskanzleien sein, die eine DSGVO-Prüfung anbieten. Über Prozessanalysen finden diese heraus, wo die Schwachstellen sind und ob einer der Artikel der DSGVO bisher unzureichend bedacht wurde. Der Bericht gibt dann Aufschluss, wie die Daten im Unternehmen gesammelt, verarbeitet und weitergegeben werden. Anschließend sollten übergreifende Prozesse geprüft und die Verantwortlichkeiten geklärt werden. Vorhandene Unzulänglichkeiten – und damit mögliche Datenschutzverstöße – müssen organisatorisch und operativ strukturiert und anschließend systematisch abgearbeitet werden. Doch die Mühe lohnt sich, denn wenn diese beseitigt worden sind, hat das Unternehmen praktisch die Sicherheit, Datenschutz-konform zu arbeiten und auf keinen Fall wegen Verstößen dagegen vier Prozent seines letzten Jahresumsatzes einzubüßen.

Autor
Erfahren Sie mehr 
Dirk Wahlefeld ist Product Manager bei Cognitum Software. Er ist verantwortlich für die Standard-basierte Identity-Management-Lösung go:Identity und das umfassende Werkzeug rund um Businessrollen-Modelle, go:Roles. Als Product Manager sorgt er für die Konzeption und die Umsetzung der Produktstrategie auf der Basis neuer Themen, Strategien und des Kundenfeedbacks. Zuvor war er für verschiedene globale Anbieter in unterschiedlichen Positionen tätig, beispielsweise bei Ping Identity, Centrify und Quest Software (später Dell Software Group). Seit fast 20 Jahren arbeitet Dirk Wahlefeld im Umfeld der IT-Sicherheit. Er verfügt über ein umfangreiches Expertenwissen in den Bereichen Identity und Access Management sowie eine ausgeprägte fachliche Neugier. Gerne verlässt er eingetretene Pfade und versucht, neue Wege zu gehen.
Erfahren Sie mehr