Maren Winter - stock.adobe.com

DSGVO: Was müssen Betriebe bei der Compliance beachten?

Die Umsetzung der DSGVO beschäftigt Unternehmen fortlaufend. Das Sicherheitsbewusstsein wurde dadurch zweifelsohne geschärft. So kann die Verordnung auch als Chance genutzt werden.

Am 25. Mai 2018 ist die Übergangsfrist für die EU-Datenschutz-Grundverordnung offiziell abgelaufen. Damit ist ein Regelwerk in Kraft getreten, das sich inzwischen zum zentralen Dreh- und Angelpunkt für Betriebe entwickelt hat.

Unternehmen, die Daten von EU-Bürgern erfassen, speichern, verarbeiten oder übertragen, sind gesetzlich dazu verpflichtet, die DSGVO einzuhalten. Hierzu zählen etwa Kundendaten, Namen, Telefonnummern, E-Mail-Adressen oder andere Daten, mit denen Personen identifiziert werden können.

Strenge Strafen wegen Datenpannen

Seit der verbindlichen Einführung sind inzwischen eineinhalb Jahre vergangen und die Datenschutzbehörden sind mittlerweile gut beschäftigt. Im Juli dieses Jahres wurde bekannt, dass die britische Datenschutzbehörde der Fluggesellschaft British Airways aufgrund einer Datenpanne im Rahmen von Onlinebuchungen 2018 ein Rekordbußgeld von zwei Millionen Euro verhängte.

Hintergrund war, dass Kriminelle bei einem Angriff im selben Jahr persönliche Daten und Kreditkarteninformationen inklusive Sicherheitscodes von Passagieren entwenden konnten. Von diesem Vorfall waren etwa 500.000 Kunden betroffen. Laut der britischen Datenschutzbehörde ICO (Information Commissioner´s Office) passierte dies nur, da die Sicherheitsvorkehrungen der Airline zu schwach waren.

Fast zeitgleich folgte der nächste Fall, diesmal traf es die US-Hotelkette Marriott. Das Unternehmen hat in den Augen der Behörden zu wenig für den Datenschutz getan und seine Systeme nicht ausreichend vor dem Verlust von Informationen gesichert.

Im November 2018 wurde ein massives Datenleck aufgedeckt. Im Rahmen dessen konnten sich Hacker Zugriff zu Informationen von 382 Millionen Gästen verschaffen – 5,25 Millionen Ausweisnummern und 385.000 gültige Zahlungskartennummern wurden ausspioniert. Auch hierzulande wurden die Behörden bereits mehrfach aktiv, wenn auch in weitaus geringerem Ausmaß – im Mai dieses Jahres wurden über 50.000 Euro gegen eine Bank verhängt, die unbefugt Daten ehemaliger Kunden verarbeitet hatte.

Datenschutz: Nachholbedarf vorhanden, aber Bewusstsein steigt

Die Verwirrung und Verunsicherung bei Unternehmen und Bürgern ist auch knapp 18 Monate nach Inkrafttreten der EU-DSGVO noch groß. Die Tatsache, dass innerhalb der Wirtschaft noch massiver Nachholbedarf in Sachen Compliance herrscht, bestätigte eine kürzlich erschienen Studie von Capgemini.

Wie das Beratungsunternehmen in der Erhebung Championing Data Protection and Privacy festhält, sind nur 28 Prozent aller befragten Unternehmen davon überzeugt, die Verordnung korrekt umzusetzen. Die Umsetzung ist also bei einem erschreckend großen Teil der Betriebe noch nicht abgeschlossen.

Befragt wurden für die Studie Führungskräfte unter anderem aus den Branchen Versicherung, Banken, Konsumgüter und Einzelhandel. Wie weit Vorstellung und Wirklichkeit hier auseinandergehen, zeigt die Tatsache, dass noch vor Einführung der DSGVO/GDPR im vergangenen Jahr ganze 78 Prozent der Betriebe angaben, die Anforderungen zeitnah zu erfüllen.

Trotz so mancher Konfusion und Verzögerung in der Umsetzung dürfte die Verordnung das Sicherheitsbewusstsein langfristig deutlich verbessert haben. Schließlich steht durch die DSGVO der Schutz sensibler Daten mehr denn je im Vordergrund.

Die darin verankerten Grundsätze rufen dazu auf, präventive Maßnahmen zu treffen, um genau diesen Schutz umfassend zu gewährleisten. Dadurch sollen Risiken im Datenmissbrauch deutlich minimiert werden. Durch Konzepte wie Privacy by Design, Standardisierung und Zertifizierung verlagern sich die datenschutzrechtlichen Anforderungen verstärkt auf die technische Ebene.

Insgesamt sollten Unternehmen die DSGVO als Chance nutzen, um ihre Daten zu konsolidieren und damit auch interne Abläufe nachhaltiger und transparenter zu steuern. Datenschutzrechtliche Anforderungen, die auf gewissen Standards und Zertifizierungen basieren sowie die entsprechenden Nachweise zur Datenverarbeitung führen inzwischen bereits dazu, dass die mit der Informationsverarbeitung verbundenen Risiken besser eingeschätzt und kontrolliert werden können. Genau dies ist der ideale Nährboden für datengetriebene Geschäftsmodelle und die weiter voranschreitende Digitalisierung.

Schritt für Schritt zur DSGVO-Konformität

Bei allen Chancen für das Datenschutzbewusstsein innerhalb der Wirtschaft und der Bevölkerung beschäftigt viele Unternehmen die Frage, was konkret getan werden kann, um Daten sicher und DSGVO-konform auszutauschen und zu archivieren. Dies verdeutlicht auch die Studie von Capgemini.

Bei der Beantwortung dieser Frage sollte man sich zunächst mit den Grundlagen beschäftigen. Generell ist die europäische Datenschutzgrundverordnung bindend für jedes Unternehmen weltweit, das Daten von EU-Bürgern speichert, verwaltet oder damit arbeitet. In diesem Zusammenhang ist es erst einmal unerheblich, wo sich der Hauptsitz eines Unternehmens befindet.

Wurden in den Jahren davor Daten an verschiedensten Stellen gespeichert, schiebt die EU-DSGVO einen Riegel vor, indem sie einen permanenten Überblick über im Betrieb verteilte Informationen fordert. Im Zuge dessen wird die Hoheit über gespeicherte Daten immer wichtiger.

Denn gerade Einzelpersonen haben verschiedenste Rechte, die Unternehmer auf Anfrage jederzeit erfüllen müssen:

  • Auskunftsrecht
  • Zugriffsrecht
  • Nachbesserungsrecht
  • Recht auf Löschung
  • Recht auf eingeschränkte Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht

Untrennbar damit verbunden steht, dass Firmen nachweisen müssen, dass der Datenschutz und die Datensicherheit (auch durch den Einsatz einer entsprechend EU-DSGVO-konformen Software) eingehalten wird. Laut DSGVO gilt der sogenannte „eingebaute“ Datenschutz, genannt „Privacy by Design“ als verpflichtend. Er besagt, dass nur eine Software eingesetzt werden darf, die diese Voraussetzungen automatisch erfüllt. Insgesamt stellt die Verordnung stärker auf das Prinzip des risikobasierten Datenschutzes ab.

Das Haftungsrisiko mindern

Mit der Umsetzung der EU-DSGVO ist das Haftungsrisiko bei Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für deren CIOs, Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte enorm gestiegen. Seit dem 25. Mai 2018 müssen alle Beteiligten bei Verstößen gegen die Datenschutzvorschriften oder ihre Aufsichtspflichten mit viel höheren Strafen rechnen als bislang üblich.

Bei Verstößen im Umgang mit personenbezogenen Daten drohen laut § 42 DSAnpUG (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) über die Geldbußen hinaus strafrechtliche Sanktionen wie eine Freiheitsstraße von bis zu drei Jahren.

Um sich vor diesen schwerwiegenden Strafen zu schützen, müssen Betriebe sich dringend eine entsprechende Compliance-Struktur aufbauen und konkrete Maßnahmen zur Einhaltung der EU-DSGVO entwickeln. Auch das Thema Awareness sollte keinesfalls außer Acht gelassen werden. Mitarbeiter sollten geschult und über alle Bestimmungen aufgeklärt werden. Ein externer Datenschutzbeauftragter mindert das persönliche Risiko, weil sich dadurch auch die Haftung verlagert. Regelmäßige Audits dienen dazu, um zu prüfen, inwieweit Unternehmen den datenschutzrechtlichen Anforderungen entsprechen.

Arved Graf von Stackelberg, Dracoon

„Trotz so mancher Konfusion und Verzögerung in der Umsetzung dürfte die Verordnung das Sicherheitsbewusstsein langfristig deutlich verbessert haben.“

Arved Graf von Stackelberg, Dracoon

Mit der richtigen Lösung zur Compliance

Ein DSGVO-konformer IT-Partner kann vieles erleichtern, wenn die Infrastruktur bei diesem betrieben wird. Auf technischer Seite sollten Lösungen genutzt werden, die mit der Verordnung vereinbar sind und „Made & Hosted in Germany / EU“ sind. Diese Software unterliegt somit den strengen europäischen Datenschutzgesetzen und sichert Firmen eine DSGVO-konforme Datenverarbeitung.

Verfügt die Lösung über eine clientseitige Verschlüsselung, können Unternehmen außerdem sichergehen, dass sensible Daten maximal schützt sind. Hier werden die Daten bereits am Endgerät verschlüsselt.

Auf dem Server selbst besteht keine Möglichkeit, diese zu entschlüsseln, da sich das Schlüsselmaterial auf dem Client befindet. So wird sichergestellt, dass weder der Cloud-Anbieter selbst noch Dritte in der Lage sind, auf gespeicherte Daten zuzugreifen.

Insgesamt ist die Compliance mit der DSGVO also ein kontinuierlicher Prozess, bei dem stetig nachjustiert werden sollte, damit größtmögliche Transparenz in Bezug auf die Datenverarbeitung sichergestellt ist. Unternehmen müssen verstehen, dass eine Mischung aus intelligenten organisatorischen Maßnahmen zusammen mit der Unterstützung durch technische Lösungen der Schlüssel zur Konformität ist.

Über den Autor:
Arved Graf von Stackelberg ist CSO bei Dracoon.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Nächste Schritte

So sollen die Bußgelder gemäß DSGVO bemessen werden

DSGVO: Waren die ersten Rekordstrafen erst der Anfang?

Gratis-eBook: Die DSGVO in der Praxis umsetzen

Erfahren Sie mehr über Datenschutz und Compliance