Zwei Jahre DSVGO: wichtige Lehren aus bisherigen Compliance-Projekten
8. Juni 2020Bußgelder in Höhe von 25 Millionen Euro und mehr als 21.000 gemeldete Datenpannen in Deutschland zeigen: Firmen tun sich schwer, ihre Daten richtig zu managen und zu schützen. Am 25. Mai 2020 hat sich die Einführung der Datenschutz-Grundverordnung (DSGVO) zum zweiten Mal gejährt.
Die Datenschutz-Grundverordnung hat den Datenschutz der Bürger massiv modernisiert und an die Bedingungen der globalen digitalen Wirtschaft angepasst. Die eingeführten Privilegien verlangen von Firmen unter anderem, private Daten stärker zu schützen, fristgerecht zu löschen und Datenpannen zu melden.
Mindestens 234 Unternehmen haben gegen die DSGVO derart massiv verstoßen, dass die Datenschutzbehörden in Europa ihnen Bußgelder in Höhe von mehr als 467 Millionen Euro auferlegten. In Deutschland wurden im vergangenen Jahr allein 187 Bußgelder verhängt, die Strafen belaufen sich auf mehr als 25 Millionen Euro.1 Die Regelung fordert von Firmen auch, Datenpannen an die Behörden zu melden.
Seit Mai 2018 gab es mehr als 21.000 dieser Vorfälle hierzulande. Die Dunkelziffer mag um ein Vielfaches höher sein, da vermutlich nicht jeder den Meldepflichten nachkommt und Vorfälle vielleicht lieber verschweigt. Die Ereignisse legen offen, dass einige Firmen überfordert sind, ihre Daten umfassend zu managen und besonders den Zugriff auf persönliche Daten strenger zu kontrollieren. Die internen Prozesse sind dann zu lückenhaft und die Verantwortlichen übersehen wichtige Datenquellen, in denen personenbezogene Daten liegen könnten.
In den letzten zwei Jahren haben die Compliance-Spezialisten bei Veritas miterlebt, welche typischen Fehler Firmen im Bereich des Datenmanagements machen und wie erfolgreiche Firmen vorgehen. Andere Unternehmen können aus den Fehlern und Stärken der Compliance-Projekte lernen und in ihre eigene Umgebung übertragen. Nur wenn ein Unternehmen alle seine Daten kennt, sie schützt und den Zugriff darauf streng regelt, wird es von dieser Compliance-Aufgabe nicht überfordert.
- Falsches Verständnis von Compliance: Die IT-Abteilung ist in der Praxis oft eine der ersten, die mit den neuen Anforderungen aus der DSGVO wie dem fristgerechten Löschen oder der Auskunftspflicht konfrontiert wird. Dadurch wurden Compliance-Projekte stark technisch interpretiert und rein technische Lösungen gefunden. Dabei ist Compliance eine klar rechtliche Aufgabe, bei der Technik, Prozesse, Risiken und Mitarbeiter eng zusammenspielen müssen und sich gegenseitig abstimmen sollten. Bei erfolgreichen Projekten wurden alle Beteiligten wie die Rechtsabteilung, der Datenschutzbeauftragte, die IT und die Geschäftsführung zusammengebracht. Auf diese Weise haben alle wichtigen Beteiligten das gleiche Verständnis der Compliance gewonnen und mögliche Risiken gemeinsam eingeschätzt.
- Fehlender Management-Support: Compliance-Projekte stehen stark mit Kundendaten im Zusammenhang und wirken sich so direkt auf Abläufe aus, mit denen ein Unternehmen Geld verdient. Blieb die Verantwortung für solche Projekte auf IT-Ebene, wurden den Teams oft zu wenig Budget, Zeit und Mannstunden zugesprochen. Es ist entscheidend, der Führungsebene klar die Risiken aufzuzeigen und den hohen finanziellen und nachhaltigen Reputationsschaden zu verdeutlichen. Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen und den Umsatz. Das Management eines Unternehmens sollte die strategische Bedeutung eines solchen Projekts sehen und ihm entsprechend Interesse, Zeit und Ressourcen einräumen.
- WORM ist nicht gleich Compliance: Der Begriff WORM oder “Write once, read many” beschreibt Speicher, auf denen Daten per se unveränderlich abgelegt werden. Leider irren immer noch Unternehmen, dass sie mit dieser technischen Insellösung Revisionssicherheit (fälschlich auch „Rechtssicherheit“) erreicht hätten, wie der größte DSGVO-Fall gegen die Immobilienfirma Deutsche Wohnen zeigt. Die Firma war nicht in der Lage, personenbezogene Daten im Einklang mit der DSGVO nach Ablauf des Zwecks automatisch zu löschen. Firmen sollten bei personenbezogenen Daten daher alle Verfahren beschreiben, die mit diesen Daten hantieren und sie detailliert dokumentieren. Dazu gehört, die Zugriffe der Mitarbeiter auf die Daten zu beschränken und in Audit Logs genau nachzuvollziehen. Die Rechte selbst sollten in einem Rollenkonzept klar definiert und ebenfalls dokumentiert sein. Ebenso wichtig ist es, nach Ablauf des dokumentierten Zwecks personenbezogene Daten automatisch zu löschen. Und zwar nicht nur in den Archiven, sondern auch in anderen Datenquellen, in denen sie abgelegt sind. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das personenbezogene Daten automatisch und treffsicher in allen Speicherorten erkennt.
- Das falsche Maß anlegen: Die Aufgabe, DSGVO-konform zu werden, wirkt groß und hat zu zwei typischen Reaktionen geführt. Die Zuständigen wurden vom Ausmaß der Aufgabe überwältigt und schoben das Compliance Projekt auf die lange Bank. Sie sind also das Risiko bewusst eingegangen, gegen Vorgaben zu verstoßen. Andere Firmen haben sich auf das absolute Minimum aus den Vorgaben und Pflichtenheften beschränkt und nur diese technischen Minimal-Maßnahmen umgesetzt. Beim Testen und in der Praxis stellte sich dann schnell heraus, dass ihr Ansatz zu viele Lücken ließ und sie das ganze Projekt neu konzipieren mussten.
Fazit
Die besten Ergebnisse erzielten Firmen, die ihr Projekt nach einem klaren Prozess und definierten Plan vorantrieben, der die internen Abläufe und Daten in einer Ist-Aufnahme erfasste. Daraus wurde ein Sollzustand definiert und gemeinsam mit allen Beteiligten wie der Rechtsabteilung, den Datenschutzbeauftragten, der IT und der Geschäftsführung ein pragmatischer Anforderungskatalog mit klaren Zielen und Zwischenschritten definiert.
Marc Ahlgrim ist Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies.