Thought Leadership
Datenschutzverstöße haben zuletzt zu Strafen in Millionenhöhe geführt. Unternehmen, die den Datenschutz professionell organisieren und umsetzen, minimieren unnötige Verlustrisiken und schaffen eine solide, rechtssichere IT-Infrastruktur.
2016 wurde die Datenschutz-Grundverordnung veröffentlicht. Ab 2018 trat die DSGVO europaweit in Kraft. Sie legt Grundprinzipien über die Speicherung und Verarbeitung von Daten fest. So muss ein klarer Verwendungszweck vorliegen und es sollte ein minimales Maß an benötigten Daten erhoben werden. Außerdem müssen Personen über die Speicherung ihrer Daten informiert werden. Dass es sich bei den Vorgaben nicht nur um Papierbürokratie handelt, wurde schnell deutlich. Beim Verstoß erlaubt die Verordnung hohe Strafen. Wie scharf das Schwert der DSGVO ist, machten die Gerichte schnell deutlich. Für Google wurden 2019 nach Verurteilung in Frankreich 50 Millionen Euro Strafe fällig. Gegen Amazon wurde von der Luxemburger Datenschutzbehörde CNPD im Jahr 2021 sogar eine sagenhafte Strafe von 746 Millionen Euro verhängt.
So teuer kann der Verstoß gegen die DSGVO werden
Die hohen Strafen ergeben sich dabei nicht etwa durch einen schlecht gelaunten Richter. Die DSGVO sieht diese explizit vor. Der Gesetzgeber hat das Höchstmaß bei Verstößen auf eine Summe von 20 Millionen oder vier Prozent des vorherigen Jahresumsatzes festgelegt – je nachdem welcher Betrag höher ist. Da sich letzterer auf die weltweiten Einnahmen bezieht, werden bei Großkonzernen 20 Millionen nicht selten überschritten. Zur Kasse gebeten wurden unterdessen nicht nur große Konzerne und digitale Plattformen. Selbst kleine Unternehmen und Einrichtungen wie die Norwegische Wohlfahrtsverwaltung wurden zu Strafen verurteilt. Bei einem kleinen Konzern wurden oft vier- oder fünfstellige Summen fällig. Seit 2018 wurden schon über 2000 Strafen an Unternehmen verhängt und öffentlich bekannt. Laut einer aktuellen Auswertung betrug die durchschnittliche Strafe 2 Millionen Euro.
Unternehmen reagieren alarmiert – aber Übervorsicht ist keine Lösung!
Strafen wie diese sind ansonsten nur aus den USA bekannt. Unternehmen reagieren darauf alarmiert. Ein unkontrollierter Verstoß kann schnell die Zukunft eines jungen Unternehmens gefährden oder ein traditionsreiches Familienunternehmen zu Fall bringen. Um das zu vermeiden, wurde in bestimmten Bereichen die Datenverarbeitung massiv zurückgefahren. Dass das jedoch keine Lösung ist, wissen die Unternehmer selbst. Eine flüssige Datenverarbeitung und die Nutzung von Informationen im Kundenmanagement sind für den Geschäftserfolg vieler Branchen enorm wichtig. Geschäftspartner und Verbraucher wollen teilweise sogar, dass ihnen passgenaue Angebote gemacht werden und Informationen über die eigenen Bedürfnisse verarbeitet werden. Wer übervorsichtig agiert, bremst sein Unternehmen wirtschaftlich aus. Angst ist insofern ein denkbar schlechter Berater in Sachen Datenschutz.
Datenschutzbeauftragte richtig nutzen
Eine Schnittstelle für eine funktionierende und rechtssichere Datenverarbeitung bilden die Datenschutzbeauftragten. Laut DSGVO sind die meisten Unternehmen in Deutschland dazu verpflichtet, solche zu berufen. Um vermeintlich Kosten zu sparen und eine Person zu gewinnen, die eigene Abläufe kennt, berufen viele Betriebe diese Beauftragten aus den Reihen des eigenen Personals. Auf der einen Seite bringt dies einige Vorteile mit sich. Die Person ist bereits vor Ort. Es besteht ein Vertrauensverhältnis und sie kennt die Unternehmensstrukturen. Andererseits bringen diese Lösungen auch Nachteile. Meistens muss der Beauftragte zunächst geschult werden. Er geht zunächst mit wenig Erfahrung ans Werk und agiert übervorsichtig. Außerdem ist das Personal Teil der eingesessenen Strukturen. Das bringt auch Schwierigkeiten mit sich. Die Alternative dazu sind externe Datenschutzbeauftragte. Die DSGVO erlaubt eine Berufung des Beauftragten von externer Seite. Unternehmen können den Posten an Dienstleister vergeben, die sich auf die Datenschutzberatung spezialisiert haben.
Erfahrene externe Datenschutzbeauftragte kennen den rechtlichen Sachstand und bremsen erstens den Umgang mit Daten nicht an der falschen Stelle aus. Aktuell ist eine neue Verordnung zur Durchsetzung der DSGVO in der Praxis in Arbeit. Sie soll den Aufsichtsbehörden der Länder noch spezifischere Vorgaben machen. Professionelle Datenschutzbeauftragte durchlaufen nicht nur eine einmalige Schulung, sondern sind über derlei Entwicklungen im Bilde. Im besten Fall bewegen sie sich in einem Netzwerk und pflegen einen Austausch mit relevanten Datenschutzverbänden. Der zweite zentrale Vorteil der externen Dienstleistung: Die Profis sind an praktikablen Lösungen interessiert. Sie bringen Erfahrungen aus anderen Unternehmen mit, ohne diese dem Betrieb als Standardlösung überzustülpen. Ein guter Berater weiß, dass in der IT Lösungen zählen, die den konkreten Arbeitsabläufen vor Ort gerecht werden.
Daran scheitert es – oft wären die Fehler vermeidbar!
Aktuelle Auswertungen belegen auch, dass die Strafen oftmals aufgrund von grundsätzlichen Strukturproblemen fällig werden. Es sind eben nicht die speziellen Ausnahmefälle, für die KMUs die meisten Strafen zahlen. Meist werden Strafen auf Grund von missachteten Basics und Anfängerfehlern fällig. Warum passieren die meisten Fehler? Fehlende Sicherheitsupdates und falsche Einstellungen bei Software-Funktionen stehen ganz oben. Den zweiten gängigen Fehler bildet das Versäumen von Löschfristen, die damit verbundenen Datenpannen. An dritter Stelle steht das Fehlen der nötigen Hinweise bei der Datenerhebung und eine mangelnde interne Dokumentation. Gerade bei Basics lässt sich das Risiko für Bußgelder erheblich reduzieren. Für professionelle Datenschutzbeauftragte zählen Dinge wie diese zum Standard und garantieren eine rechtssichere und praktikable Basisstruktur.
Wie Unternehmen die richtige Unterstützung beim Datenschutz finden
Kosten für einen externen Datenschutzbeauftragten sind insofern gut investiertes Geld. Der Beauftragte muss ohnehin berufen werden und mit einer professionellen Lösung sinken Datenschutzrisiken erheblich. Allerdings sollten Unternehmen beim Auswählen auf einige Dinge achten. Da der Bedarf an Datenschutzberatung immens gestiegen ist, findet sich eine große Bandbreite an fachlicher Expertise im Markt. Ein Unternehmen ist jedoch auf eine verlässliche Unterstützung angewiesen, die über das ganze Jahr schnell erreichbar ist und dauerhaft hohe fachliche Kompetenz anbietet. Aus diesem Grund lohnen sich Dienstleister, die mit einem kompletten Team zur Verfügung stehen und auf Datenschutz spezialisiert sind. Falls ein einzelner Mitarbeiter im Urlaub sein sollte, ist die Vertretung erreichbar.
So halten Profis mit der technischen und rechtlichen Entwicklung Schritt
Außerdem sorgen die spezialisierten Datenschutzdienstleister dafür, dass ihre Berater regelmäßig weitergebildet werden. Sie tauschen sich in Arbeitskreisen über den neuesten rechtlichen Sachstand und über die aktuellen technischen Entwicklungen aus. Beim Aufbau einer sicheren IT-Infrastruktur spielen auch Standards wie die ISO 27001 eine Rolle. Professionelle Datenschützer kennen sich mit diesen umfassend aus und wenden sie auf ihre Arbeit an. Unternehmen profitieren bei der Gestaltung ihrer digitalen Managementsysteme von diesem Austausch. Sie stellen die IT auf eine Basis, die beim Datenschutz keinerlei Risiken eingeht.
