Der Datenschutz hat sich seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet.
Die DSGVO gibt Verbrauchern das Recht, zu kontrollieren, wie ihre persönlichen Daten von Unternehmen verwendet werden. Das Gesetz verpflichtet Unternehmen, die persönlichen Daten von Interessenten, Kunden und Mitarbeitern zu schützen, und wird durch ein System von Sanktionen für den Fall der Nichteinhaltung dieser Verpflichtung ergänzt. Die Regulierungsbehörden können Geldstrafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängen, wenn ein Unternehmen die persönlichen Daten von Personen in Europa nicht vor Missbrauch, Diebstahl oder Verlust schützt.
Seit der Einführung der DSGVO haben die Aufsichtsbehörden Bußgelder in Höhe von über 114 Millionen Euro gegen Unternehmen wegen mangelnden Datenschutzes verhängt. Weitere hohe Geldstrafen dürften folgen. Ein Unternehmen hat eine Abgabe von mehr als 90 Millionen Euro, drei Prozent seiner Jahreseinnahmen, angefochten. Einem anderen Unternehmen droht eine Geldstrafe von mehreren Hunderte Millionen Euro für eine größere Datenschutzverletzung bei seinen Kundendaten.
Die Verordnung betrifft jedes Unternehmen, das mit Daten von Einzelpersonen in Europa umgeht, so dass auch die meisten globalen Unternehmen davon betroffen sind. Während viele Vorstände und Geschäftsführer den Datenschutz ernst nehmen und strenge Maßnahmen zur Einhaltung der Vorschriften eingeführt haben, überlassen es zu viele noch dem Zufall oder üben keine angemessene Aufsicht aus.
Die Regulierungsbehörden werden eher mit Unternehmen nachsichtig sein, die nachweisen können, dass sie alle Anstrengungen unternommen haben, um die DSGVO einzuhalten, selbst wenn sie einen Verstoß erleiden, vermutet Palo Alto Networks. Allerdings könnten diejenigen, von denen man annimmt, dass sie dem Datenschutz nur wenig Aufmerksamkeit gewidmet haben, schwer bestraft werden.
Von Haus aus integrierter Datenschutz ist der beste Ansatz
Was sollte der Vorstand also tun, um die persönlichen Daten im Unternehmen zu schützen und sicherzustellen, dass die DSGVO eingehalten wird? Vor allem verlangen die Regeln, dass Unternehmen „Privacy by Design“ umsetzen. Das bedeutet, dass Datenschutz und Datensicherheit von Anfang an in die technologische Infrastruktur der Unternehmen eingebaut werden müssen, anstatt sie später als nachträglichen Aspekt hinzuzufügen.
Für jede Aktivität oder jedes Projekt muss eine Folgenabschätzung durchgeführt werden, um die Auswirkungen auf die persönlichen Daten zu prüfen. Wenn möglich, sollten die Unternehmen eine Pseudonymisierung in Betracht ziehen, die das Risiko für personenbezogene Daten verringert. Unternehmen sollten nur die Daten verarbeiten, die zur Erreichung ihrer legitimen Geschäftsziele notwendig sind, und dürfen Daten nur so lange speichern, wie es für solche legitimen Zwecke erforderlich ist.
Die Datenhygiene sollte ebenso Teil der Unternehmens-DNA sein wie die Lebensmittelhygiene in einem Restaurant. Um den Datenschutz zu erreichen, muss der Vorstand sicherstellen, dass das Unternehmen eine vollständige Transparenz aller Daten, die es besitzt, hat und über klare Richtlinien für den Umgang mit den Daten verfügt.
Ein Unternehmen muss immer wissen, wo persönliche Daten gespeichert sind, welche Mitarbeiter und Dritte Zugang zu ihnen haben und wie sie verwendet werden. Es muss eine klare Unterscheidung zwischen persönlichen und nichtpersönlichen Daten getroffen werden. Das System sollte sicherstellen, dass die Daten nicht unbefugt zugänglich sind und nicht für Zwecke verwendet werden können, die den betroffenen Personen nicht bekannt sind.