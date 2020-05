Zwei Jahre DSVGO

Am 25. Mai jährt sich die Einführung der DSGVO zum zweiten Mal. Die Regelung hat zum Ziel, den Datenschutz der Bürger zu modernisieren und an die Bedingungen der globalen digitalen Wirtschaft anzupassen. Bußgelder in Höhe von 25 Millionen Euro und mehr als 21.000 gemeldete Datenpannen in Deutschland zeigen aber: Firmen tun sich schwer, ihre Daten richtig zu managen und zu schützen.

Die Datenschutz-Grundverordnung stellt nach wie vor viele Unternehmen vor eine Herausvorderung.

Laut Untersuchungen durch Compliance-Spezialisten bei Veritas haben mindestens 234 Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO) derart massiv verstoßen, dass die Datenschutzbehörden in Europa ihnen Bußgelder in Höhe von mehr als 467 Millionen Euro auferlegten. In Deutschland wurden im vergangenen Jahr allein 187 Bußgelder verhängt, die Strafen belaufen sich auf mehr als 25 Millionen Euro [1].



Die Regelung fordert von Firmen auch, Datenpannen an die Behörden zu melden. Seit Mai 2018 gab es mehr als 21.000 dieser Vorfälle hierzulande. Die Dunkelziffer mag um ein Vielfaches höher sein, da vermutlich nicht jeder den Meldepflichten nachkommt und Vorfälle vielleicht lieber verschweigt. Die Ereignisse legen laut Veritas offen, dass einige Firmen überfordert sind, ihre Daten umfassend zu managen und besonders den Zugriff auf persönliche Daten strenger zu kontrollieren. Die internen Prozesse seien dann zu lückenhaft und die Verantwortlichen übersehen wichtige Datenquellen, in denen personenbezogene Daten liegen könnten.



In den letzten zwei Jahren haben die Compliance-Spezialisten miterlebt, welche typischen Fehler Firmen im Bereich des Datenmanagements machen und wie erfolgreiche Firmen vorgehen. Andere Unternehmen können aus den Fehlern und Stärken der Compliance-Projekte lernen und in ihre eigene Umgebung übertragen. Nur wenn ein Unternehmen alle seine Daten kennt, sie schützt und den Zugriff darauf streng regelt, wird es von dieser Compliance-Aufgabe nicht überfordert.



Falsches Verständnis von Compliance

Die IT-Abteilung ist in der Praxis oft eine der ersten, die mit den neuen Anforderungen aus der DSGVO wie dem fristgerechten Löschen oder der Auskunftspflicht konfrontiert wird. Dadurch wurden Compliance-Projekte stark technisch interpretiert und rein technische Lösungen gefunden. Dabei ist Compliance eine klar rechtliche Aufgabe, bei der Technik, Prozesse, Risiken und Mitarbeiter eng zusammenspielen müssen und sich gegenseitig abstimmen sollten. Bei erfolgreichen Projekten wurden alle Beteiligten wie die Rechtsabteilung, der Datenschutzbeauftragte, die IT und die Geschäftsführung zusammengebracht. Auf diese Weise haben alle wichtigen Beteiligten das gleiche Verständnis der Compliance gewonnen und mögliche Risiken gemeinsam eingeschätzt.



Fehlender Management-Support

Compliance-Projekte stehen stark mit Kundendaten im Zusammenhang und wirken sich so direkt auf Abläufe aus, mit denen ein Unternehmen Geld verdient. Blieb die Verantwortung für solche Projekte auf IT-Ebene, wurden den Teams oft zu wenig Budget, Zeit und Mannstunden zugesprochen. Es ist entscheidend, der Führungsebene klar die Risiken aufzuzeigen und den hohen finanziellen und nachhaltigen Reputationsschaden zu verdeutlichen. Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen und den Umsatz. Das Management eines Unternehmens sollte die strategische Bedeutung eines solchen Projekts sehen und ihm entsprechend Interesse, Zeit und Ressourcen einräumen.



WORM ist nicht gleich Compliance

Der Begriff WORM oder "Write once, read many" beschreibt Speicher, auf denen Daten per se unveränderlich abgelegt werden. Leider irren immer noch Unternehmen, dass sie mit dieser technischen Insellösung Revisionssicherheit erreicht hätten, wie der größte DSGVO-Fall gegen die Immobilienfirma Deutsche Wohnen zeigt [2]. Die Firma war nicht in der Lage, personenbezogene Daten im Einklang mit der DSGVO nach Ablauf des Zwecks automatisch zu löschen.



Firmen sollten bei personenbezogenen Daten daher alle Verfahren beschreiben, die mit diesen Daten hantieren und sie detailliert dokumentieren. Dazu gehört, die Zugriffe der Mitarbeiter auf die Daten zu beschränken und in Audit-Logs genau nachzuvollziehen. Die Rechte selbst sollten in einem Rollenkonzept klar definiert und ebenfalls dokumentiert sein. Ebenso wichtig ist es, nach Ablauf des dokumentierten Zwecks personenbezogene Daten automatisch zu löschen. Und zwar nicht nur in den Archiven, sondern auch in anderen Datenquellen, in denen sie abgelegt sind. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das personenbezogene Daten automatisch und treffsicher in allen Speicherorten erkennt.



Das falsche Maß anlegen

Die Aufgabe, DSGVO-konform zu werden, wirkt groß und hat zu zwei typischen Reaktionen geführt. Die Zuständigen wurden vom Ausmaß der Aufgabe überwältigt und schoben das Compliance-Projekt auf die lange Bank. Sie sind also das Risiko bewusst eingegangen, gegen Vorgaben zu verstoßen. Andere Firmen haben sich auf das absolute Minimum aus den Vorgaben und Pflichtenheften beschränkt und nur diese technischen Minimalmaßnahmen umgesetzt. Beim Testen und in der Praxis stellte sich dann schnell heraus, dass ihr Ansatz zu viele Lücken ließ und sie das ganze Projekt neu konzipieren mussten.



Die besten Ergebnisse erzielten Firmen, die ihr Projekt nach einem klaren Prozess und definierten Plan vorantrieben, der die internen Abläufe und Daten in einer Istaufnahme erfasste. Daraus wurde ein Sollzustand definiert und gemeinsam mit allen Beteiligten wie der Rechtsabteilung, den Datenschutzbeauftragten, der IT und der Geschäftsführung ein pragmatischer Anforderungskatalog mit klaren Zielen und Zwischenschritten definiert.