Anzeige

Datenschutz 2021

Am 25. Mai jährt sich zum dritten Mal, dass die DSGVO (Datenschutzgrundverordnung) anwendbares Recht geworden ist. Die jüngsten Zahlen aus 2020 deuten darauf hin, dass es Firmen anscheinend schwerer fällt, wegen der Corona-Pandemie die wachsenden Datenmengen der Verordnung entsprechend zu verarbeiten. 

Genau 26.057 Datenpannen wurden im vergangenen Jahr deutschlandweit gemeldet, so viele wie zwischen Mai 2018 bis Ende 2019 nicht. Am häufigsten wurden Vorfälle im Zusammenhang mit dem Versand von Dokumenten, Cyber-Angriffen und technischen Mängeln gemeldet.

Die Datenschutzbehörden haben Bußgelder in Höhe von 48,1 Millionen Euro verhängt, rund 50 Prozent mehr als im Vorjahr. Europaweit summiert sich die Höhe der Strafen in den 27 Mitgliedsländern auf 158,5 Millionen Euro, eine Steigerung von rund 40 Prozent.

DSGVO als Druckmittel vor dem Arbeitsgericht

Wie das Handelsblatt berichtet, wird die Verordnung immer häufiger in arbeitsrechtlichen Konflikten eingesetzt. So verlangte ein gekündigter Mitarbeiter, dass sein ehemaliger Arbeitgeber im Rahmen der Auskunftspflicht nach Artikel 15 alle über ihn gespeicherten Daten wie die allgemeinen Personendaten, Kennnummern oder ähnliches aushändigt.

Die beklagte Firma übergab dem ehemaligen Mitarbeiter diese personenbezogenen Daten als Zip-Datei, der wiederum verlangte eine Kopie des gesamten E-Mail-Verkehrs zwischen ihm und dem Unternehmen sowie derjenigen E-Mails, in denen er genannt wird. Das Bundesarbeitsgericht (BAG) will bald entscheiden, wie weit die Auskunftspflicht des Arbeitgebers reicht und ob der Kläger tatsächlich Kopien sämtlicher E-Mails erhalten muss, in denen sein Name vorkommt (Az. 2 AZR 342/20).

Es sind Fälle bekannt, in denen Arbeitnehmer Kopien aller personenbezogenen Daten in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten des Arbeitgebers von Vorgesetzten und Kollegen verlangten. Dies zeigt ein Fall vor dem Arbeitsgericht Düsseldorf (Az. 9 Ca 6557/18).

Unklare Rechtslage durch Brexit 

Dass sich die Rahmenbedingungen beim Thema Compliance ändern, ist spätestens seit dem Austritt von Großbritannien aus der EU klar. So ist es etwa nicht mehr ohne weiteres möglich, Daten zwischen Deutschland und Großbritannien auszutauschen. Daher läuft aktuell das Verfahren zum Erlass eines Angemessenheitsbeschlusses. Diese Regelung soll gewährleisten, dass die bestehenden Datenschutzbestimmungen im Vereinigten Königreich ausreichend sind und Unternehmen aus der EU Daten dort speichern dürfen. Allerdings müssen die EU-Mitgliedsstaaten dem Entwurf noch zustimmen. Dafür haben sie bis Juni Zeit. Erst danach ist der Datenaustausch zwischen der EU und dem Vereinigten Königreich wieder ohne Einschränkungen möglich.

Für Firmen wird es also immer wichtiger, ihre Daten gemäß der DSGVO zu organisieren. In den vergangenen Jahren haben die Compliance-Spezialisten bei Veritas miterlebt, welche Fehler Firmen bei der Umsetzung der Compliance machen und wie hingegen erfolgreiche Firmen vorgehen. Unternehmen können aus den Schwierigkeiten und Erfolgen anderer Compliance-Projekte lernen und ihre eigenen Prozesse entsprechend anpassen. Besonders zu beachten sind hierbei folgende Punkte:

1) Compliance ganzheitlich denken

Auch wenn beispielsweise das fristgerechte Löschen von Daten in erster Linie im Bereich der IT anzusiedeln ist, darf nicht vergessen werden, dass Compliance eine klar rechtliche Aufgabe ist. Bei erfolgreichen Projekten arbeiten alle Beteiligten zusammen: die Rechtsabteilung, der Datenschutzbeauftragte, die IT und auch die Geschäftsführung. Dieser Ansatz hilft dabei, sämtliche Aspekte zu berücksichtigen – seien es Risiken durch ein gestiegenes Datenaufkommen oder sich wandelnde politische Regelungen. Auf diese Weise können alle Beteiligten mögliche Risiken gemeinsam einschätzen und für reibungslose Prozesse sorgen.

2) Die Rolle des Managements

Die Führungsetage eines Unternehmens sollte sich der strategischen Bedeutung des Compliance-Themas bewusst sein und die dafür erforderlichen finanziellen und zeitlichen Mittel zur Verfügung stellen. Denn bei solchen Projekten geht es um eine der wertvollsten Ressourcen von Unternehmen: die Daten. Sie stellen eine wichtige Quelle für die Optimierung der eigenen Produktpalette dar und Firmen sind daher gut beraten, diese Informationen wertzuschätzen. Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen – und damit auch auf lange Sicht Umsatz.

3) WORM ist keine Compliance-Garantie

Mit dem WORM-Verfahren („Write once, read many“) lassen sich Daten unveränderbar auf Speicher ablegen. Irrtümlicherweise gehen viele Compliance-Verantwortliche davon aus, dass mithilfe dieser Lösung bereits Revisionssicherheit (fälschlich auch „Rechtssicherheit“) besteht. Für Firmen ist es daher hilfreich, sämtliche Verfahren, bei denen es um personenbezogene Daten geht, zu betrachten und zu dokumentieren. In diesem Zusammenhang ist es wichtig, den Zugriff der Mitarbeiter auf die Daten zu beschränken und in Audit-Logs genau nachzuvollziehen.

Die Rechte selbst sollten in einem Rollenkonzept klar definiert und dokumentiert sein. Um Compliance-Konformität zu gewährleisten, müssen personenbezogene Daten nach Ablauf des dokumentierten Zwecks automatisch gelöscht werden – sowohl in den Archiven als auch in sämtlichen anderen Datenquellen. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das diese Daten automatisch und fehlerfrei in allen Speicherorten findet. 

4) Vom Ist-Zustand zum Soll-Zustand

Organisationen sollten Prozesse für ihr Compliance-Projekt klar definieren und auf dieser Basis vorantreiben. Dabei ist es wichtig, die internen Abläufe und Daten im Rahmen einer Ist-Aufnahme zu erfassen und daraus einen Soll-Zustand abzuleiten. Im Anschluss können alle Beteiligten – beispielsweise Rechtsabteilung, Datenschutzbeauftragte, IT und Geschäftsführung – gemeinsam einen pragmatischen Anforderungskatalog mit klaren Zielen und Zwischenschritten definieren. 

Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies, fasst zusammen:

„Das Thema Datenschutz wird für Unternehmen kontinuierlich anspruchsvoller. Sie müssen mit immer größeren Datenmengen zurande kommen und gleichzeitig ein Auge auf die politischen Rahmenbedingungen werfen. Bestes Beispiel hierfür ist der Austritt von Großbritannien aus der EU. Verstehen Unternehmen das Thema Compliance ganzheitlich und sind sich der Bedeutung dieses Themas sowohl auf Management-Ebene als auch in der IT bewusst, ist ein großer Schritt in Richtung Compliance-Konformität getan. Denn dadurch gibt es eine gute Grundlage für eine enge und effektive Zusammenarbeit.“

www.veritas.com/de
 


Artikel zu diesem Thema

Compliance
Mär 24, 2021

Sicherheit und Compliance an allen Fronten

Das Erfüllen von Compliance-Pflichten zählt zu den größten Herausforderungen für…
DSGVO
Mär 15, 2021

DSGVO-Bußgelder in Millionenhöhe: Zahl und Höhe der Bußgelder steigen

DSGVO-Bußgelder in Millionenhöhe und ein Anstieg der Bußgeldbescheide um 60 Prozent haben…
Brexit
Mär 11, 2021

Datenaustausch in der Post-Brexit-Zeit

Die Unklarheiten rund um den Brexit haben lange an den Nerven der Unternehmen gezerrt.…

Weitere Artikel

EU Flagge

Die Auswirkungen des Digital Markets Act auf Online-Werbung

Der Connected Commerce Council (3C), eine globale Organisation, die über 1.800 europäische kleine und mittelständische Unternehmen (KMUs) repräsentiert, kritisiert die aktuellen Vorschläge zum Digital Markets Act (DMA). Den momentanen Vorschlägen zufolge wird…
Cyber Security

Fertigung muss im Bereich der Datensicherheit nachbessern

Wie gut ist die verarbeitende Industrie angesichts steigender Cyberbedrohungen wie gezielten Ransomware-Attacken, staatlich unterstützten Angreifern auf der Suche nach geistigem Eigentum oder böswilligen Insidern aufgestellt?
DSGVO

Automatisierung von Datenschutzpraktiken

Unternehmen sind heute mehr denn je auf Daten und Technologien angewiesen, wenn es gilt Operationen zu skalieren. Aber angesichts der sich ständig weiterentwickelnden rechtlichen Rahmenbedingungen für den Datenschutz ist es eine ganz eigene Herausforderung,…
Google Assistant

Sprachassistenten und das Fake-Wake-Phänomen

In einem gemeinsamen Projekt mit einem Forschungsteam der chinesischen Zhejiang Universität in Hangzhou haben Forschende des System Security Lab an der TU Darmstadt das sogenannte „Fake-Wake-Phänomen“ systematisch untersucht. Dieses Phänomen führt bei…
USA EU

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung.
Smartphone

Deutsche Smartphone-Nutzer legen viel Wert auf Privatsphäreeinstellungen

Anlässlich des Release der neuen iPhone 13-Reihe und der bedeutenden Datenschutz-Offensive von Apple haben die Datenschutzexperten von heyData, der digitalen Plattform für Datenschutzlösungen, eine Untersuchung veröffentlicht, die Aufschluss über die…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.