Anzeige

Datenschutz 2021

Am 25. Mai jährt sich zum dritten Mal, dass die DSGVO (Datenschutzgrundverordnung) anwendbares Recht geworden ist. Die jüngsten Zahlen aus 2020 deuten darauf hin, dass es Firmen anscheinend schwerer fällt, wegen der Corona-Pandemie die wachsenden Datenmengen der Verordnung entsprechend zu verarbeiten. 

Genau 26.057 Datenpannen wurden im vergangenen Jahr deutschlandweit gemeldet, so viele wie zwischen Mai 2018 bis Ende 2019 nicht. Am häufigsten wurden Vorfälle im Zusammenhang mit dem Versand von Dokumenten, Cyber-Angriffen und technischen Mängeln gemeldet.

Die Datenschutzbehörden haben Bußgelder in Höhe von 48,1 Millionen Euro verhängt, rund 50 Prozent mehr als im Vorjahr. Europaweit summiert sich die Höhe der Strafen in den 27 Mitgliedsländern auf 158,5 Millionen Euro, eine Steigerung von rund 40 Prozent.

DSGVO als Druckmittel vor dem Arbeitsgericht

Wie das Handelsblatt berichtet, wird die Verordnung immer häufiger in arbeitsrechtlichen Konflikten eingesetzt. So verlangte ein gekündigter Mitarbeiter, dass sein ehemaliger Arbeitgeber im Rahmen der Auskunftspflicht nach Artikel 15 alle über ihn gespeicherten Daten wie die allgemeinen Personendaten, Kennnummern oder ähnliches aushändigt.

Die beklagte Firma übergab dem ehemaligen Mitarbeiter diese personenbezogenen Daten als Zip-Datei, der wiederum verlangte eine Kopie des gesamten E-Mail-Verkehrs zwischen ihm und dem Unternehmen sowie derjenigen E-Mails, in denen er genannt wird. Das Bundesarbeitsgericht (BAG) will bald entscheiden, wie weit die Auskunftspflicht des Arbeitgebers reicht und ob der Kläger tatsächlich Kopien sämtlicher E-Mails erhalten muss, in denen sein Name vorkommt (Az. 2 AZR 342/20).

Es sind Fälle bekannt, in denen Arbeitnehmer Kopien aller personenbezogenen Daten in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten des Arbeitgebers von Vorgesetzten und Kollegen verlangten. Dies zeigt ein Fall vor dem Arbeitsgericht Düsseldorf (Az. 9 Ca 6557/18).

Unklare Rechtslage durch Brexit 

Dass sich die Rahmenbedingungen beim Thema Compliance ändern, ist spätestens seit dem Austritt von Großbritannien aus der EU klar. So ist es etwa nicht mehr ohne weiteres möglich, Daten zwischen Deutschland und Großbritannien auszutauschen. Daher läuft aktuell das Verfahren zum Erlass eines Angemessenheitsbeschlusses. Diese Regelung soll gewährleisten, dass die bestehenden Datenschutzbestimmungen im Vereinigten Königreich ausreichend sind und Unternehmen aus der EU Daten dort speichern dürfen. Allerdings müssen die EU-Mitgliedsstaaten dem Entwurf noch zustimmen. Dafür haben sie bis Juni Zeit. Erst danach ist der Datenaustausch zwischen der EU und dem Vereinigten Königreich wieder ohne Einschränkungen möglich.

Für Firmen wird es also immer wichtiger, ihre Daten gemäß der DSGVO zu organisieren. In den vergangenen Jahren haben die Compliance-Spezialisten bei Veritas miterlebt, welche Fehler Firmen bei der Umsetzung der Compliance machen und wie hingegen erfolgreiche Firmen vorgehen. Unternehmen können aus den Schwierigkeiten und Erfolgen anderer Compliance-Projekte lernen und ihre eigenen Prozesse entsprechend anpassen. Besonders zu beachten sind hierbei folgende Punkte:

1) Compliance ganzheitlich denken

Auch wenn beispielsweise das fristgerechte Löschen von Daten in erster Linie im Bereich der IT anzusiedeln ist, darf nicht vergessen werden, dass Compliance eine klar rechtliche Aufgabe ist. Bei erfolgreichen Projekten arbeiten alle Beteiligten zusammen: die Rechtsabteilung, der Datenschutzbeauftragte, die IT und auch die Geschäftsführung. Dieser Ansatz hilft dabei, sämtliche Aspekte zu berücksichtigen – seien es Risiken durch ein gestiegenes Datenaufkommen oder sich wandelnde politische Regelungen. Auf diese Weise können alle Beteiligten mögliche Risiken gemeinsam einschätzen und für reibungslose Prozesse sorgen.

2) Die Rolle des Managements

Die Führungsetage eines Unternehmens sollte sich der strategischen Bedeutung des Compliance-Themas bewusst sein und die dafür erforderlichen finanziellen und zeitlichen Mittel zur Verfügung stellen. Denn bei solchen Projekten geht es um eine der wertvollsten Ressourcen von Unternehmen: die Daten. Sie stellen eine wichtige Quelle für die Optimierung der eigenen Produktpalette dar und Firmen sind daher gut beraten, diese Informationen wertzuschätzen. Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen – und damit auch auf lange Sicht Umsatz.

3) WORM ist keine Compliance-Garantie

Mit dem WORM-Verfahren („Write once, read many“) lassen sich Daten unveränderbar auf Speicher ablegen. Irrtümlicherweise gehen viele Compliance-Verantwortliche davon aus, dass mithilfe dieser Lösung bereits Revisionssicherheit (fälschlich auch „Rechtssicherheit“) besteht. Für Firmen ist es daher hilfreich, sämtliche Verfahren, bei denen es um personenbezogene Daten geht, zu betrachten und zu dokumentieren. In diesem Zusammenhang ist es wichtig, den Zugriff der Mitarbeiter auf die Daten zu beschränken und in Audit-Logs genau nachzuvollziehen.

Die Rechte selbst sollten in einem Rollenkonzept klar definiert und dokumentiert sein. Um Compliance-Konformität zu gewährleisten, müssen personenbezogene Daten nach Ablauf des dokumentierten Zwecks automatisch gelöscht werden – sowohl in den Archiven als auch in sämtlichen anderen Datenquellen. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das diese Daten automatisch und fehlerfrei in allen Speicherorten findet. 

4) Vom Ist-Zustand zum Soll-Zustand

Organisationen sollten Prozesse für ihr Compliance-Projekt klar definieren und auf dieser Basis vorantreiben. Dabei ist es wichtig, die internen Abläufe und Daten im Rahmen einer Ist-Aufnahme zu erfassen und daraus einen Soll-Zustand abzuleiten. Im Anschluss können alle Beteiligten – beispielsweise Rechtsabteilung, Datenschutzbeauftragte, IT und Geschäftsführung – gemeinsam einen pragmatischen Anforderungskatalog mit klaren Zielen und Zwischenschritten definieren. 

Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies, fasst zusammen:

„Das Thema Datenschutz wird für Unternehmen kontinuierlich anspruchsvoller. Sie müssen mit immer größeren Datenmengen zurande kommen und gleichzeitig ein Auge auf die politischen Rahmenbedingungen werfen. Bestes Beispiel hierfür ist der Austritt von Großbritannien aus der EU. Verstehen Unternehmen das Thema Compliance ganzheitlich und sind sich der Bedeutung dieses Themas sowohl auf Management-Ebene als auch in der IT bewusst, ist ein großer Schritt in Richtung Compliance-Konformität getan. Denn dadurch gibt es eine gute Grundlage für eine enge und effektive Zusammenarbeit.“

www.veritas.com/de
 


Artikel zu diesem Thema

Compliance
Mär 24, 2021

Sicherheit und Compliance an allen Fronten

Das Erfüllen von Compliance-Pflichten zählt zu den größten Herausforderungen für…
DSGVO
Mär 15, 2021

DSGVO-Bußgelder in Millionenhöhe: Zahl und Höhe der Bußgelder steigen

DSGVO-Bußgelder in Millionenhöhe und ein Anstieg der Bußgeldbescheide um 60 Prozent haben…
Brexit
Mär 11, 2021

Datenaustausch in der Post-Brexit-Zeit

Die Unklarheiten rund um den Brexit haben lange an den Nerven der Unternehmen gezerrt.…

Weitere Artikel

Smartphone

Deutsche Smartphone-Nutzer legen viel Wert auf Privatsphäreeinstellungen

Anlässlich des Release der neuen iPhone 13-Reihe und der bedeutenden Datenschutz-Offensive von Apple haben die Datenschutzexperten von heyData, der digitalen Plattform für Datenschutzlösungen, eine Untersuchung veröffentlicht, die Aufschluss über die…
Kunden

6 Tipps für die datenschutzkonforme Lead-Generierung

Online-Marketing per E-Mail oder Newsletter wird immer mehr von der Kür zur Pflicht. Ein wichtiges Ziel ist die Lead-Generierung. Doch wer Direktmarketing im Netz betreibt, der sammelt personenbezogene Daten. Und deren Schutz verschärft der Gesetzgeber mehr…
DSGVO

Datenschutz setzt Unternehmen unter Dauerdruck

Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz…
Datenschutz

Die sechs häufigsten Datenschutzfehler in Unternehmen

Datenschutz, Informationssicherheit und die DSGVO: Immer wieder passieren Unternehmen die gleichen Fehler und Fehlinterpretationen. Die Konsequenzen reichen von kleinen Unannehmlichkeiten für die Firma oder deren Kunden über negative Bewertungen auf…
Datenschutz

Datensouveränität umsetzen - das sind die Prioritäten

GAIA-X, die europäische Initiative zum Aufbau einer leistungsfähigen und sicheren Dateninfrastruktur, schläft nicht. Erst vor kurzem haben sich mit Commerzbank, Deutsche Bahn und Software AG drei Konzerne aus Deutschland dem Projekt angeschlossen. Die…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.