Suchen

Datenschutz Zwei Jahre DSGVO - ein Grund zum Feiern?

| Redakteur: Jürgen Schreier

Zwei Jahre Datenschutzgrundverordnung: Seither ist das allgemeine Bewusstsein für das Thema Datenschutz stark gestiegen. Doch erweist sich die DSGVO bisweilen auch als Hemmschuh für Innovationen. Zudem tun sich manche Unternehmen immer noch schwer damit, ihre Daten umfassend zu managen.

Am 25. Mai ist die DSGVO seit zwei Jahren in Kraft. Doch nicht alle werden die Sektkorken knallen lassen.
Am 25. Mai ist die DSGVO seit zwei Jahren in Kraft. Doch nicht alle werden die Sektkorken knallen lassen.
(Bild: gemeinfrei / Unsplash )

Mitte Juni soll sie nun endlich verfügbar sein, die offizielle Corona-Warn-App, Erste Designentwürfe kann man auf dem auf dem Entwickler-Portal GitHub betrachten. Anschaulich und in wenigen Minuten leicht einzurichten sei sie, urteilt das Computermagazin Chip. der IT-Journalist Friedhelm Greis zeigt sich in einem Kommentar für den Deutschlandfunk ist nicht ganz so begeistert, wobei er sich aber in erster Linie an der Nutzung der in Smartphones verwendeten Bluetooth-Technologie stört. Denn Bluetooth ist in nur bedingt geeignet für das exakte Messen von Entfernungen.

Die Corona-App nutzt jetzt DP-3T

War ursprünglich eine App geplant gewesen, die ihre Daten zur Auswertung an einen zentralen Server liefert, so ist die Politik nach heftiger Kritik von Datenschützern auf eine Variante umgeschwenkt, die unter Nutzung des sogenannten Decentralized Privacy-Preserving Proximity Tracing (DP-3T), den Intentionen des Schutzes personenbezogener Daten gerecht wird und dennoch eine wissenschaftliche Auswertung der Daten ermöglicht.

Schließlich begeht die EU am 25. Mai den zweiten Jahrestag der "Einführung" der europäischen Datenschutz-Grundverordnung (DSGVO). Seither ist das "Datenschutzbewusstsein" bei vielen Bürgern merklich gewachsen. wie die Diskussion um die Corona-App zeigt.

Doch nicht überall dürften am kommenden Montag die Sektkorken knallen. So zieht beispielsweise der Digitalverband Bitkom eine eher "durchwachsene" Bilanz.

„Die Corona-Krise zeigt, welche herausragende Bedeutung der Datenschutz in Deutschland inzwischen hat. Dabei dominiert der Datenschutz selbst in dieser Krisensituation viele weitere Rechte wie das Recht auf körperliche Unversehrtheit, Versammlungsfreiheit, Gewerbefreiheit oder den Zugang zu schulischer Bildung", sagt Bitkom-Präsident Achim Berg. So würden einerseits weitgehende Einschränkungen von Grundrechten akzeptiert, gleichzeitig scheiterte die Veröffentlichung einer von vielen Einschränkungen befreienden Tracing-App an Datenschutzbedenken. Bergs Fazit: "Offenkundig ist das bislang gut ausbalancierte System an Freiheits- und Schutzrechten mit der DSGVO aus den Fugen geraten."

Datenschutzpraxis in der EU immer noch nicht einheitlich

Das Gesetzgebungsverfahren zur Datenschutz-Grundverordnung war eines der aufwändigsten in der Geschichte der Europäischen Union. Zwar hat das allgemeine Bewusstsein für das Thema Datenschutz hat stark zugenommen, und das ist in jedem Fall positiv. Jedoch sei man, so Berg, von einem EU-weit einheitlichen Datenschutzniveau in der Praxis aber noch weit entfernt – dafür sei die Auslegung in den Mitgliedsstaaten zu unterschiedlich, so der Digitalverband.

Hinzu kommt laut Bitkom, dass viele Unternehmen auch zwei Jahre nach Geltungsbeginn noch immer nicht alle Anforderungen der DSGVO umgesetzt hätten. Presseberichten zufolge haben mindestens 234 Unternehmen gegen die DSGVO derart massiv verstoßen, dass die Datenschutzbehörden in Europa ihnen Bußgelder in Höhe von mehr als 467 Millionen Euro auferlegten. In Deutschland wurden im vergangenen Jahr allein 187 Bußgelder verhängt, die Strafen belaufen sich auf mehr als 25 Millionen Euro.

Die DSGVO fordert von Firmen außerdem, Datenpannen an die Behörden zu melden. Seit Mai 2018 gab es mehr als 21.000 solcher Vorfälle in Deutschland. Die Dunkelziffer mag um ein Vielfaches höher sein, da vermutlich nicht jeder den Meldepflichten nachkommt und Vorfälle lieber verschweigt.

Einige Firmen scheinen mit der Umsetzung überfordert

Nach Einschätzung des Compliance-Spezialisten Veritas legen diese Ereignisse nahe, dass einige Firmen möglicherweise überfordert sind, ihre Daten umfassend zu managen und besonders den Zugriff auf persönliche Daten strenger zu kontrollieren. Die internen Prozesse sind zu lückenhaft und die Verantwortlichen übersehen wichtige Datenquellen, in denen personenbezogene Daten liegen könnten.

Veritas hat einige der typischen Fehler, die Firmen im Bereich des Datenmanagements machen, zusammengetragen:

1. Falsches Verständnis von Compliance

Die IT-Abteilung ist in der Praxis oft eine der ersten, die mit den neuen Anforderungen aus der DSGVO wie dem fristgerechten Löschen oder der Auskunftspflicht konfrontiert wird. Dadurch wurden Compliance-Projekte stark technisch interpretiert und rein technische Lösungen gefunden. Dabei ist Compliance eine klar rechtliche Aufgabe, bei der Technik, Prozesse, Risiken und Mitarbeiter eng zusammenspielen müssen und sich gegenseitig abstimmen sollten. Bei erfolgreichen Projekten wurden alle Beteiligten wie die Rechtsabteilung, der Datenschutzbeauftragte, die IT und die Geschäftsführung zusammengebracht. Auf diese Weise haben alle wichtigen Beteiligten das gleiche Verständnis der Compliance gewonnen und mögliche Risiken gemeinsam eingeschätzt.

2. Fehlender Management-Support

Compliance-Projekte stehen stark mit Kundendaten im Zusammenhang und wirken sich so direkt auf Abläufe aus, mit denen ein Unternehmen Geld verdient. Blieb die Verantwortung für solche Projekte auf IT-Ebene, wurden den Teams oft zu wenig Budget, Zeit und Mannstunden zugesprochen. Es ist entscheidend, der Führungsebene klar die Risiken aufzuzeigen und den hohen finanziellen und nachhaltigen Reputationsschaden zu verdeutlichen. Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen und den Umsatz. Das Management eines Unternehmens sollte die strategische Bedeutung eines solchen Projekts sehen und ihm entsprechend Interesse, Zeit und Ressourcen einräumen.

3. WORM ist nicht gleich Compliance

Der Begriff WORM oder “Write once, read many” beschreibt Speicher, auf denen Daten per se unveränderlich abgelegt werden. Leider irren immer noch Unternehmen, dass sie mit dieser technischen Insellösung Revisionssicherheit (fälschlich auch „Rechtssicherheit“) erreicht hätten, wie der größte DSGVO-Fall gegen die Immobilienfirma Deutsche Wohnen zeigt.2 Die Firma war nicht in der Lage, personenbezogene Daten im Einklang mit der DSGVO nach Ablauf des Zwecks automatisch zu löschen.

Firmen sollten bei personenbezogenen Daten daher alle Verfahren beschreiben, die mit diesen Daten hantieren und sie detailliert dokumentieren. Dazu gehört, die Zugriffe der Mitarbeiter auf die Daten zu beschränken und in Audit Logs genau nachzuvollziehen. Die Rechte selbst sollten in einem Rollenkonzept klar definiert und ebenfalls dokumentiert sein. Ebenso wichtig ist es, nach Ablauf des dokumentierten Zwecks personenbezogene Daten automatisch zu löschen. Und zwar nicht nur in den Archiven, sondern auch in anderen Datenquellen, in denen sie abgelegt sind. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das personenbezogene Daten automatisch und treffsicher in allen Speicherorten erkennt.

4. Das falsche Maß anlegen

Die Aufgabe, DSGVO-konform zu werden, wirkt groß und hat zu zwei typischen Reaktionen geführt. Die Zuständigen wurden vom Ausmaß der Aufgabe überwältigt und schoben das Compliance Projekt auf die lange Bank. Sie sind also das Risiko bewusst eingegangen, gegen Vorgaben zu verstoßen. Andere Firmen haben sich auf das absolute Minimum aus den Vorgaben und Pflichtenheften beschränkt und nur diese technischen Minimal-Maßnahmen umgesetzt. Beim Testen und in der Praxis stellte sich dann schnell heraus, dass ihr Ansatz zu viele Lücken ließ und sie das ganze Projekt neu konzipieren mussten.

Die besten Ergebnisse, so die Erfahrung der Compliance-Experten von Veritas, erzielten Firmen, die ihr Projekt nach einem klaren Prozess und definierten Plan vorangetrieben haben, der die internen Abläufe und Daten in einer Istaufnahme erfasste. Daraus wurde ein Sollzustand definiert und gemeinsam mit allen Beteiligten wie der Rechtsabteilung, den Datenschutzbeauftragten, der IT und der Geschäftsführung ein pragmatischer Anforderungskatalog mit klaren Zielen und Zwischenschritten definiert.

EU muss grundsätzlichen Geburtsfehler beseitigen

Doch nicht nur die Unternehmen sind in der Pflicht. Nach der geplanten Evaluierung der Datenschutzregeln müsse die EU den grundsätzlichen Geburtsfehler beseitigen, fordert der Bitkom - nämlich die Tatsache, dass die DSGVO jeden einzelnen Datenverarbeitungsvorgang und jede Datenerhebung reglementiert.

Vereine, Startups und Großkonzerne würden, so der Verband, über denselben Kamm geschoren und nicht differenziert behandelt. Die in der DSGVO vorgesehenen Ausnahmen für kleinere Unternehmen kämen in der Praxis so gut wie nie zum Tragen. Dabei sollten Art und Umfang der Datenverarbeitungen ausschlaggebend für die Verpflichtungen sein, auch sollte man die Regeln grundsätzlich vereinfachen.

"In der Forschung sollten der Datennutzung weniger Hürden in den Weg gestellt werden – insbesondere für EU-weite Projekte im Gesundheitsbereich“, sagt Bitkom-Präsident Berg.

Zur geplanten Evaluierung der DSGVO durch die EU-Kommission hat Bitkom Empfehlungen erarbeitet. Aus Bitkom-Sicht sollte es vor allem eine beschleunigte Abstimmung auf EU-Ebene geben, um die Auslegung der DSGVO stärker zu harmonisieren.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46600574)