Die Datenschutzverordnung verpflichtet Unternehmen zum regelkonformen Umgang mit personenbezogenen Daten. Auf dem Weg zur Compliance lauern viele Stolpersteine. Der IT-Dienstleister NTT Ltd. nennt die fünf größten Fallstricke.
In Kraft trat die EU-Datenschutzgrundverordnung im Mai 2018. Ziel ist es, die Daten der Bürger nach einer einheitlichen Gesetzgebung zu schützen und ihnen die Hoheit darüber zu geben, ob und wie diese verwendet werden. Verstöße haben für Unternehmen weitreichende Konsequenzen: Die Wohnungsgesellschaft Deutsche Wohnen beispielsweise wurde Ende 2019 zu einer Strafe von 14 Millionen Euro verurteilt, weil ihr Archivsystem keine Löschmöglichkeit hatte.
Trotzdem haben viele Unternehmen auch nach knapp drei Jahren noch nicht ausreichend adäquate Maßnahmen getroffen, um Daten entsprechend der Vorgaben zu verarbeiten, zu speichern und zu löschen. Bei der Umsetzung der Datenschutzverordnung lauern aus Sicht von NTT fünf große Fallstricke:
- Interessenskonflikte und mangelndes Verständnis
In großen Unternehmen kümmert sich der Datenschutzbeauftragte um den Schutz personenbezogener Daten. In kleinen und mittelständischen Betrieben kümmert sich häufig der IT-Leiter darum. Hieraus kann sich aus Sicht der zuständigen Landesämter für Datenschutzaufsicht ein Interessenkonflikt ergeben. Immerhin muss der des Datenschutzbeauftragte explizit die „Sicherheit der Verarbeitung“ durch geeignete technische und organisatorische Maßnahmen seitens der IT-Abteilung überprüfen. Ein IT-Leiter, der gleichzeitig Datenschutzbeauftragter ist, prüft sich also selbst. Ein weiterer Stolperstein sind fehlende Kenntnisse in Sachen Compliance. Das umfasst die die Einführung unterschiedlicher Datenklassen, eine praktikable Datenklassifizierung, eine saubere Trennung zwischen Geschäftsdaten und personenbezogen Daten sowie die Privacy-Shield-Problematik bei der Cloud-Nutzung.
- Technische und organisatorische Probleme
Zu den zentralen Elementen des EU-Datenschutzes gehören die Rechte der Betroffenen. Jede Person darf umfassend Auskunft über sie betreffende personenbezogene Daten verlangen. Dies schließt unter anderem die Verarbeitungszwecke, die Empfänger der Daten und die geplante Dauer der Speicherung ein. Die Auskunft muss in verständlicher Form, präzise und transparent erfolgen sowie ein gängiges Datenformat aufweisen. Voraussetzung für eine schnelle Antwort auf eine Anfrage ist ein gut strukturiertes Datenschutzkonzept, ein Prozess, der eine fristgerechte und korrekte Bearbeitung der Anträge gewährleistet, sowie Tools, die auf Knopfdruck die gesuchten Daten herbeischaffen. Ein ähnliches Vorgehen empfiehlt sich beim Recht auf Vergessen werden: Unternehmen sollten durch einen klar definierten Prozess sicherstellen, dass die betreffenden Daten gelöscht werden, wenn eine Person die Einwilligung zur Verarbeitung zurückzieht.
- Fehlerhafte Verträge für die Datenverarbeitung
Die Verarbeitung von Daten im Auftrag kommt in nahezu jedem Unternehmen vor. Angefangen von der Nutzung eines externen Rechenzentrums über as-a-Service-Modelle bis hin zu Cloud Computing. Meist liegt eine sogenannte Auftragsverarbeitung vor, für die Unternehmen im Rahmen des Datenschutzes besondere Maßnahmen ergreifen müssen. Pflicht ist ein Vertrag, dessen Inhalt vorgegeben ist. Fehlt dieser Vertrag, sieht das Gesetz bei Verletzungen der Datenschutzbestimmungen eine gemeinsame Haftung von Auftraggeber und Auftragnehmer vor.
- Unzureichende technische Maßnahmen
Technische und organisatorische Maßnahmen umfassen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten. Neben dem Datenschutz, der die rechtlichen Voraussetzungen für die Erhebung und Verarbeitung personenbezogener Daten regelt, kommt hier das Thema Datensicherheit ins Spiel. Darunter fallen technische Vorkehrungen wie die Verwendung einer Firewall, die Protokollierung des Zugriffs auf Datenbanken oder die Verschlüsselung bei der Datenübertragung, aber auch organisatorische Maßnahmen wie Mitarbeiterschulungen und die Vereinbarung zur Geheimhaltungspflicht. Die Implementierung angemessener Maßnahmen ist dokumentationspflichtig. Die Grundlage für die Auswahl der Schutzmaßnahmen bildet eine Risikoanalyse. Eine große Rolle spielen „Privacy by design“ und „Privacy by default“. Der Datenschutz verlangt, dass das diese Themen bereits bei der technischen Umsetzung beachtet werden und dass entsprechende Voreinstellungen implementiert werden. Nicht vergessen werden darf beim Einsatz von neuer Technik oder einem neuen System für die Datenverarbeitung auch die Datenschutz-Folgeabschätzung. Diese erkennt und bewertet Risiken für betroffene Personen.
- Rechtliche Unklarheiten und fehlende Unterstützung
Erschwerend für Unternehmen wirken rechtliche Unklarheiten durch Änderungen seitens der Gesetzgebung und eine mangelnde Umsetzungshilfe durch die Aufsichtsbehörden. Bei Verstößen müssen Unternehmen die Meldepflicht einhalten. Ein solcher Fall tritt dann ein, wenn ein Mitarbeiter versehentlich Daten veröffentlicht, ein Notebook abhandenkommt oder Hacker das Unternehmen angreifen. Bei der Entscheidung, was genau sie wann und wohin melden, sollten sich Unternehmen professionell beraten lassen.
„Die Sicherheit bei der Verarbeitung personenbezogener Daten ist ein wesentlicher Bestandteil des Datenschutzes“, erklärt Christoph Seidel, Senior Manager, GRC European Practice, der Security Division von NTT Ltd. „Unternehmen sind verpflichtet, mögliche Risiken für Betroffene zu ermitteln und Gegenmaßnahmen umzusetzen.“ Die Unternehmen seien in Sachen Datzenschutz noch immer unterschiedlich gut aufgestellt: „Durch den rasant zunehmenden Einsatz von Internet of Things, Cloud-Technologie, Künstlicher Intelligenz, Big Data und Blockchain, aber auch durch das Pandemie-bedingte Arbeiten im Homeoffice sind die Herausforderungen gewachsen.“ Jürgen Frisch
