Softwarelösung zur DSGVO

Mehr Licht ins Dunkel bringen

Eric Kaldschmidt, Head of Development der Impetus Unternehmensberatung GmbH in Eschborn, im Interview über die zunehmende Härte von DSGVO-Strafen und Strategien zur Vermeidung von teuren Sanktionen.

Eric Kaldschmidt, Head of Development der Impetus Unternehmensberatung GmbH

„Unabhängig von Branchen und Unternehmensbereichen ist mit personenbezogenen Daten immer sensibel umzugehen”, betont Eric Kaldschmidt von der Impetus GmbH.

IT-DIRECTOR: Mit dem kürzlich verhängten Millionen-Bußgeld gegen die Deutsche Wohnen hat das Strafmaß für DSGVO-Verstöße hierzulande eine neue Dimension angenommen. Werden wir in Zukunft häufiger solche Fälle sehen?
Eric Kaldschmidt:
Natürlich. Die Aufsichtsbehörden haben quasi das wahr gemacht, was sie 2018 angekündigt hatten: 2018 den Unternehmen eine Karenzzeit geben, bevor 2019 genauer hingeschaut wird. Im Fall der Deutsche Wohnen wurde laut Pressemeldung bereits 2017 auf interne Versäumnisse hingewiesen, was auch Auswirkungen auf die Höhe der Strafe hatte. Im internationalen Vergleich rangiert dieses Bußgeld jedoch noch im unteren Mittelfeld. Beispielsweise haben die britischen Behörden schon Strafen jenseits der 100 Millionen Euro Marke verhängt.

IT-DIRECTOR: Hat die Höhe des Bußgeldes auch etwas mit dem Ende einer gewissen „Schonzeit” zu tun, die Unternehmen im ersten Jahr der DSGVO genossen haben?
Kaldschmidt:
Definitiv wurden die Unternehmen wie bereits erwähnt im ersten Jahr größtenteils verschont. Die Höhe der Strafe hat jedoch nichts mit dem Ende dieser „Schonzeit“ zu tun, sondern richtet sich nach einem definierten Schlüssel, in dem ein für das spezifische Unternehmen zugrunde liegender Tagessatz auf Grund des konzernweiten Vorjahresumsatzes berechnet wird. Je nach Schwere des Vergehens wird dieser Tagessatz mit einem Faktor multipliziert, woraus sich die Höhe des Bußgeldes ergibt. Weitere Faktoren wie z.B. formal gute Zusammenarbeit der Unternehmen mit den Behörden können sich strafmindernd auswirken.

IT-DIRECTOR: Der Wohnungsgesellschaft sind persönliche Mieterdaten zum Verhängnis geworden, die auch nach Jahren nicht gelöscht wurden und damit auch eingesehen sowie weiterverarbeitet werden konnten. Wie kann einem Unternehmen dieser Größe ein solcher Fehler unterlaufen?
Kaldschmidt:
Erfahrungsgemäß stellt die Kenntnis, wo welche personenbezogenen Daten zu finden sind, eine große Hürde dar. Je größer ein Unternehmen ist, d. h. je mehr Systeme vorhanden sind, desto unübersichtlicher wird es. Ohne die Kenntnis, in welchen Systemen genau nach Ablauf einer Aufbewahrungsfrist welche personenbezogenen Daten zu löschen sind, ist die Gefahr sehr hoch, dass solche Fehler passieren. Generell fallen mir hier Technisch-Organisatorische-Maßnahmen (TOMs) ein, unter deren Zuhilfenahme die Vorschriften der DSGVO gesetzeskonform umgesetzt werden können. Unter Anderem können diese TOMs wie das CDMS (Customer Data Deletion Management System) von Impetus Licht ins Dunkel der Systemlandschaft bringen und Abhängigkeiten sowie Datenflüssen abbilden. Somit sind Unternehmen in der Lage, Ihre Pflichten gemäß Kapitel 3 DSGVO – Rechte der betroffenen Person - zu erfüllen.

IT-DIRECTOR: In welchen Unternehmensbereichen und Branchen ist derzeit erhöhte Vorsicht geboten, wenn es um die Verarbeitung von persönlichen Daten geht? Wo ist vermehrte Nachlässigkeit zu beobachten?
Kaldschmidt:
Unabhängig von Branchen und Unternehmensbereichen ist mit personenbezogenen Daten immer sensibel umzugehen, vor allem wenn es sich um die besonderen Kategorien wie z.B. Religionszugehörigkeit oder Gesundheitsdaten handelt. Letztendlich ist immer dann Nachlässigkeit zu beobachten, wenn für die Maßnahmen des Datenschutzes eigene Budgets zur Verfügung gestellt werden müssen und diese Maßnahmen auch Zeitaufwand und Personalkosten in die Höhe treiben.  Vor dem Hintergrund eines Bußgeldes in Millionenhöhe jedoch erscheinen die für den Datenschutz einzustellenden Gelder gering. Daher werden sich in Zukunft die jetzt noch zögerlichen Unternehmen genau überlegen müssen, in was sie Ihr Geld investieren wollen.

IT-DIRECTOR: Welche Maßnahmen können dabei helfen, unbeabsichtigte DSGVO-Verstöße zu vermeiden?
Kaldschmidt:
Maßnahmen wie das Pflegen des Verzeichnisses von Verarbeitungstätigkeiten oder das Erstellen eines Löschkonzeptes sensibilisieren Mitarbeiter und Verantwortliche eines Unternehmens im Hinblick auf Zuständigkeiten, Fristen und die erforderlichen Tätigkeiten. Im CDMS (Customer Data Deletion Management System) z.B. werden mit automatisierten Workflows die Bereinigung der Daten dokumentiert, die Zuständigkeiten im Unternehmen berücksichtigt und Fristüberschreitungen eskaliert.

IT-DIRECTOR: Wie sollte ein Unternehmen im Idealfall reagieren, wenn Defizite oder sogar Verstöße entdeckt werden?
Kaldschmidt: Bevor Unternehmen so einen Verstoß melden können, müssen sie ihn erst einmal erkennen können. Dafür ist die Schulung der zuständigen Mitarbeiter erforderlich, um sie in die Lage zu versetzen, Defizite bzw. Verstöße bewerten zu können. Laut Art 33 Abs 1 der DSGVO muss der Verantwortliche innerhalb von 72 Stunden nach einer bestätigten Verletzung des Schutzes personenbezogener Daten die zuständige Aufsichtsbehörde informieren, es sei denn, die Verletzung führt nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Bildquelle: Impetus GmbH

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok