Article Was können Unternehmen von Geldstrafen der DS-GVO lernen?
By null / 20 May 2019 / Themen: Empfohlen Sicherheit
Die Einführung der Allgemeinen Datenschutzbestimmungen der Europäischen Union (DS-GVO) im Mai 2018 war der bedeutendste Wandel der Datenschutzgesetze seit Jahrzehnten.
Die Geschäftswelt und der öffentliche Sektor waren bereits seit einiger Zeit über die Änderungen informiert, aber als die Frist näher rückte, wurden die E-Mail-Boxen der Kunden mit Anfragen nach rückwirkenden Genehmigungen überschwemmt und Schlagzeilen mit hohen Bußgeldern waren an der Tagesordnung.
In diesem Fall änderte sich die Welt nicht von heute auf morgen, und es war schwierig, die unmittelbaren Folgen der DS-GVO zu ermitteln.
Was ist die DS-GVO?
Die Datenschutz-Grundverordnung (DS-GVO) stärkt die Privatsphäre der Nutzer auf zwei Arten. Erstens erhöht die DS-GVO die Verpflichtungen von Unternehmen, die Benutzerdaten zu schützen, und zweitens gewährt sie den Bürgern neue Befugnisse hinsichtlich der Erfassung, Verwendung und Speicherung ihrer Informationen.
Unternehmen müssen beispielsweise sicherstellen, dass alle angemessenen Schritte unternommen werden, um Daten zu sichern, Mitarbeiter zu schulen und Verstöße offenzulegen. Die Unternehmen müssen den Bürgern auch klar und transparent zeigen, wie sie personenbezogene Daten verwenden. Bürger haben das Recht zu sehen, welche Daten gespeichert sind, und sie können auch verlangen, dass diese jederzeit gelöscht werden.
Erste Beweise deuten darauf hin, dass die Bürger von den neuen Bestimmungen Gebrauch machten, indem sie eine stärkere Kontrolle über ihre personenbezogenen Daten forderten und sich bei der zuständigen Aufsichtsbehörde beschwerten, wenn nicht.
Welche Zahlungen von Bußgeldern gab es bisher?
Im Vorfeld der DS-GVO wurde allgemein bekannt, dass die DS-GVO die Befugnis zur Verhängung einer Geldbuße von bis zu 20 Mio. GBP oder 4% des weltweiten Umsatzes eines Unternehmens hatte. Wir können jetzt sehen, dass diese Warnungen kein Fall von „Panikmache“ waren und dass die Aufsichtsbehörden schwere Strafen verhängen.
Ein Bußgeld in Höhe von € 20.000.-, das an das soziale Netzwerk Knuddels wegen eines Datenverstoßes ausgezahlt wurde, bei dem E-Mail-Adressen und unverschlüsselte Passwörter gestohlen wurden, war nicht der drastischste, aber die Zahlen stiegen langsam an.
Im Oktober verhängte die portugiesische Aufsichtsbehörde eine Strafe in Höhe von € 400.000.- gegen ein Krankenhaus, nachdem Mitarbeiter mit gefälschten Profilen illegal auf Patientendaten zugegriffen hatten.
Und im Januar wurde Google von der französischen Datenschutzbehörde CNIL die bislang höchste Geldbuße auferlegt. Google wurde mit einer Geldstrafe von € 50 Mio. belegt, weil das Unternehmen nicht transparent genug beim Sammeln von Daten für personalisierte Werbung war, und weil es für diese Informationen keine ausreichende Einwilligung erhalten hatte.
Insbesondere stellte die CNIL fest, dass Google keinen eindeutigen Datenstandort für sein EU-Geschäft hatte und dass die Einwilligung, die sie für Daten erhalten hatten, die vor dem Inkrafttreten der DS-GVO erhoben wurden, nach dem Inkrafttreten der Vorschriften nicht mehr gültig waren. Die CNIL erklärte außerdem, dass die Datenerfassungseinstellungen für Benutzer, die keine Einwilligung erteilt haben, nicht mit der DS-GVO übereinstimmen.
Was können Unternehmen aus diesen Beispielen lernen?
1. Die Aufsichtsbehörden sind bereit, ihre Macht einzusetzen
Die offensichtlichste Erkenntnis ist, dass die Aufsichtsbehörden keine Angst haben, ihre neuen Befugnisse zu nutzen. Die bisherigen Beispiele zeigen, dass die Behörden die Durchsetzung der Vorschriften ernst nehmen und mehr als bereit sind, die höheren finanziellen Sanktionen zu nutzen, die sie verhängen können.
Für einen großen Konzern wie Google ist das Bußgeld alles andere als tödlich, aber andere Unternehmen haben nicht den Luxus, eine solche Gebühr in Kauf zu nehmen. Einige Unternehmen sind möglicherweise der Ansicht, dass die Zahlung einer Geldstrafe weniger aufwändig ist als die Einhaltung der Vorschriften - sie wurden gewarnt.
2. Die DS-GVO kann schwerwiegende Auswirkungen auf den Geschäftsbetrieb haben
Jede Verpflichtung zur Änderung von Praktiken könnte einen enormen Einfluss auf die Funktionsweise einer datenintensiven Organisation haben. Das gesamte Geschäftsmodell von Google basiert auf der Erfassung von Daten, mit denen Dienste und Werbung personalisiert werden können.
Unternehmen müssen sicherstellen, dass ihre Datenerfassung den neuen Regeln entspricht. Ist dies nicht möglich, müssen sie möglicherweise ihr Geschäftsmodell ändern.
Die einzige Alternative ist die Nuklearoption - Eine große britische Pub-Kette hat beschlossen, ihre gesamte Mailing-Liste zu löschen, anstatt die Konformitätsprüfung zu bestehen, aber dies ist für die meisten Unternehmen kaum eine realistische Option.
3. Sicherheit ist nicht optional
Es geht nicht nur um die Datenerfassung, sondern auch um Sicherheitsmaßnahmen. Unternehmen müssen sicherstellen, dass alle Daten geschützt und verschlüsselt sind (sofern zutreffend) und dass sie einen Überblick darüber haben, wer auf welche Daten und auf welchem Gerät zugreifen kann. Datenverletzungen kommen häufig vor, wenn Sie jedoch alle zumutbaren Maßnahmen ergreifen, um einen Vorfall zu mindern, kann die Gefahr einer hohen Geldstrafe minimiert werden.
4. Technologien können helfen
Wenn sich Unternehmen nicht an die neuen Gegebenheiten des Datenschutzes anpassen, besteht das Risiko schwerwiegender finanzieller Schäden oder von Reputationsschäden. Zusätzlich zu den Sicherheitstools sollten Unternehmen einen Datencontroller benennen und eine geeignete Strategie zur Datenaufbewahrung implementieren.
Technologien wie die Microsoft Azure Public Cloud können die Kompatibilität verbessern, während die Verwendung von MDM-Plattformen (Mobile Device Management) wie Microsoft Intune den Informationsfluss zwischen Geräten verwalten kann.
5. Es gibt noch mehr zu lernen
Bei so vielen aktiven Beschwerden und Ermittlungen - von einigen größeren Cyberangriffen ganz zu schweigen - ist es wahrscheinlich, dass weitere Bußgelder verhängt werden und diese möglicherweise höher ausfallen als der aktuelle Rekord. Wenn sich Unternehmen mit neuen Gesetzen auseinandersetzen, wird wahrscheinlich jeder neue Fall eine neue Lektion liefern, die gelernt werden muss.
Sehen Sie sich auch unsere Video an: „6 Möglichkeiten, wie die DSGVO zu Ihrem Vorteil genutzt werden kann“
Haben Sie weitere Fragen zum Thema?
Unsere Experten beraten Sie gerne unverbindlich und individuell.
