Vor einem Jahr wurde die DSGVO und das neue BDSG in Kraft gesetzt. Ein kleines Fazit: Unternehmen behalten die Geldbußen im Auge und prüfen, wie sich die Einhaltung der DSGVO oder deren Nichteinhaltung auf sie auswirken könnte.

Das einjährige Jubiläum der Einführung der Datenschutzgrundverordnung (engl.: GDPR) der Europäischen Union ist nun eingetreten und bisher sind die meisten Unternehmen von dem Schlimmsten verschont geblieben, was das neue Gesetz so zu bieten hat. Dazu gehören insbesondere Bußgelder von bis zu 20 Millionen Euro oder satte vier Prozent des weltweiten Umsatzes des Vorjahres, was die GRPR als „weltweiter Umsatz“ bezeichnet. Dies wird sich jedoch voraussichtlich ändern, wenn sich die Fälle durch die Gerichte schlängeln, Präzedenzfälle geschaffen werden und das Gesetz weitere Auswirkungen zeigt. Denn immerhin gab es in der Zeit von Ende Mai 2018 bis Januar 2019 europaweit mehr als 41.500 den Behörden gemeldete Fälle, allein in 2018 nur in Baden-Württemberg 774 Fälle! Dies führte zu der Meldung im Jahre 2019 nun 250 geplante Kontrollmaßnahmen seitens der baden-württembergischen Aufsichtsbehörde durchzuführen. Also: aufgepasst!

Die Art und Weise, wie Unternehmen reagieren, variiert je nach Belastung. Offensichtlich haben EU-Unternehmen kaum eine andere Wahl, als ihre Häuser und Prozesse in Ordnung zu bringen. Das läuft zwar etwas sehr zäh, aber immerhin sind aufgrund der bestehenden EU-Vorschriften bereits ein Drittel der deutschen Unternehmen relativ gut aufgestellt. Unternehmen außerhalb der EU, die mit EU-Bürgern oder mit geringer Präsenz auf dem EU-Kontinent Geschäfte machen, haben die Wahl: sie können abwarten und sehen, was passiert, wie sich die GDPR durch die Gerichte schlägt und dann entscheiden, ob sich die Kosten für die Einhaltung lohnen oder, wie einige bereits getan haben, sich insgesamt aus dem EU-Markt zurückziehen. Oder sie können natürlich auch das Risiko eingehen, dass sie nur ein Baum unter vielen im Walde sind, der für die Aufsichtsbehörden unsichtbar ist, solange sie keine schweren Verstöße belasten. Dieser Ansatz weist möglicherweise schwerwiegende Mängel auf. Da die Datenschutzbestimmungen weltweit an Bedeutung gewinnen, wird keine dieser Optionen von denjenigen, die Unternehmen bei der Beratung zur GDPR-Compliance beraten, als Best Practice angesehen.

Neue Vorschriften sind auf dem Weg

Viele Unternehmen erkennen jetzt, dass die GDPR ein Vorreiter für eine breitere globale Anstrengung in Bezug auf strengere und anspruchsvollere Datenschutzbestimmungen ist. Unternehmen müssen erkennen, dass die Art und Weise, wie sie personenbezogene Daten verarbeiten, stark reguliert wird. Fast ein Viertel der Länder der Welt (45 der 195 von den Vereinten Nationen anerkannten Länder) verfügen derzeit über Gesetze, die regeln, wie personenbezogene Daten verwendet werden können, und weitere kommen hinzu. Brasilien hat kürzlich ein Datenschutzgesetz auf der Grundlage der GDPR erlassen. Indien hat 2018 eine ähnliche Maßnahme ausgearbeitet. Und Russland und China sind auch in den Ring getreten, so dass sich alle möglichen Spieler auf der ganzen Welt einbringen.

Das bedeutet, dass Unternehmen jeder Größe mit dem Schutz personenbezogener Daten in einer Weise beginnen müssen, der für viele neu und belastend, aber nicht ohne Beispiel ist. In den USA stellen sowohl der Health Insurance Portability and Accountability Act (HIPAA) als auch der Gramm-Leach-Bliley Act (GLBA) einen strengen Schutz personenbezogener Daten für Unternehmen aus dem Gesundheits- und Finanzdienstleistungssektor dar.

Der Teufel steckt eben, wie so oft, im Detail. Die GDPR hat insbesondere vier Bestimmungen, die für die meisten Unternehmen am schwierigsten zu erfüllen sein dürften. Dies liegt nicht nur daran, dass Daten überall innerhalb eines Unternehmens vorhanden sind, sondern auch daran, dass sie oft an Dritte weitergegeben werden, die sie wiederum an ihre Drittanbieter weitergeben könnten.

Das sind die Bestimmungen, die für einige Unternehmen problematisch werden:

– Recht auf Löschung, inoffiziell bekannt als das Recht auf Vergessen, bei dem Unternehmen unter bestimmten Umständen alle personenbezogenen Daten, die sie über die anfragende Person haben, löschen müssen;

– Zugangsrecht, wenn Unternehmen auf Anfrage mitteilen müssen, welche Daten sie über eine Person haben, wie sie verarbeitet werden, wo sie gespeichert sind und eine Vielzahl anderer Informationen über ihre Verwendung;

– Recht auf Datenübertragbarkeit, bei der Unternehmen ihren Kunden eine portable Datendatei aller ihrer personenbezogenen Daten zur Verfügung stellen müssen, damit der Kunde den Dienstanbieter wechseln kann. Ein Unternehmen muss diese Daten auf Anfrage auch an ein anderes Unternehmen oder eine andere Firma übermitteln, falls der Kunde den Anbieter wechseln möchte;

– 72-Stunden-Benachrichtigung, bei der das Unternehmen der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Verletzung eine Verletzung personenbezogener Daten melden muss.

Das Schwierigste, mit dem Unternehmen bei all diesen neuen Anforderungen zu tun haben, ist der Zugang und das Recht auf Löschung. Es gibt Dutzende, Hunderte und, für die größten Unternehmen, Tausende von verschiedenen Aufbewahrungsorten, in denen sich diese persönlichen Daten in strukturierter, unstrukturierter, elektronischer und nicht-elektronischer Form befinden. Wenn also jemand fordert seine Daten löschen zu lassen, kann das ein äußerst beängstigender Vorgang werden. Die gleiche Herausforderung besteht für die Portabilität: wie soll ich all diese persönlichen Informationen aus den Systemen in eine einzige, portable Datei für eine Person bekommen?

Die meisten Unternehmen gehen proaktiv mit den neuen Gegebenheiten des Schutzes personenbezogener Daten um. Da jedoch viele der bisherigen Geldbußen im Vergleich zu dem, was sie hätten sein können, nominal waren, gibt es einige Unternehmen, die abwarten, um zu sehen, was die Aufsichtsbehörden in jedem EU-Mitgliedstaat tun werden. Die in den Datenschutzkreisen vorherrschende Meinung ist, dass die Geldbußen sicher steigen werden, wenn sich die Regulierungsmaßnahmen ausweiten. Und wenn die Geldbußen steigen, wird es ein zweite GDPR-Welle geben.

Facebook Irland wurde bereits vom britischen ICO (Information Commissioner’s Office) mit einer Geldstrafe von £ 500.000 (etwa € 570.000) belegt, und das war nicht Teil einer GDPR-Strafe. Von den 50 Millionen Facebook-Konten, die von Cambridge Analytica verletzt wurden, waren weniger als 10 Prozent in der EU ansässig, so die veröffentlichten Berichte. Im Januar 2019 wurde Google von den französischen Behörden mit der bisher höchsten Geldstrafe von 50 Millionen Euro belegt (weitere Infos s.u.).

Wenn die Aufsichtsbehörden mit der Verhängung massiver Geldbußen beginnen, könnte die Durchsetzung und Erhebung dieser Geldbußen ein Thema werden. Zumindest zunächst wird davon ausgegangen, dass die Aufsichtsbehörden bei der Verhängung der härtesten (!) Sanktionen vorsichtiger vorgehen werden.

Mehr als nur Geld

Für Unternehmen gibt es zwei wichtige, zusammenhängende Themen: das Richtige zu tun und das Reputationsrisiko.

Viele Unternehmen wollen konform sein, weil es das „Richtige“ ist und weil der Gesetzgeber sie dazu verpflichtet. Aber aufgrund von Social Media sind Marke und Reputation heute immer anfälliger. Unternehmen, deren Kunden, dass sie „das Richtige tun“, haben immer an Loyalität gewonnen, aber Wahrnehmungen – und Boykotte – bewegen sich im Zeitalter von viralen Videos, Tweets, Posts und Memes viel, viel schneller als vor zwanzig, dreißig Jahren.

Vertrauen ist keine Ware, es wird verdient und es ist zerbrechlich.

Wenn sich Ihr Geschäftsmodell um Menschen dreht, die Ihnen intime Details ihres Lebens anvertrauen wie: was sie für ihren Lebensunterhalt tun bis hin zu den Gesundheitsbedingungen, die sie umgeben, ist es eine vernünftige und sichere Annahme, dass sie als Unternehmen verstehen, dass Sie den Datenschutz ernst nehmen. Sie müssen also etwas tun: denn Handeln entstammt von „Hand“, und nicht von Mund…

Wir werden zu dem Punkt kommen, an dem es Einschränkungen nicht nur für die großen Betreiber wie Google und Facebook geben wird. Ich höre zum ersten Mal von Datenschutzprofis und Datenschutzanwälten, dass wir auf Bundesebene wirklich etwas sehen konnten.

Die vielen Anforderungen der GDPR an den Datenzugriff, die Löschung und die Übertragbarkeit erfordern eine Deep-Dive-Datenprüfung, um herauszufinden, wo sich die Daten befinden, wer sie verarbeitet, was ihre Richtlinien und Verfahren in Bezug auf diese Handhabung sind, und um eine Vielzahl anderer Compliance-Fragen zu beantworten.

Unternehmen sollten die GDPR als Gelegenheit „begrüßen“, die eigene Datenpolitik markenübergreifend zu standardisieren und für die richtigen Cyber-Sicherheitstechnologien zu investieren. Wir brauchen ein klares Verständnis, wo sich die Daten befinden, standardisierte Datenschutzpraktiken und Sensibilisierungsschulungen im gesamten Unternehmen sowie einen verbesserten Ruf für Integrität auf dem Markt. Angesichts der möglichen finanziellen Auswirkungen von Bußgeldern stelle ich fest: es gibt finanzielle Auswirkungen und es gibt Marken- und Imageschäden, die eintreten können, wenn die Unternehmen nicht konform sind.

Nach einem Jahr GDPR ist immer noch viel zu tun und die zweite Welle wird kommen.

Und als Segler erinnere ich mich an den Juristen- und Seemannsspruch:
vor Gericht und auf hoher See bist Du in Gottes Hand.

Und soeben kam die aktuelle Meldung: „Die Berliner Datenschutzbeauftragte hat mit 50.000 Euro eine der bislang höchsten Strafen wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) verhängt.“ Betroffen ist dabei nach Informationen des Fachdienstes „Tagesspiegel Background Digitalisierung & KI“ die Onlinebank N26. „Ein Bußgeld betrug 50.000 Euro und betraf die unbefugte Verarbeitung personenbezogener Daten ehemaliger Kundinnen und Kunden durch eine Bank“, erklärt die Behörde.“ (Zitat Tagespiegel am 23.Mai 2019)

Die erste von den deutschen Regulierungsbehörden erhobene Geldbuße war eine Geldbuße von 20.000 Euro auf die Chat-Apps Knuddles, während die Österreichische Datenschutzbehörde (DPA) im Oktober eine Geldbuße von 4.800 Euro gegen ein namenloses Unternehmen verhängte, das Überwachungskameras vor seinen Einrichtungen installierte. Die Kameras filmten auch den Bürgersteig und verstießen gegen die Regeln für die Privatsphäre von Fußgängern.

Einige der bekanntesten Bußgelder, die seit dem 25. Mai 2018 erhoben wurden, sind unter anderem:

Google: 50 Mio. €, Frankreich verhängte eine Geldstrafe gegen Google, weil Google keine gültige Einwilligung der Nutzer für gezielte Werbung eingeholt hatte.

Uber: 1 Mio. €, die französischen, britischen und niederländischen Behörden haben Uber jeweils separat wegen einer 2016 Datenschutzverletzung abgestraft

Facebook Irland: 500.000 £, Cambridge Analytica Skandal

Equifax: 500.000 £, 2017 Datenschutzverletzung

TalkTalk: 400.000 £, Cyberangriff auf 157.000 Kunden

Keurboom Communications: 400.000 £, 100 Millionen belastende Anrufe

Flughafen London/ Heathrow: 120.000 £, um sicherzustellen, dass personenbezogene Daten im Netzwerk ordnungsgemäß geschützt sind

Und nun: „Happy Birthday – GDPR“ !

Bild-Quelle: https://freephotos.cc/de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *