Datenschutz – Ist die Ära des Kavalierdelikts vorbei?

Ein virtueller Round Table mit Klaus Veselko, Geschäftsführer der Firma CIS – Certification & Information Security Services GmbH, und CIS Netzwerkpartner und Rechtsanwalt Dr. Markus Frank anlässlich des Europäischen Datenschutztags am 28. Jänner. Eine brandaktuelle Studie zu Datenschutzverstößen der Osservatorio of Federprivacy sorgte zudem für viel Gesprächsstoff.

Die Erkenntnisse der Studie haben wir kurz und knapp für Sie zusammengefasst: 2020 wurden im europäischen Wirtschaftsraum insgesamt 341 Sanktionen wegen Verstößen gegen die Datenschutzgrundverordnung (EU-DSGVO) verhängt – und das in einem Ausmaß von € 307.923.725,--.

Sanktionen in der Höhe von € 148.156.645,-- wurden davon alleine im Dezember 2020 verhängt. Das sind rund 48% des Gesamtstrafausmaßes. Ein vergleichsweise ruhiger Monat für den Datenschutz mit wenig eingeleiteten rechtlichen Schritten wiederum war der April 2020 – mögliche Ursache könnte u. a. die COVID-19 Pandemie sein und dass viele Unternehmen ihre Unternehmenstätigkeiten auf ein Minimum reduzieren mussten.

In Spanien wurden zwar die meisten Sanktionen (133 Sanktionen) verhängt, Frankreich ist jedoch jenes Land, in dem die höchsten Bußgelder verhängt wurden (insgesamt eine Summe von € 138.316.300,--). Österreich bewegte sich in puncto Datenschutz im Vergleich zu allen untersuchten Ländern eher im unteren Drittel. Mit gesamt nur drei verhängten Strafen und einer durchschnittlichen Höhe von € 33.583,-- hat die Summe der Sanktionen nur € 100.750,-- betragen. Im Vergleich dazu waren das in Deutschland mehr als 37 Millionen Euro, das ist das 370-fache (!). Diese Zahlen lassen folgende Interpretationen zu: Entweder die heimischen Unternehmen sind in puncto Datenschutz sehr reif und rechtskonform unterwegs oder es wird hierzulande noch nicht derart scharf überwacht bzw. geurteilt. Das könnte sich jedoch sehr rasch ändern. Die EU-Kommission drängt zunehmend auf einen einheitlichen Vollzug der DSGVO in der EU. Der mit Abstand häufigste Grund für Strafen waren mangelnde Rechtmäßigkeit der Verarbeitung, gefolgt von mangelnder IT Sicherheit. Datenschutzmanagementsysteme (DSMS) helfen beides zu vermeiden.

Hier kommen Sie zur Studie (Link)!

Die neue Studie beinhält alarmierende Zahlen. Wie würden Sie diese Studie reflektieren? Was bedeuten diese Ergebnisse für Unternehmen?

Klaus Veselko: Die Studie zeigt, wie stark tatsächlich abgemahnt wird und damit leider auch, wie hoch das Risiko für Organisationen und verantwortliche Führungskräfte in der Realität ist.
Für Unternehmen heißt das: Das Thema Datenschutz kann nicht auf die leichte Schulter genommen werden. Gratwanderungen, wie sie vielleicht in den letzten Jahren passiert sind, können und dürfen nicht mehr fortgeführt werden. Durch diesen Bericht wird einmal mehr deutlich, wie wichtig der Schutz persönlicher Daten sowohl für Unternehmen als auch für Konsumenten einerseits und der Einsatz von Managementsystemen im Bereich Datenschutz und Informationssicherheit andererseits wirklich sind. Nur so werden Lücken minimiert bzw. aufgedeckt und Unternehmen sparen sich letztendlich viel Stress, Frustration und natürlich Kosten. Ich denke, sämtliche Führungskräfte wissen Besseres anzufangen, als Zeit und Geld in juristische Auseinandersetzungen zu investieren.

Wie können Unternehmen also in puncto Datenschutz unterstützt werden?

Klaus Veselko: Neben einem ISMS (Anmerkung: Informationssicherheitsmanagementsystem) betrachtet ein DSGVO-Assessment die Datenschutz-Situation eines Unternehmens aus juristischer Sicht. Lücken werden aufgedeckt und konkrete, erforderliche Schritte zur Verbesserung der DSGVO-Compliance werden dargelegt. Der logische nächste Schritt ist ein Zertifikat nach ISO 27701, welches als Nachweis für DSGVO-orientierten Datenschutz sowie für ein funktionierendes Datenschutzmanagementsystem im Unternehmen dient. Eines ist ganz klar: Datenschutz muss in der Unternehmenskultur verankert sein und laufend evaluiert werden. Mit einer Datenschutzzertifizierung steigen im Unternehmen das Vertrauen der Mitarbeitenden, Kunden- und Partnerorganisationen.

Welche Vorbeugemaßnahmen und rechtlichen Chancen bieten denn Standards und Zertifizierungen im Bereich Datenschutz und Informationssicherheit?

Markus Frank: Mit einem Zertifikat für Datenschutz und Informationssicherheit wird die Rechtssicherheit und Transparenz von Prozessen laufend erhöht. Gleichzeitig werden natürlich Risiken von Datenschutzverletzungen und die Konsequenzen daraus minimiert und solide Datenschutzmechanismen sichergestellt. Eine ISO 27701-Zertifizierung und ein Datenschutzmanagementsystem helfen, DSGVO-Verstöße systematisch zu vermeiden und im Fall des Falles vor der Datenschutzbehörde bzw. vor Gericht, die Haftung der verantwortlichen Führungskräfte zu reduzieren. Gemäß einer aktuellen Entscheidung des Österreichischen Verwaltungsgerichtshofs muss die Datenschutzbehörde eine natürliche Person in der Organisation feststellen, welcher der Verstoß konkret zuzurechnen ist. Diese Person wird von der Datenschutzbehörde künftig neben der Organisation als weitere Beschuldigte im Verwaltungsstrafverfahren geführt.

Wie sieht die Situation im Homeoffice aus? Wie wir alle wissen, sind seit Frühjahr 2020 Homeoffice-Tätigkeiten massiv gestiegen. Gibt es hier berechtigterweise Sorgen in puncto Datenschutz und –verarbeitung? Was gilt es weiterhin zu beachten?

Markus Frank: Besonders wenn aktuell viele Arbeitnehmerinnen und Arbeitnehmer im Homeoffice tätig sind, müssen spezielle Datenschutz- und Sicherheitsmaßnahmen getroffen werden. Die Vertraulichkeit personenbezogener Daten bzw. dass diese vor einer unbefugten Verarbeitung sowie vor einem unbeabsichtigten Verlust oder unberechtigtem Zugriff geschützt werden, muss weiterhin gewährleistet sein. Daher ist es beispielsweise besonders wichtig, dass nur die vom Arbeitgeber zur Verfügung gestellten Hard- und Softwarelösungen genutzt werden und ausschließlich mittels einer sicheren VPN-Verbindung auf die organisatorische IT-Infrastruktur zugegriffen wird. Gleichzeitig muss eine „Clean Desk Policy" sichergestellt werden – das heißt auch, dass weder Familienmitglieder noch andere im Haushalt lebenden Personen Einsicht in die zu schützenden Daten haben. Idealerweise impliziert das, alleine in einem Raum zu arbeiten oder bei Verlassen des Arbeitsplatzes eine passwortgesicherte Bildschirmsperre zu aktivieren. Auf datenschutzfreundliche Voreinstellungen ist zu achten, Datenschutz-Folgenabschätzungen können ebenso erforderlich werden wie die Ergänzung von Auftragsverarbeitungsverträgen und des Verarbeitungsverzeichnisses.

Sollten Datenschutzvorfälle im Unternehmen bekannt werden, ist dies unverzüglich an die zuständigen Datenschutzverantwortlichen sowie an die Geschäftsführung zu melden und ein entsprechendes Verfahren hierfür festzulegen. Und natürlich: alles immer dokumentieren!

Wie wichtig ist es, kompetentes und hochqualifiziertes Personal zu beschäftigen?

Klaus Veselko: Mit der zunehmenden Wichtigkeit von Datenschutz, merken wir auch eine sehr starke Nachfrage nach Fachpersonal in diesem Bereich. Seien es Chief Information Security Officer Datenschutzbeauftragte oder Informationssicherheitsmanager: Personen, die intern das Bewusstsein für Datenschutz stärken und zugleich mögliche Optimierungen und Maßnahmen zum Schutz der Daten durchführen, werden auch künftig fixer Unternehmensbestandteil bleiben. Die verfügen letztendlich über das wesentliche Know-How, Datenschutz- und Informationssicherheitsmanagementsysteme zu bedienen.
Bei der Wahl von Ausbildungspartnern gilt es darauf zu achten, ob ein Unternehmen akkreditiert ist. CIS ist ein kompetenter akkreditierter Partner mit einem umfangreichen Programm an Trainings und Personenzertifizierungen, wodurch Ihnen zu mehr Erfolg mit Sicherheit und Datenschutz verholfen wird.

Abschließend möchte ich gerne noch das Jahr 2018 in Erinnerung rufen. Können Sie sich erinnern, dass die Datenschutzgrundverordnung zum „Unwort des Jahres" gewählt wurde? Was sagen Sie dazu?

Klaus Veselko: Es liegt in der Natur des Menschen, Unbekanntes abzulehnen und genau das drückt sich mit dem Unwort des Jahres 2018 aus. Viele hatten 2018 große Panik vor der Umstellung – Berichte von horrenden Geldstrafen im Millionenbereich haben diese allgemeine Hysterie und negative Stimmung verstärkt. In der Zwischenzeit haben viele Unternehmen die Prozesse der DSGVO erfolgreich implementiert und die ersten Unternehmen haben ihre international gültigen Zertifikate zum Thema Datenschutz bzw. Data Privacy (Anmerkung: Zertifizierungen nach ISO/IEC 27018 – Datenschutz in der Cloud, bzw. ISO/IEC 27701 – Datenschutzmanagementsystem) erhalten.

Die DSGVO tut per se nichts und niemandem etwas Böses. Das scheint heute zum Glück größtenteils bereits in den führenden Köpfen der Unternehmen und bei Privatpersonen angekommen zu sein. Die DSGVO hat die rechtmäßige Verarbeitung von Daten, mehr Transparenz und den Schutz personenbezogener Daten verstärkt und wir hoffen auch, dass diese negative Wahrnehmung hinsichtlich Sanktionen künftig immer mehr abnehmen wird.

Diesen Artikel und weiterführende Links finden Sie auch unter https://at.cis-cert.com/Pages/de/News-Presse/Aktuelle-Fachbeitraege/Datenschutz.aspx

Bild: iStock