Compliance und DSGVO - WORM-Speicherung bedeutet noch keine Revisionssicherheit

München, Starnberg, 03. Mai 2021 - Compliance durchzusetzen wird schwieriger und zugleich wichtiger; mehr Datenpannen und die DSGVO als Druckmittel vor Arbeitsgerichten...

Zum Hintergrund: Am 25. Mai jährt sich zum dritten Mal, dass die DSGVO (Datenschutzgrundverordnung) anwendbares Recht geworden ist. Die jüngsten Zahlen aus 2020 deuten darauf hin, dass es Firmen anscheinend schwerer fällt, wegen der Corona-Pandemie die wachsenden Datenmengen der Verordnung entsprechend zu verarbeiten. Genau 26.057 Datenpannen wurden im vergangenen Jahr deutschlandweit laut dem DSGVO-Portal gemeldet, so viele wie zwischen Mai 2018 bis Ende 2019 nicht. Am häufigsten wurden nach Angaben Vorfälle im Zusammenhang mit dem Versand von Dokumenten, Cyber-Angriffen und technischen Mängeln gemeldet. Die Datenschutz-Behörden haben Bußgelder in Höhe von 48,1 Millionen Euro verhängt, rund 50 Prozent mehr als im Vorjahr. Europaweit summiert sich die Höhe der Strafen in den 27 Mitgliedsländern auf 158,5 Millionen Euro, eine Steigerung von rund 40 Prozent.

DSGVO als Druckmittel vor dem Arbeitsgericht

Wie z.B. das Handelsblatt in seinem Beitrag vom 05. April ("Arbeitsrechtsprozesse: Wie die Datenschutz-Grundverordnung zum Druckmittel wird") berichtete, wird die Verordnung immer häufiger in arbeitsrechtlichen Konflikten eingesetzt. So verlangte ein gekündigter Mitarbeiter, dass sein ehemaliger Arbeitgeber im Rahmen der Auskunftspflicht nach Artikel 15 alle über ihn gespeicherten Daten wie die allgemeinen Personendaten, Kennnummern oder ähnliches aushändigt. Die beklagte Firma übergab dem ehemaligen Mitarbeiter diese personenbezogenen Daten als Zip-Datei, der wiederum verlangte eine Kopie des gesamten E-Mail-Verkehrs zwischen ihm und dem Unternehmen sowie derjenigen E-Mails, in denen er genannt wird. Das Bundesarbeitsgericht (BAG) plant demnach bald zu entscheiden, wie weit die Auskunftspflicht des Arbeitgebers reicht und ob der Kläger tatsächlich Kopien sämtlicher E-Mails erhalten muss, in denen sein Name vorkommt (Az. 2 AZR 342/20).

Es sind Fälle bekannt, in denen Arbeitnehmer Kopien aller personenbezogenen Daten in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten des Arbeitgebers von Vorgesetzten und Kollegen verlangten. Dies zeigt ein Fall vor dem Arbeitsgericht Düsseldorf (Az. 9 Ca 6557/18).

Unklare Rechtslage durch Brexit

Dass sich die Rahmenbedingungen beim Thema Compliance ändern, ist spätestens seit dem Austritt von Großbritannien aus der EU klar. So ist es etwa nicht mehr ohne weiteres möglich, Daten zwischen Deutschland und Großbritannien auszutauschen. Daher läuft aktuell das Verfahren zum Erlass eines Angemessenheitsbeschlusses. Diese Regelung soll gewährleisten, dass die bestehenden Datenschutzbestimmungen im Vereinigten Königreich ausreichend sind und Unternehmen aus der EU Daten dort speichern dürfen. Allerdings müssen die EU-Mitgliedsstaaten dem Entwurf noch zustimmen. Dafür haben sie bis Juni Zeit. Erst danach ist der Datenaustausch zwischen der EU und dem Vereinigten Königreich wieder ohne Einschränkungen möglich.

Für Firmen wird es also immer wichtiger, ihre Daten gemäß der DSGVO zu organisieren. In den vergangenen Jahren haben die Compliance-Spezialisten bei Veritas miterlebt, welche Fehler Firmen bei der Umsetzung der Compliance machen und wie hingegen erfolgreiche Firmen vorgehen. Unternehmen können aus den Schwierigkeiten und Erfolgen anderer Compliance-Projekte lernen und ihre eigenen Prozesse entsprechend anpassen. Besonders zu beachten sind aus Expertensicht (1) dabei vor allem folgende Punkte:

1) Compliance ganzheitlich denken

  • Auch wenn beispielsweise das fristgerechte Löschen von Daten in erster Linie im Bereich der IT anzusiedeln ist, darf nicht vergessen werden, dass Compliance eine klar rechtliche Aufgabe ist. Bei erfolgreichen Projekten arbeiten alle Beteiligten zusammen: die Rechtsabteilung, der Datenschutzbeauftragte, die IT und auch die Geschäftsführung. Dieser Ansatz hilft dabei, sämtliche Aspekte zu berücksichtigen – seien es Risiken durch ein gestiegenes Datenaufkommen oder sich wandelnde politische Regelungen. Auf diese Weise können alle Beteiligten mögliche Risiken gemeinsam einschätzen und für reibungslose Prozesse sorgen.

2) Die Rolle des Managements

  • Die Führungsetage eines Unternehmens sollte sich der strategischen Bedeutung des Compliance-Themas bewusst sein und die dafür erforderlichen finanziellen und zeitlichen Mittel zur Verfügung stellen. Denn bei solchen Projekten geht es um eine der wertvollsten Ressourcen von Unternehmen: die Daten. Sie stellen eine wichtige Quelle für die Optimierung der eigenen Produktpalette dar und Firmen sind daher gut beraten, diese Informationen wertzuschätzen. Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen – und damit auch auf lange Sicht Umsatz.

3) WORM ist keine Compliance-Garantie

  • Mit dem WORM-Verfahren („Write once, read many“) lassen sich Daten unveränderbar auf Speicher ablegen. Irrtümlicherweise gehen viele Compliance-Verantwortliche davon aus, dass mithilfe dieser Lösung bereits Revisionssicherheit (fälschlich auch „Rechtssicherheit“) besteht. Für Firmen ist es daher hilfreich, sämtliche Verfahren, bei denen es um personenbezogene Daten geht, zu betrachten und zu dokumentieren. In diesem Zusammenhang ist es wichtig, den Zugriff der Mitarbeiter auf die Daten zu beschränken und in Audit-Logs genau nachzuvollziehen.

  • Die Rechte selbst sollten in einem Rollenkonzept klar definiert und dokumentiert sein. Um Compliance-Konformität zu gewährleisten, müssen personenbezogene Daten nach Ablauf des dokumentierten Zwecks automatisch gelöscht werden – sowohl in den Archiven als auch in sämtlichen anderen Datenquellen. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das diese Daten automatisch und fehlerfrei in allen Speicherorten findet.

4) Vom Ist-Zustand zum Soll-Zustand

  • Organisationen sollten Prozesse für ihr Compliance-Projekt klar definieren und auf dieser Basis vorantreiben. Dabei ist es wichtig, die internen Abläufe und Daten im Rahmen einer Ist-Aufnahme zu erfassen und daraus einen Soll-Zustand abzuleiten. Im Anschluss können alle Beteiligten – beispielsweise Rechtsabteilung, Datenschutzbeauftragte, IT und Geschäftsführung – gemeinsam einen pragmatischen Anforderungskatalog mit klaren Zielen und Zwischenschritten definieren.


Bildquelle: Pixabay

(1) Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies, fasst aus seiner Sicht zusammen: „Das Thema Datenschutz wird für Unternehmen kontinuierlich anspruchsvoller. Sie müssen mit immer größeren Datenmengen zurande kommen und gleichzeitig ein Auge auf die politischen Rahmenbedingungen werfen. Bestes Beispiel hierfür ist der Austritt von Großbritannien aus der EU. Verstehen Unternehmen das Thema Compliance ganzheitlich und sind sich der Bedeutung dieses Themas sowohl auf Management-Ebene als auch in der IT bewusst, ist ein großer Schritt in Richtung Compliance-Konformität getan. Denn dadurch gibt es eine gute Grundlage für eine enge und effektive Zusammenarbeit.“


Querverweis: