München, Starnberg, 29. Mai 2020 - Bisher über 21.000 Datenpannen in Deutschland; Firmen tun sich laut Veritas Technologies schwer, ihre Daten richtig zu verwalten...

Zum Hintergrund: Am 25. Mai jährt sich die Einführung der Datenschutz-Grundverordnung (DSGVO) zum zweiten Mal. Mindestens 234 Unternehmen haben gegen die DSGVO massiv verstoßen, dass Datenschutzbehörden in Europa ihnen Bußgelder in Höhe von mehr als 467 Millionen Euro auferlegten. In Deutschland wurden im vergangenen Jahr 187 Bußgelder verhängt, die Strafen belaufen sich auf mehr als 25 Millionen Euro. (1) Die Regelung fordert von Firmen auch, Datenpannen an die Behörden zu melden. Seit Mai 2018 gab es mehr als 21.000 dieser Vorfälle hierzulande.

Die Dunkelziffer mag um ein Vielfaches höher sein, da vermutlich nicht jeder den Meldepflichten nachkommt und Vorfälle vielleicht lieber verschweigt. Die Ereignisse legen offen, dass einige Firmen überfordert sind, ihre Daten umfassend zu managen und besonders den Zugriff auf persönliche Daten strenger zu kontrollieren. Die internen Prozesse sind dann zu lückenhaft und die Verantwortlichen übersehen wichtige Datenquellen, in denen personenbezogene Daten liegen könnten.

In den letzten zwei Jahren konnten laut Veritas die Compliance-Spezialisten des Anbieters in der Praxis miterleben, welche typischen Fehler Firmen im Bereich des Datenmanagements machen und wie erfolgreiche Firmen vorgehen. Andere Unternehmen können nach Ansicht der Experten deshalb aus den Fehlern und Stärken der Compliance-Projekte lernen und in ihre eigene Umgebung übertragen. Das Fazit: Wenn ein Unternehmen seine Daten kennt, sie schützt und den Zugriff darauf streng regelt, wird es von dieser Compliance-Aufgabe nicht überfordert.

1. Falsches Verständnis von Compliance

Die IT-Abteilung ist in der Praxis oft eine der ersten, die mit den neuen Anforderungen aus der DSGVO wie dem fristgerechten Löschen oder der Auskunftspflicht konfrontiert wird. Dadurch wurden Compliance-Projekte stark technisch interpretiert und rein technische Lösungen gefunden. Dabei ist Compliance eine klar rechtliche Aufgabe, bei der Technik, Prozesse, Risiken und Mitarbeiter eng zusammenspielen müssen und sich gegenseitig abstimmen sollten.

• Bei erfolgreichen Projekten wurden alle Beteiligten wie die Rechtsabteilung, der Datenschutzbeauftragte, die IT und die Geschäftsführung zusammengebracht. Auf diese Weise haben alle wichtigen Beteiligten das gleiche Verständnis der Compliance gewonnen und mögliche Risiken gemeinsam eingeschätzt.

2. Fehlender Management-Support

Compliance-Projekte stehen stark mit Kundendaten im Zusammenhang und wirken sich so direkt auf Abläufe aus, mit denen ein Unternehmen Geld verdient. Blieb die Verantwortung für solche Projekte auf IT-Ebene, wurden den Teams oft zu wenig Budget, Zeit und Mannstunden zugesprochen. Es ist entscheidend, der Führungsebene klar die Risiken aufzuzeigen und den hohen finanziellen und nachhaltigen Reputationsschaden zu verdeutlichen.

• Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen und den Umsatz. Das Management eines Unternehmens sollte die strategische Bedeutung eines solchen Projekts sehen und ihm entsprechend Interesse, Zeit und Ressourcen einräumen.

3. WORM ist nicht gleich Compliance

Der Begriff WORM oder “Write once, read many” beschreibt Speicher, auf denen Daten per se unveränderlich abgelegt werden. Leider irren immer noch Unternehmen, dass sie mit dieser technischen Insellösung Revisionssicherheit (fälschlich auch „Rechtssicherheit“) erreicht hätten, wie der größte DSGVO-Fall gegen die Immobilienfirma Deutsche Wohnen zeigt. (2) Die Firma war demnach laut Untersuchungen nicht in der Lage, personenbezogene Daten im Einklang mit der DSGVO nach Ablauf des Zwecks automatisch zu löschen.

• Firmen sollten bei personenbezogenen Daten daher nach Ansicht von Veritas alle Verfahren beschreiben, die mit diesen Daten hantieren und sie detailliert dokumentieren. Dazu gehört, die Zugriffe der Mitarbeiter auf die Daten zu beschränken und in Audit Logs genau nachzuvollziehen. Die Rechte selbst sollten in einem Rollenkonzept klar definiert und ebenfalls dokumentiert sein.

• Ebenso wichtig ist es, nach Ablauf des dokumentierten Zwecks personenbezogene Daten automatisch zu löschen. Und zwar nicht nur in den Archiven, sondern auch in anderen Datenquellen, in denen sie abgelegt sind. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das personenbezogene Daten automatisch und treffsicher in allen Speicherorten erkennt.

4. Das falsche Maß anlegen

Die Aufgabe, DSGVO-konform zu werden, wirkt groß und hat zu zwei typischen Reaktionen geführt. Die Zuständigen wurden vom Ausmaß der Aufgabe überwältigt und schoben das Compliance Projekt auf die lange Bank. Sie sind also das Risiko bewusst eingegangen, gegen Vorgaben zu verstoßen. Andere Firmen haben sich auf das absolute Minimum aus den Vorgaben und Pflichtenheften beschränkt und nur diese technischen Minimal-Maßnahmen umgesetzt. Beim Testen und in der Praxis stellte sich dann schnell heraus, dass ihr Ansatz zu viele Lücken ließ und sie das ganze Projekt neu konzipieren mussten.

Die besten Ergebnisse erzielten nach Ansicht von Veritas demnach Firmen, die ihr Projekt nach einem klaren Prozess und definierten Plan vorantrieben, der die internen Abläufe und Daten in einer Istaufnahme erfasste. Daraus wurde ein Sollzustand definiert und gemeinsam mit allen Beteiligten wie der Rechtsabteilung, den Datenschutzbeauftragten, der IT und der Geschäftsführung ein pragmatischer Anforderungskatalog mit klaren Zielen und Zwischenschritten definiert.

Dazu auch Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies (Kommentarauszug): „Als Bürger der Europäischen Union profitieren wir vom modernsten Datenschutz der digitalen Welt... Firmen allerdings, die Compliance nicht als reine Tick-the-box-Übung verstanden haben, konnten von positiven Nebeneffekten ihrer Datenmanagementprojekte profitieren. Sie waren in der Lage, den Inhalt und damit den Wert ihrer Daten besser zu verstehen und den Schutz ihrer sensibelsten Daten zu stärken. Sie haben ebenso unnütze Dokumente und Files als solche erkannt, von ihren Speichern gelöscht und so Kosten gesenkt.“

Das Bild zeigt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR bei Veritas Technologies (Bildquelle: Veritas Technologies).

Quellen:

(1) Handelsblatt, Rubrik Politik Deutschland, DSGVO Datenschutz-Verstöße...  

(2) Link  > GDPR Enforcement Tracker (by CMS Law, Tax)

Querverweise:

• Unser Beitrag > Zwei Jahre EU-DSGVO: Wo stehen Unternehmen heute? Eine Bestandsaufnahme

• Unser Beitrag > Checkliste: Welche Daten sollen und dürfen in die Cloud? Identifikation der Daten und Prozesse

• Unser Beitrag > Digitalisierung, IT Budgets & Technologien: Studie IT Trends 2020 von Capgemini liefert Antworten