Datenschutz-Fehler? Lassen sich bei Banken und Versicherern gut vermeiden!

Das Risiko steigt: Fehler im Umgang mit Daten haben für Unternehmen immer öfter ein teures Nachspiel. Der Berliner Lieferdienst Delivery Hero etwa musste im vergangenen Jahr 195.000 Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zahlen. Nur kurze Zeit später brummten die Behörden dem Immobilienkonzern Deutsche Wohnen SE sogar eine Rekordstrafe in Höhe von 14,5 Millionen Euro auf. Die Bußgelder sind in beiden Fällen besonders hoch. Einzelfälle sind es dennoch nicht.

Zum europäischen Datenschutztag am 28. Januar erklärt Stefan Möller (Sopra Steria), was ein gutes Datenschutz-Managementsystem leisten muss – und wie Unternehmen es richtig aufsetzen.

von Stefan Möller, Sopra Steria

Allein im vergangenen Jahr wurden rund 190 Bescheide von den Behörden verschickt. Für die Wirtschaft bleibt die Verordnung auch zwei Jahre nach dem Inkrafttreten eine Herausforderung.

Die DSGVO stiftet weiterhin Verwirrung und Unsicherheit“, kritisierte Steffen Kampeter, der Hauptgeschäftsführer der Bundesvereinigung Deutscher Arbeitgeberverbände (BDA), erst Anfang Januar im Handelsblatt.

Die Vorschriften der DSGVO betreffen praktisch jedes Unternehmen hierzulande – selbst jene, die heute noch Karteikarten und Zettelkästen einem Computer vorziehen. Mit der Benennung eines Datenschutzbeauftragten allein ist es nicht getan. Ein leistungsfähiges Datenschutzmanagement-System ist Pflicht – doch das kommt nicht als bequeme Software-Lösung daher. Vielmehr müssen um eine moderne Software-Lösung herum auch immer die richtigen Organisationsstrukturen geschaffen und die operative Verantwortung im Unternehmen wirksam zugewiesen werden.

Ein aktuelles Verzeichnis von Verarbeitungstätigkeiten ist das
zentrale Nervensystem jeder Datenschutz-Lösung

Ein Da­ten­schutz­ma­nage­ment-Sys­tem ist ver­gleich­bar mit dem mensch­li­chen Kör­per. Das Ge­hirn ent­spricht dem Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten, wie es die DS­GVO in Ar­ti­kel 30 vor­schreibt. Die Summe der Ver­fah­rens­mel­dun­gen er­gibt das Wis­sen darin. Die Wir­bel­säu­le samt Rü­cken­marksnerv wie­der­um ist ver­gleich­bar mit ver­schie­de­nen Pro­zes­sen und Informationsflüssen.”

Nur wenn das Verzeichnis an zentraler Stelle vorhanden, das Wissen gepflegt und vollständig ist, kann der Datenschutzbeauftrage überhaupt seiner Arbeit nachgehen; ganz so wie ein Gehirn nur dann die Abläufe im Körper koordinieren kann, wenn Rückenmarksnerv und Wirbelsäule intakt sind und alle wichtigen Impulse aufgenommen und zugeliefert werden. Die Praxis zeigt jedoch: Zu oft hakt es bei den Unternehmen schon an dieser Stelle. Oder anders gesagt: Es gibt Lähmungserscheinungen – und die können schnell zu gravierenden Komplikationen führen.

Kommt es nämlich zu einem Datenleck oder wird der Schutz personenbezogener Daten verletzt, muss eine Firma den Behörden dies innerhalb von 72 Stunden melden und das Ereignis durch Folgemeldungen konkretisieren. Im Ernstfall bleibt also viel zu wenig Zeit, um ein unzureichendes Verarbeitungsverzeichnis noch geradezuziehen oder womöglich erst noch auf die Suche nach gänzlich fehlenden Informationen gehen zu müssen.

Das Verzeichnis der Verarbeitungen listet im Detail auf, wo im Unternehmen welche Daten wie verarbeitet werden. Auch Informationen aus Risikofolgenabschätzungen müssen dokumentiert werden. Dies ist gemäß Artikel 35 DSGVO immer dann vorgeschrieben, wenn durch die Verarbeitung bestimmter Daten ein hohes Risiko für die Rechte und Freiheiten von Menschen besteht. Dabei stehen besonders die jeweiligen Fachbereiche aktiv in der Verantwortung, für einen wirksamen Datenschutz zu sorgen.

Sie [die Fachbereiche] – und nicht der Datenschutzbeauftragte – sind in der Pflicht, sich um die Pflege der Verfahrensmeldungen zur Verarbeitung von Daten im zentralen Verzeichnis von Verarbeitungstätigkeiten der Organisation zu kümmern, damit es stets aktuell und vollständig ist.”

Um beim Bild des menschlichen Körpers zu bleiben: Die Fachbereiche sind wie die Nervenenden in Gliedmaßen, die Impulse über Synapsen – also Schnittstellen – und den Rückenmarksnerv ans Gehirn weiterleiten. Leider birgt die Zuständigkeit der Fachbereiche ein nicht unerhebliches Risiko. Weil ihnen allzu oft ausreichende Datenschutz-Expertise und Ressourcen fehlen, werden erforderliche Impulse gar nicht erst ausgelöst. Diagnose: Es fehlt an Problem-Bewusstsein. Und wenn die gewählte Organisationsstruktur nicht passt, erlahmt der Informationsfluss oder versiegt gänzlich. Die Diagnose in diesem Falle: Querschnittslähmung. Genau hier liegt die Verantwortung des Datenschutzbeauftragten. Er wacht über den Informationsfluss an den Synapsen und muss Alarm schlagen, wenn dieser nicht intakt ist. Gegebenenfalls muss er dann auf den erforderlichen Umbau im Körper hinwirken.

Unternehmen müssen auch an ihre externen Dienstleister denken

Besonders heikel wird es, wenn Aufträge von den Fachbereichen an externe Dienstleister vergeben werden.

Der Auftragnehmer muss nach Artikel 28 der DSGVO „die hinreichende Garantie dafür bieten“, dass die Daten datenschutzkonform verarbeitet werden.”

Auch diese Verarbeitungsverfahren müssen im Verzeichnis von Verarbeitungstätigkeiten registriert und aktive Kontrollen zur laufenden Überwachung aufgebaut werden. Dafür hat erneut der Fachbereich Sorge zu tragen. Um bei unserer Metapher vom menschlichen Körper zu bleiben: Jede Auslagerung stellt eine Erweiterung des Körpers dar, die der Datenschutzbeauftragte begleiten muss, um den Informationsfluss weiter überwachen zu können. Er ist daher immer und rechtzeitig aktiv von den Fachbereichen einzubinden.

Zuviel Bedeutung wird in diesem Zusammenhang übrigens der IT zugeschrieben, die zwar ein eigener Fachbereich sein kann, oft aber nur als unternehmensinterner Dienstleister fungiert. Ist Letzteres der Fall, steht sie fachlich nicht in der Verantwortung – zumindest nicht primär. Datenschutzmanagement ist eben keine Frage der verwendeten Computersysteme allein, sondern vor allem eine der Unternehmensorganisation. Aktive Koordination ist gefragt, damit Mitarbeiter in den Fachbereichen geschult, die richtigen Prozesse aufgebaut, erforderliche Informationsflüsse eingerichtet werden. Organisationen müssen durch wirksames Datenschutzmanagement über eine intelligente Sensorik verfügen, die intern anschlägt, bevor Schwächen oder Krankheitssymptome außen sichtbar werden.

Dass die Behörden DSGVO-Verstöße härter sanktionieren, haben sie in den vergangenen Monaten mehr als deutlich gemacht. 2019 haben sie eine Reihe von Rekord-Bußgeldern verhängt, Bußen über mehrere hunderttausend oder sogar Millionen Euro sind keine Theorie mehr. Wie hoch die Bescheide im Einzelnen ausfallen, hängt unter anderem von der Größe des Unternehmens, dem mittleren Jahresumsatz, dem wirtschaftlichen Grundwert und von der Schwere des Verstoßes ab. Die Behörden achten zwar darauf, dass betroffene Unternehmen aufgrund der Bußgelder nicht direkt in die Pleite steuern. Äußerst ungemütlich und wirtschaftlich unangenehm kann es dennoch werden. Und das kann schneller passieren, als viele denken: Im eingangs erwähnten Fall des Lieferdienstes ging es unter anderem darum, dass Werbemails an viele Kunden verschickt wurden, die der Nutzung ihrer Daten für Werbezwecke widersprochen hatten.

Wahr ist in dem Zusammenhang aber auch: Eine Organisation, die ein Geschäftsmodell völlig ohne Berücksichtigung des Datenschutzes, also auf dem Rücken und zu Lasten unseres Grundrechts auf informationelle Selbstbestimmung, aufbaut und damit Artikel 8 der EU-Grundrechtecharta ignoriert, muss sich zu Recht jederzeit existentiell bedroht fühlen.

Leistungsstarke Software und intelligente Prozesse: Wie Firmen es richtigmachen

Was also bleibt zu tun? Die operative Etablierung der Datenschutzorganisation ist Chefsache. Sie gehört nicht nur in die Datenschutzrichtlinie des Unternehmens, sondern muss durch die Geschäftsleitung abgezeichnet und aktiv unterstützt werden.”

Nur so ist sichergestellt, dass die Vorgaben in allen Bereichen zuverlässig umgesetzt werden. Datenschutz-Management ist zu einem guten Teil Unternehmensmanagement.

Die permanente Pflege des Verzeichnisses der Verarbeitungstätigkeiten und Nachweise über die kontinuierliche Durchführung von Kontrollen sind unerlässlich. Oft ist es das erste, was Behörden bei Datenschutz-Prüfungen in Unternehmen sehen wollen.”

Jede Veränderung im Unternehmen – sei es nun im Verhältnis zu betroffenen Endkunden oder bei Auslagerungen zu Auftraggebern oder Auftragnehmern – kann dazu führen, dass sich auch die Legitimationsgrundlagen für die Verarbeitung der Daten ändern. Das zu überwachen und zu verwalten, ist mit Word-Dokumenten und Excel-Tabellen nicht mehr sinnvoll lösbar. Zuerst leidet die Effizienz und dann – schlimmer – die Effektivität. Hier braucht es eine moderne, leistungsstarke Datenschutzmanagementsoftware für das Verzeichnis von Verarbeitungstätigkeiten, das sowohl die Fachbereiche bei der Durchführung von Dokumentations- und Kontrollaufgaben als auch die Kommunikation zwischen Fachbereichen und Datenschutzbeauftragtem unterstützt. Um diese herum sind die richtigen Prozesse aufzubauen und die oben erwähnten Überwachungssensoren zu implementieren.

Wie beim menschlichen Körper gilt: Das Gesamtsystem funktioniert dann reibungslos, wenn alle relevanten Prozesse ineinandergreifen und der Informationsfluss wirksam ist.Stefan Möller, Sopra Steria