Datenschutzpannen im Unternehmen

Seit dem Inkrafttreten der DSGVO und der Erweiterung der Meldepflichten bei Datenschutzverletzungen wurden bereits europaweit hunderte von Vorfällen an die nationalen Aufsichtsbehörden gemeldet. Eines der wohl spektakulärsten Fälle ist sicherlich, das von der französischen Aufsichtsbehörde verhängte Bußgeld in Höhe von 50 Mio. Euro gegen Google. Datenschutzpannen treffen jedoch nicht nur die großen Konzerne und "global player" sondern auch immer öfter kleinere Unternehmen.

Wie hoch das Bußgeld im Einzelfall ausfällt, hängt von den Landesbeauftragten der jeweiligen Datenschutzbehörden ab. Nach der DSGVO sind Strafen von bis zu 20 Mio. Euro möglich oder bis zu 4 Prozent des weltweiten Jahresumsatzes.

Personenbezogene Daten sind die Königsklasse der schützenswerten Daten – die DSGVO soll den Schutz von personenbezogenen Daten gewährleisten. Wenn etwa Passwörter und Pins für Kreditkartenzugänge bekannt werden, ist nicht nur die Privatsphäre betroffener Kunden gefährdet, es handelt sich um einen regelrechten Datenschutz-GAU. In unserer heutigen Informationsgesellschaft kommt man an entsprechenden Daten, die Zugänge und Verfügungen schützen, nicht vorbei. Dementsprechend begehrt sind gerade solche Daten bei Kriminellen und Hackern, denn sie sind bares Geld wert, weil sie entsprechenden Manipulationen Tür und Tor öffnen.

Doch wann liegt eine Verletzung des Schutzes von personenbezogenen Daten nach Art. 4 Nr. 12 DSGVO vor und was ist darunter zu verstehen? Kurz gesagt geht es um die Verletzung der Datensicherheit. Diese liegt vor, wenn es sich um die Vernichtung, den Verlust, die Veränderung oder die unbefugte Offenlegung von bzw. den unbefugten Zugang zu personenbezogenen Daten handelt. Dabei spielt es keine Rolle, ob die Verletzung des Schutzes personenbezogener Daten unbeabsichtigt oder unrechtmäßig erfolgt ist.

Auch bei größten Anstrengungen lässt sich manche Datenschutzpanne nicht vollständig verhindern. Jedoch kann das Unternehmen größeren Schaden im Bereich der rechtlichen Sanktionen und weitere kostenträchtige Folgen vermeiden, wenn es entsprechende Routinen angepasst an die gesetzlichen Vorgaben der EU-Datenschutzgrundverordnung geschaffen hat. Folgende Fragen sollten sich Unternehmen dabei stellen:

• Datenschutzpannen haben ein breites Feld: Vom Fehlversenden einer E-Mail über den in der U-Bahn vergessenen Firmenlaptop bis hin zu Hackerangriffen. Haben Sie einen Überblick über die Bandbreite von Datenschutzverletzungen?

• Wissen alle Mitarbeiter über Datenpannen und deren Vermeidung Bescheid?

• Gibt es einen Reaktionsplan für den Ernstfall, sollte eine Datenschutzpanne eintreten?

• Wissen Sie, bei welcher Stelle über einen Datenschutz-Vorfall Meldung gemacht werden muss?

Die Überprüfung der unternehmensinternen Routinen bietet eine gute Gelegenheit, die bisherige Organisationsstruktur in diesem Bereich auf den Prüfstand zu stellen und zu verbessern. Dabei können externe Experten helfen.

In Zeiten, in den Betriebsgeheimnisse und sensible Unternehmensdaten von mannigfachen Angriffen sowohl von außen als auch von innen bedroht sind, erkennen viele Geschäftsführer bzw. Verantwortliche die Bedeutung eines entsprechenden Datenschutzkonzeptes. Cyberkriminalität, Hacker-Angriffe und böswillige Aktivitäten von Mitarbeitern führen zu Datenverlusten- bzw. pannen und kosten die Unternehmen jedes Jahr Milliarden. Insoweit sucht man sich zunehmend auf der B2B Ebene Partner aus, die sich durch eine erhöhte Sensibilität in Bezug auf das Thema Datenschutz auszeichnen und sich nachweisbar datenschutzkonform verhalten. Dabei zählt vor allem das entsprechende Auftreten im betrieblichen Alltag. Auch kleinere Nachlässigkeiten und das Fehlen ausgearbeiteter Datenschutzkonzepte im Unternehmen beschädigen mittelfristig den unternehmerischen Ruf. Selbst, wenn es also nicht zum "Supergau" im Datenschutz kommt, können sich Unternehmen prinzipiell Fahrlässigkeit im Bereich Datenschutz nicht mehr leisten. Auch in Bezug auf den Endkunden ist das Bewusstsein für datenschutzrechtliche Anforderungen gewachsen. Gerade, wenn ein Unternehmen im Onlinebereich tätig ist, wird der informierte Verbraucher seinen Vertragspartner auch nach datenschutzrechtlichen Gesichtspunkten auswählen. Folglich ist die Erstellung eines sog. "Notfallplans" bzw. von Datensicherheitsmaßnahmen unumgänglich.

Bei allen Informationen und Bemühungen sowie verstärkten Sanktionsmöglichkeiten der Aufsichtsbehörden wird das Thema Datenschutz in vielen Unternehmen immer noch rein formal und nicht bewusst umgesetzt. Hier muss ein Umdenken erfolgen. Ein erfolgreiches Datenschutzkonzept muss zum einen technisch installiert werden, zum anderen müssen auch die Mitarbeiter für die entsprechenden Anforderungen aus dem Datenschutz sensibilisiert werden. Mit den Mitarbeitern steht und fällt der Datenschutz im Unternehmen. Denn die Mitarbeiter stellen das größte Risiko für Datenschutzverletzungen dar. In diesem Zusammenhang sollten die Mitarbeiter den Sinn und Zweck datenschutzrechtlicher Regelungen verstehen können, diese also nicht nur als komplizierte und hinderliche Maßnahmen im betrieblichen Alltag begreifen. Verantwortliche müssen mit gutem Beispiel vorangehen und Datenschutz positiv an die Belegschaft vermitteln. Zudem sollten die Mitarbeiter einen Reaktionsplan erhalten, wie bei einem Datenschutzvorfall Meldung zu machen ist.

Auch wenn sich ein Unternehmen grundsätzlich datenschutzkonform verhält und entsprechende Konzepte entwickelt hat, lassen sich Datenschutzpannen vielfach nicht völlig vermeiden. Wer hier als Unternehmen einen Imageschaden im Datenschutz vermeiden will, muss vor allem entsprechende Routinen für den Umgang mit Datenlecks entwickeln. Die Neuregelungen in der EU-Datenschutzgrundverordnung geben entsprechende Wege vor. Zukünftig sind die Melde- und Informationspflichten gegenüber Behörden und Betroffenen noch einmal schärfer umrissen als unter dem alten BDSG. Für die Unternehmen heißt das, dass Protokolle und Routinen für den Fall einer Datenschutzpanne schon im Vorfeld installiert sein müssen. Dabei ist auch eine entsprechende Dokumentation unverzichtbar. Nur ein Unternehmen, dass im Fall einer Datenpanne schnell und professionell im Rahmen der gesetzlichen Vorschriften reagieren kann und seinen Informationspflichten wie auch den Schadensverhütungspflichten gegenüber den Betroffenen nachkommt, wird zukünftig im Datenschutz gegenüber Mitbewerbern bestehen. Es geht also nicht nur um die Verhütung von Datenschutzpannen, sondern auch um deren Management. Letzteres wird in der Öffentlichkeit zunehmend wahrgenommen und bewertet.

Letztendlich ist Datenschutzkonformität bereits heute ein Erfolgsfaktor in Unternehmen. Ein Unternehmen, das sich bewusst und engagiert mit Datenschutz auseinandersetzt, schützt nicht nur die personenbezogenen Daten Dritter. Vielmehr schützt es sich selbst vor vermeidbaren Angriffen auf betriebsinterne Daten. Insoweit kommen unter diesem Gesichtspunkt in den Datenschutz getätigte Investitionen in vielfacher Hinsicht positiv zum Unternehmen zurück. Datenschutz sollte nicht mehr als lästige Pflicht, sondern als etwas begriffen werden, das den Unternehmenserfolg nachhaltig unterstützt. Hier kann von Gesetzes wegen nur bedingt Überzeugungsarbeit geleistet werden. Notwendig sind eine datenschutzkonforme Unternehmenskultur und ein datenschutzkonformes Denken, im Management sowie bei den Mitarbeitern. Es gibt Faktoren auf dem Markt, welche man als Unternehmen nicht beeinflussen kann. Wir sind jedoch der Auffassung, dass mit Hilfe eines guten Datenschutzkonzepts das Risiko einer Datenschutzverletzung sehr gering ist, wenn nicht sogar vermeidbar ist.