Seit eineinhalb Jahren ist die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) in Kraft. Nun ziehen die Aufsichtsbehörden die Zügel an:  Mit zwei Rekord-Bußgeldern über 14,5 und 9,55 Millionen Euro griffen die Datenschutzbeauftragten des Landes Berlin sowie des Bundes hart durch. Das Bundesjustizministerium hat derweil die Einhaltung der DSGVO in einer Studie überprüfen lassen – und erhebliche Defizite festgestellt. Was Unternehmen jetzt tun sollten.

14,5 Millionen Euro. Diese Zahl sorgt für Diskussionen weit über die üblichen Datenschutzkreise hinaus. „Es ist ein Bußgeldbescheid, der seinesgleichen sucht“, befindet etwa der SPIEGEL. Diese Geldbuße hat die Berliner Datenschutzbeauftragte Maja Smoltczyk vergangenen Monat gegen ein Immobilienunternehmen verhängt. Das ist in Deutschland mit Abstand das höchste DSGVO-Bußgeld bisher. Smoltczyk machte dabei auch deutlich, dass sie verpflichtet ist „sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind.“

Die Betonung der Abschreckung macht eine verschärfte Gangart der Datenschützer erkennbar. Prinzipiell gelten heute dieselben Strafen wie schon bei Einführung der DSGVO im Mai 2018: bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes (was auch mehr als 20 Millionen Euro ergeben kann). Doch zunächst ließen die Behörden eine gewisse Kulanz walten – wohl auch um Unternehmen Zeit zu geben, sich an die neue Rechtslage anzupassen. Diese Zeit ist jetzt aber offensichtlich abgelaufen. Der nächste Paukenschlag ließ nicht lange auf sich warten: Diese Woche verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, ein Bußgeld über 9,55 Millionen Euro gegen einen Telekommunikationsanbieter.  

Kontoauszüge, Arbeitsverträge, Steuerunterlagen und mehr

Im ersten Fall traf es ein großes Immobilienunternehmen, das ein Archivsystem verwendete, aus dem personenbezogene Daten von Mieterinnen und Mietern nicht mehr gelöscht werden konnten. Dabei handelte es sich um sehr sensible Daten wie Gehaltsbescheinigungen, Selbstauskünfte zur Bonität, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuerunterlagen, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge. Zunächst hatten sich die Datenschützer noch nachsichtig gezeigt:  Erstmals wurde das Archivsystem 2017 beanstandet und die „dringende Empfehlung“ ausgesprochen, das Problem zu beheben. Als das Anfang 2019 – eineinhalb Jahre später –   noch nicht geschehen war, verhängte die Datenschutzbeauftragte das Rekord-Bußgeld. Das betroffene Unternehmen hat Widerspruch eingelegt. Möglicherweise muss ein Gericht das Bußgeld noch überprüfen.

Bei dem Mobilfunkunternehmen stellte der Bundesdatenschutzbeauftragte mangelhafte technisch-organisatorische Maßnahmen zum Schutz von Daten fest. So konnten Unbefugte über den Kundenservice alleine mit der Angabe des Namens und des Geburtsdatums eines Kunden auf dessen Daten zugreifen. Kelber sieht in der Geldbuße ein „klares Zeichen“, dass seine Behörde den Datenschutz durchsetzen wird. „Die DSGVO gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden.“ Wegen der Kooperationsbereitschaft des Unternehmens bewege sich die Buße mit knapp 10 Millionen Euro noch am unteren Ende der möglichen Spanne. Das Unternehmen hat Rechtsmittel angekündigt.

Datenschutz-Hinweise sofort angehen, digitale Hilfsmittel nutzen

Die Fälle zeigen: Unternehmen sollten das Thema Datenschutz spätestens jetzt priorisieren. Sechsstellige Bußgelder oder sogar Millionenstrafen sind keine Theorie mehr, sondern können ganz schnell Realität werden. Gab es bereits eine Prüfung, aus der Hinweise der Datenschutz-Beauftragten hervorgegangen sind, sollten diese umgehend und kooperativ angegangen werden. Noch besser aber bringen Unternehmen ihre Datenverarbeitungsprozesse in Ordnung, bevor es überhaupt zu Problemen mit der Aufsicht kommt.

Process Mining hilft Unternehmen, einen schnellen und belastbaren Überblick über ihre Datenflüsse zu bekommen – die Voraussetzung für jede DSGVO-konforme Gestaltung. Mittels „digitaler Spuren“ durchforstet ein Tool die realen Abläufe der Geschäftsprozesse und macht die rekonstruierten IST-Prozesse in Echtzeit sichtbar. Das Process-Mining-Tool wird an die betroffenen Systeme angeschlossen, anhand der Fragestellungen konfiguriert, und die Datenextrahierung beginnt. Wie das genau funktioniert, ist hier auf Digitale Exzellenz nachzulesen.

Datenfriedhöfe als Risiko für Unternehmen

Die Berliner Datenschutzbeauftragte erklärte, dass ihre Behörde in der Aufsichtspraxis „leider häufiger“ auf „Datenfriedhöfe“ wie bei dem Immobilienunternehmen stoße. Die Brisanz dieser Missstände werde oft erst dann deutlich vor Augen geführt, wenn es zu missbräuchlichen Zugriffen auf die Daten kommt – etwa durch Cyberangriffe.

Und auch zwei weitere aktuelle Fälle unterstreichen den Handlungsbedarf. Hier fielen die Bußgelder nicht ganz so hoch aus, aber doch empfindlich. Auch sie stießen in für Deutschland bisher nicht erreichte, sechsstellige Dimensionen vor. Anfang Dezember verhängte die rheinland-pfälzische Datenschutzaufsicht gegen einen Klinikbetreiber ein Bußgeld von gut 100.000 Euro wegen Verstößen im Umgang mit Patientendaten. Im September erließ die Berliner Datenschutzbeauftragte einen Bußgeldbescheid über fast 200.000 Euro gegen einen Lieferdienst, der die Daten ehemaliger Kunden unzulässig lange gespeichert und sie teils trotz ausdrücklichen Widerspruchs noch für Werbezwecke genutzt hatte. Das bedeutet: Werbemails an die falschen Kunden können richtig teuer werden.

BMJV-Studie bringt großen Nachholbedarf ans Licht

Wie groß der Nachholbedarf in Unternehmen noch immer ist, zeigt zudem eine aktuelle Studie im Auftrag des Bundesministeriums für Justiz und Verbraucherschutz (BMJV). Dabei wurden 35 Online-Plattformen, Shops, Medienangebote und Webseiten von Unternehmen auf DSGVO-konformen Datenschutz untersucht. Sie verortete die gravierendsten Mängel in der Handhabung sensibler Daten. BMJV-Staatssekretär Gerd Billen sagt: „Nachlässig ist oft der Umgang mit den Daten, die eigentlich besonders zu schützen sind: sensible Informationen zur Herkunft, zur Gesundheit oder zu politischen Ansichten.“

Obwohl es auch positive Beispiele gibt stellt die Studie fest, dass insgesamt keines der 35 Angebote die DSGVO „voll gesetzeskonform“ umgesetzt habe. Auch Tracking – also das Beobachten der Netzaktivitäten von Nutzern, um daraus Informationen über deren Interessen zu sammeln und individuell zugeschnittene Anzeigen einzublenden – sorgte mehrfach für Probleme. Das Auskunftsrecht von Betroffenen, Informationen zu den über sie gespeicherten Daten zu erhalten, sei ebenfalls nicht immer ausreichend berücksichtigt worden. Billen: „Nicht ansatzweise alle Dienste haben die DSGVO umgesetzt, und dies schon gar nicht vollständig.“

Die BMJV-Studie ist hilfreich, um Probleme im Umgang mit der DSGVO zu beleuchten, weil sich die Untersuchung auf besonders reichweitenstarke Plattformen und Webseiten bezieht. Mit 35 untersuchten Angeboten ist sie aber viel zu klein, um ein verlässliches Lagebild zur Umsetzung der DSGVO insgesamt daraus abzuleiten. Wie hoch der Anteil der Unternehmen ist, die die DSGVO-Anwendung unterschätzen oder noch gar nicht angegangen haben, lässt sich daraus nicht ersehen.

Moderne Datenschutz-Managementsysteme bringen die erforderliche operative Effizienz

Wer die DSGVO bisher für nicht so relevant gehalten hat, sollte sich daranmachen, die Anpassungen nachzuholen. Sie betrifft jedes Unternehmen, das digital aktiv ist – und sei es nur mit einer Firmenwebseite oder einem Mailverteiler. Aus unserer Beratungspraxis wissen wir, dass viele Kunden Projekte zur DSGVO-Implementierung angestoßen und weitgehend auch abgeschlossen haben.

Doch auch sie sind gefordert zu überprüfen, ob ihre Maßnahmen tatsächlich die Anforderungen der Aufsichtsbehörden nach der nun angewandten Praxis erfüllen – und ob die Maßnahmen den eigenen Effizienzansprüchen genügen. Denn neben den Kosten für etwaige Bußgelder spielt dabei auch ein ganz anderer Kostenpunkt eine wichtige Rolle. Viele im Zuge der DSGVO eingeführten Datenschutzprozesse in Unternehmen erfordern nach wie vor einen beträchtlichen Personalaufwand.

Unternehmen werden sich künftig verstärkt darin voneinander abgrenzen, wie effizient sie Compliance herstellen. Wer drohende Strafzahlungen nur mit mehr Personal und Computern abwendet, wird auf der Kostenseite bald massive Nachteile haben. Es gilt, nach der reinen Pflichterfüllung nun die Kür zu starten und beispielsweise das Potenzial systematischer Verfahren, die Möglichkeiten der Automatisierung von Abläufen sowie das der Unterstützung durch weitere Technologien auszuschöpfen. Mit modernen, digital-basierten Datenschutz-Management-Systemen (DSMS) erreichen Unternehmen diesen Schritt. Durch sie lassen sich nicht nur die Vorgaben der DSGVO einhalten, sondern auch die Aufwände und Kosten dafür signifikant senken.

Foto: Getty Images / #Urban-Photographer