666 Tage DSGVO – der Sturm im Wasserglas?
Thorsten Jordan, Datenschutzberater und Geschäftsführer von Ensecur, erklärt die aktuelle Situation aus Expertensicht und zeigt auf, wie viel Panikmache dahintersteckte und welche ernsthaften Konsequenzen die neue DSGVO mittlerweile wirklich hat.
Seit dem 25. Mai 2018 gilt die DSGVO verbindlich für alle EU-Mitgliedsstaaten. Bestimmt erinnern Sie sich noch gut an die Zeit davor: Viele Unternehmen gerieten geradezu in Panik, wie sie bis zum Stichtag die strengen Datenschutz-Anforderungen umsetzen sollten. Schließlich drohen bei Verletzungen hohe Strafzahlungen von bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes. Und es gelten jetzt straffe Meldepflichten von 72 Stunden im Falle eines Datenschutzverstoßes.
Datenschutzverletzungen kommen vor
Aus meiner Erfahrung als Datenschutzberater kann ich sagen: Ja, Datenschutzverletzungen passieren. In der Praxis hat sich gezeigt, dass sie fast immer von Menschen verursacht werden – etwa, weil Dokumente von Mitarbeitern aus Versehen an die falsche E-Mail-Adresse verschickt oder ungewollt Zugriffsmöglichkeiten auf sensible Informationen ermöglicht werden. Ganz wichtig sind daher Maßnahmen zur Mitarbeitersensibilisierung. Um den Datenschutz zu verbessern, sollten Unternehmen aber auch auf eine positive Fehlerkultur setzen. Denn nur wer sich traut, Fehler auch einzugestehen, kann aus ihnen lernen.
Im europäischen Vergleich: Bisher mildes Strafmaß in Deutschland
Eine ähnliche Philosophie vertreten auch die deutschen Datenschutzbehörden: Wenn Unternehmen bei einer Datenschutzverletzung nachweisen können, dass sie vorgearbeitet haben und jetzt geeignete Maßnahmen ergreifen, um solche Fehler künftig zu vermeiden, lassen die zuständigen Aufsichtsbehörden meist (noch) Gnade vor Recht walten. Und das ist gut so. Denn harte Strafen führen unter Umständen nur zu Vertuschung und nicht dazu, den Problemen aktiv zu begegnen. Bisher sind die Bußgelder in Deutschland daher eher glimpflich ausgefallen. Während in anderen europäischen Ländern bereits Strafzahlungen in Millionenhöhe fällig waren, bewegen sie sich bei uns meist in einer Größenordnung von 20.000 bis 80.000 Euro.
Trotzdem sollten sich Unternehmen nicht in falscher Sicherheit wiegen: Erst vor Kurzem verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk die bis Dato höchste Summe: Der Lieferdienst Delivery Hero muss 195.000 Euro zahlen, weil er die Auskunfts-, Lösch- und Widerspruchsrechte von Kunden missachtet hatte – und auch keine Bereitschaft zeigte, diese Verstöße zukünftig zu vermeiden. Kunden hatten sich unter anderem beschwert, weil sie trotz Widerspruch unerwünschte Werbe-E-Mails erhalten hatten. Smoltczyk kündigte darüber hinaus an, dass sie voraussichtlich noch in diesem Jahr ein Bußgeld in zweistelliger Millionenhöhe gegen ein anderes Unternehmen verhängen wird.
Verbraucher sind für Datenschutz sensibilisiert
Das Beispiel von Delivery Hero zeigt: Durch die öffentliche Debatte um die DSGVO hat sich das Bewusstsein der Verbraucher für Datenschutz verändert. Sie kennen ihre Rechte und fordern diese verstärkt ein. Heute bitten Betroffene häufiger um Auskunft als früher, welche Daten von ihnen erhoben wurden, wo die Daten gespeichert sind und wohin sie weitergegeben werden. Unternehmen sind verpflichtet, solche Anfragen zu beantworten – selbst wenn sie keine Daten der betroffenen Person gespeichert haben. Auch Bewerber sind mittlerweile stärker für Datenschutz sensibilisiert und möchten wissen, was mit den Daten passiert, die sie bereitstellen.
MHM HR ist Vorreiter
MHM HR unterstützt seine Kunden dabei, deren Bewerbermanagement DSGVO-konform umzusetzen. So gibt es viele Funktionen in der Bewerbermanagement-Software, die es erleichtern, den Datenschutz einzuhalten. Zum Beispiel sind automatisierte Löschfristen hinterlegt, damit Daten nicht länger als rechtlich erlaubt gespeichert werden. Außerdem gibt es ein granulares Berechtigungskonzept, mit dem man sicherstellen kann, dass nur befugte Personen auf die Daten zugreifen können. Als Datenschutzberater stehen wir den Entwicklern immer gerne mit Rat und Tat zur Seite und freuen uns, dass die Zusammenarbeit für ein "privacy by design" so gut verläuft. Denn bei MHM-HR herrscht seit jeher ein großes Bewusstsein für den Datenschutz. Daher konnte das Unternehmen der DSGVO auch ganz entspannt entgegenblicken und musste nur noch kleine Anpassungen vornehmen.
Und wenn doch was passiert ist
Heute, eineinhalb Jahre später hat sich die Aufregung um die DSGVO gelegt. Umsonst war die "Panikmache" jedoch nicht. Denn sie hat dazu geführt, dass Organisationen sich gut vorbereitet haben und das Persönlichkeitsrecht eine höhere Wertschätzung erfährt. Wer bereits vorher sorgfältig auf Datenschutz geachtet hat, musste sich ohnehin nicht groß verrenken. Entspannt zurücklehnen sollte man sich allerdings nie. Denn Fehler können immer einmal passieren. Wichtig ist, sie schnell zu korrigieren. Dann ist auch die Aufsichtsbehörde meist gnädig gestimmt. Insgesamt ist das Bewusstsein für den Datenschutz gestiegen – auch bei Bewerbern. Gerade im Recruiting sollten Unternehmen daher darauf achten, einen guten Eindruck zu hinterlassen. MHM HR unterstützt Sie mit seiner Bewerbermanagement-Lösung dabei.
Über den Autoren
Thorsten Jordan, Geschäftsführer ENSECUR GmbH
Datenschutzberater/-beauftragter, Datenschutz-Auditor (TÜV), Lehrbeauftragter
thorsten.jordan@ensecur.de, www.ensecur.de
Über ENSECUR
Wir bei ENSECUR brennen für Datenschutz und Datensicherheit. Diese Begeisterung geben wir als externe Datenschutzbeauftragte an unsere Kunden (kleine und mittelständische Software-Unternehmen, soziale Einrichtungen und Industrieunternehmen) weiter. Uns eint der tiefe Wunsch Lösungen für Datenschutzfragestellungen zu finden, bei denen andere nur „geht nicht“ sagen. Wir nennen das „Datenschutz besser machen“.
