Ein aktuelles Verfahren auf Basis der Datenschutzgrundverordnung erschüttert und beschäftigt derzeit sehr viele Unternehmen, nachdem das gesamte Thema die letzten Monate eher abgeflacht war. Das Bußgeld in Höhe von 9.550.000 € gegen einen Telekommunikationsdienstleister ist in einer Höhe, die viele zum Nachdenken anregt. Der Grund dafür ist eventuell noch deutlich interessanter.

Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen. Die meisten hat das in den letzten Monaten vor allem deshalb getroffen, da Dienstleister massenhaft ihre Prozesse zur Authentifizierung umgestellt haben. Gerade darauf ist auch das Bußgeld des betroffenen Dienstleisters begründet.

Strategie der Aufsichtsbehörden

Dazu sagte der Bundesbeauftragte Ulrich Kelber: „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“

Hier sollen weitere Verfahren folgen, was uns deutlich zeigt: Ja, nach der ersten medialen Aufregung im letzten Jahr ist es ruhiger geworden. Aber nur weil die Aufsichtsbehörden mit einer Flut von Anfragen konfrontiert wurden und aufgrund der dünnen Personaldecke nicht in der Lage waren, konsequent zu prüfen. Bereits seit Anfang 2019 hat sich die Strategie nachweislich geändert, da die Aufsichtsbehörden personell aufgestockt haben und nun anfangen die Datenschutzgrundverordnung durchzusetzen. So haben sich die Bußgeldverfahren von 40 auf fast 190 deutlich erhöht. Tendenz weiter steigend.

Schutz von Informationen

Dabei wird vor allen Dingen deutlich, dass sich insbesondere im Bereich technisch-organisatorische Maßnahmen immer noch eklatante Verstöße finden. Die Aufsichtsbehörden bereit sind, den Weg des Bußgeldes mit allen darauffolgenden juristischen Konsequenzen zu gehen.

Datenschutz ist Grundrechtsschutz! Was heißt das für Sie als Unternehmen?

Schützen Sie die Informationen Ihrer Beschäftigten und Kunden ausreichend nach dem aktuellen Stand der Technik, um deren Grundrecht auf Datenschutz als Verantwortlicher zu gewährleisten. Sie tragen die Verantwortung für den Schutz der Informationen, die diese Menschen betreffen und schützen sie somit vor Schaden durch Dritte.

Noch konkreter bedeutet das für Sie, dass Sie dringend ihre technischen und organisatorischen Maßnahmen überprüfen sollten. Überprüfen Sie diese auch in regelmäßigen Abständen auf Ihre Wirksamkeit. Eine Datensicherung, die erst im Ernstfall beweisen muss, ob sie tatsächlich funktioniert, gleicht dem Einsatz all Ihrer Jetons am Blackjack Tischt. Entweder Sie gewinnen oder verlieren vielleicht alles. Ebenso entspricht eine Firewall und ein Antivirenschutz allein nicht der Anforderung, die in Artikel 32 formuliert wird.

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Ein Fazit

Wir möchten weder die eine Seite noch die andere bewerten, sondern vielmehr anregen, aus den Fehlern zu lernen, um kontinuierliche Weiterentwicklung zu ermöglichen. Denn auch das gehört zum Datenschutz: Ein Managementprozess, der sicherstellt, dass der Gesamtfortschritt einer regelmäßigen Prüfung, Bewertung und Verbesserung unterliegt. Das kann erfahrungsgemäß von Unternehmen als mühselige Arbeitsbeschaffung empfunden werden. Aber nur so entwickeln Sie sich stetig weiter und sorgen als Verantwortlicher dafür, dem Grundrecht der europäischen Bürger auf den Schutz Ihrer persönlichen Informationen gerecht zu werden. Dabei profitieren Sie mit Ihrem Unternehmen gleichzeitig, denn Ihre Prozesse werden effizienter und sicherer. Und bitte vergessen Sie eines nicht; Auch Sie möchten, dass Ihre persönlichen Informationen geschützt werden und niemand Ihnen Schaden zufügt.

Der betroffene Dienstleister hat im Übrigen vor kurzem einen neuen Sicherheitsstandard in Form einer Service Pin eingeführt und wird gegen das Bußgeld klagen. Aus Unternehmenssicht habe es sich um einen Einzelfall gehandelt und es seien bereits damals, alle marktgängigen Sicherheitsstandards eingehalten worden.