DSGVO-Update

Aufgeklärt – die 5 häufigsten DSGVO-Mythen

| Autor / Redakteur: Tuncay Eren* / Burkard Müller

DSGVO-Compliance ist nicht so furchteinflößend wie allgemein dargestellt. Wir gehen fünf Mythen rund um die DSGVO auf den Grund.
DSGVO-Compliance ist nicht so furchteinflößend wie allgemein dargestellt. Wir gehen fünf Mythen rund um die DSGVO auf den Grund. (Bild: gemeinfrei / Unsplash)

Die DSGVO jährt sich zum ersten Mal. Daher sollten wir uns die Zeit nehmen, einen nüchternen Blick darauf zu werfen und mit den fünf am weitesten verbreiteten Vorurteilen aufzuräumen. Compliance zur DSGVO ist oft weniger furchteinflößend als vermutet.

Vielen Unternehmensverantwortlichen und Mitarbeitern bereitet die DSGVO auch ein Jahr nach ihrem Inkrafttreten Kopfzerbrechen. Noch immer herrscht Unsicherheit, welche Daten wie geschützt werden müssen und welche Konsequenzen es mit sich bringt, wenn tatsächlich ein sicherheits- oder datenschutzrelevanter Vorfall stattfindet.

Spekuliert wird über drastische Bußgelder und empfindliche Strafen, selbst bei einem unbedeutenden Ereignis. Was aber verlangt die DSGVO tatsächlich von Unternehmen, die mit personenbezogenen Daten umgehen und ein Vorkommnis berichten müssen? Im Folgenden werden die fünf häufigsten Vorurteile aufgezählt und richtiggestellt.

1. Datenverlust

Jeder Verlust von Daten ist eine Verletzung des Datenschutzes
Nicht bei jedem Verlust von Daten ist Gefahr im Verzug oder entsteht ein Risiko. Deshalb ist auch nicht jeder Datenverlust mit einer Verletzung des Datenschutzes gleichzusetzen. Den Unterschied machen die Details. Folgende Fragen stehen dabei im Zentrum der Betrachtung:

  • Worauf wurde zugegriffen?
  • Was genau ist nun nicht mehr verfügbar?
  • Existiert ein Backup der verlorenen Daten?

Daraus erschließt sich, ob es letztlich nur um verlorene Daten geht oder ob der Verlust sicherheitsrelevant und risikobehaftet ist.

Ein Beispiel hierzu ist ein Mitarbeiter eines Unternehmens, der eine externe Festplatte mit personenbezogenen Daten verliert. Die Daten darauf hatten jedoch alle ein Backup im Unternehmensnetzwerk und waren verschlüsselt, der Schlüssel wurde nicht verloren.

Bei diesem Beispiel lässt sich gegen eine Verletzung des Datenschutzes argumentieren: Die Daten sind durch das Backup nicht verloren und durch die Verschlüsselung ausreichend geschützt. Für etwaigen Missbrauch sind sie nicht zu verwenden und stellen deshalb kein Risiko dar.

2. Meldepflicht

Jeder Vorfall muss an Aufsichtsbehörden und betroffene Privatpersonen gemeldet werden
Verstöße gegen den Datenschutz sind hinsichtlich ihrer Auswirkungen auf die betroffenen Personen zu unterscheiden. Deshalb werden Vorfälle auch unterschiedlich bewertet und behandelt. Manche sind nur an die zuständige Aufsichtsbehörde zu melden, nicht aber an die Betroffenen. In manchen Fällen ist beides zu tun.

Doch nur selten, nämlich nur bei weitreichenden Auswirkungen, schreibt die DSGVO vor, die Verstöße direkt an die geschädigten Personen zu kommunizieren. Die Hürden dafür sind relativ hoch. Hintergrund dessen ist die Bemühung, betroffene Personen sowie die Öffentlichkeit nicht mit unbedeutenden und irrelevanten Meldungen zu überhäufen.

Die Entscheidung darüber trifft die Aufsichtsbehörde – und zwar für jeden Einzelfall gesondert.

Entweder verlangt sie eine Benachrichtigung der betroffenen Personen oder aber sie stellt fest, dass der Vorfall zu unbedeutend, beziehungsweise die eingeleiteten Schritte und Maßnahmen zum Schutz der Rechte und der Privatsphäre der Betroffenen ausreichend sind. Dabei werden drei Risikostufen für Personen unterschieden, deren Daten kompromittiert wurden –

  • „geringes Risiko“,
  • „Risiko” und
  • „hohes Risiko”.

In die Risikobewertung fließen zweierlei Ausprägungen mit ein. Zum einen die Schwere des potenziellen Schadens und zum anderen die Wahrscheinlichkeit, dass der angenommene Folgeschaden auftritt. Bei einem hohen Risiko muss der Vorfall direkt an die Einzelperson gemeldet werden. Als Risiko nennt die DSGVO die Gefahr von Diskriminierung, Identitätsdiebstahl, Betrug, finanziellem Verlust oder Reputationsschaden.

3. Meldefrist

Alle datenschutzrelevanten Vorfälle müssen innerhalb von 72 Stunden gemeldet werden, sonst drohen drastische Bußgelder:
Gerade zur Einführung der Verordnung waren oft die drakonisch anmutenden Strafzahlungen und Bußgelder in den Schlagzeilen, die für jeden Verstoß zu zahlen sind, der nicht rechtzeitig gemeldet wird. Die Realität war zwar komplexer – gleichwohl aber weniger drastisch.

Zum einen muss nicht jede Verletzung des Datenschutzes sofort gemeldet werden. Nur personenbezogene Daten, die ein Risiko für Rechte und Freiheiten von Personen darstellen, sind betroffen.

Zum anderen ist das Melde-Zeitfenster größer als allgemein angenommen, wenngleich es trotzdem eng bemessen und kaum flexibel ist. Aber: Der in der DSGVO vorgegebene Zeitraum von 72 Stunden, in denen ein Verstoß an eine Aufsichtsbehörde gemeldet werden muss, beginnt nicht bei seinem Auftreten, sondern bei seiner tatsächlichen Entdeckung.

Eine Verzögerung über die 72 Stunden hinaus muss allerdings begründet werden. Was die Bußgelder angeht, so sind sie nicht pauschal zu verstehen, sondern werden für jeden Fall einzeln festgelegt. Natürlich können sie hoch sein, doch die tatsächliche Höhe kann bereits mit geeigneten Präventivmaßnahmen beeinflusst werden, mit denen gezeigt wird, dass der Schutz persönlicher Daten ernst genommen wurde.

4. Gleichbehandlung

Alle Vorfälle werden aus Sicht der DSGVO gleich behandelt
Verstöße gegen den Datenschutz können nicht verallgemeinert werden, auch wenn oft pauschal über sie und insbesondere ihre Konsequenzen berichtet wird. Sie unterscheiden sich jedoch in ihrer Art und ihren Auswirkungen. Es ist leicht nachzuvollziehen, dass manche Verstöße gravierender sind als andere, beispielsweise bei besonders sensiblen Daten oder einer großen Anzahl an Betroffenen. Selbst meldepflichtige Verstöße unterscheiden sich in

  • der Art der betroffenen Daten,
  • in der Tragweite,
  • den Auswirkungen und in dem Risiko,
  • dem die betroffenen Personen ausgesetzt sind.

Von diesen Feststellungen und Einordnungen abhängig sind dann auch die jeweiligen Bußgelder, die den Verursachern auferlegt werden.

5. Handeln im Nachhinein

Bei der Reaktion auf einen Vorfall geht es darum, im Nachhinein richtig zu handeln
Die Betrachtungen der DSGVO beschränken sich meist darauf, was nach einem datenschutzrelevanten Vorfall getan wird. Jedoch ist das Handeln im Vorfeld ebenso entscheidend: Daten müssen von vornherein richtig geschützt und behandelt werden. Unternehmen sollten sich mit geeigneten Prozessen und Strategien auseinandersetzen und daraus abgeleitete Maßnahmen ergreifen.

Wenn dennoch ein Vorfall stattfindet, sind zusätzliche Maßnahmen zu implementieren, um den Schutz zu verbessern und präventiv zu handeln. Erkennt die Aufsichtsbehörde geeignete Präventivmaßnahmen und den Willen, die Datensicherheit nach einem Vorfall zu verbessern, fallen Bußgelder entsprechend geringer aus.

Hinweise darauf kann auch das interne Reporting geben. Denn auch nicht zu meldende Verstöße unterliegen Dokumentationspflichten und weisen auf einen verantwortungsbewussten Umgang mit dem Thema Datenschutz hin. Letzten Endes ist das Ziel der DSGVO, genau dieses Verantwortungsbewusstsein von Organisationen zu schärfen.

* Tuncay Eren ist Director of Sales bei Crowdstrike.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45946885 / E-Commerce)