Bussgelder bei Datenschutzverstößen verhindern

Risiko für Bussgelder bei Datenschutzverstößen

Zurück zur Übersicht

Datenschutz-Management

Ich möchte Sie heute auf einige übergeordnete Aspekte aufmerksam machen, die die Einbindung des Themas Datenschutz in die Organisation, oder besser gesagt: Datenschutz-Management betreffen.

Anknüpfungspunkt ist der Artikel 83 DSGVO, der festlegt, nach welchen Kriterien Bußgelder verhängt werden sollen. Da die Höhe der Bußgelder bis zu 4 % des Jahresumsatzes eines Unternehmens bzw. 20 Millionen Euro betragen kann, ist die Analyse dieser Vorschrift sehr wichtig.

Die Kriterien für die Bemessung des Bußgeldes sind folgende:

  1. Art, Schwere und Dauer des Verstoßes
  2. Vorsatz oder Fahrlässigkeit des Verstoßes
  3. die getroffenen Massnahmen zur Minderung des  entstandenen Schadens
  4. Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Massnahmen
  5. etwaige einschlägige frühere Verstöße
  6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  7. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
  8. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Selbstanzeige 
  9. Einhaltung früher angeordneter Massnahmen
  10. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42
  11. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangten finanzielle Vorteile oder vermiedene Verluste

Betrachtet man den Katalog als eine Art „Risikokatalog“, so ergeben sich folgende Massnahmen, die auf jeden Fall im Unternehmen sichergestellt sein sollten:

A. Umsetzung der datenschutzrechtlichen Anforderungen

Setzen Sie bekannte offene Massnahmen im Unternehmen schnellstmöglich um.

Minimiert die Risiken 1 und 2.

B. Notfallmanagement / Festlegung einer Kommunikationsstrategie

Wenn doch etwas passiert, sollten Sie vorbereitet sein. Setzen Sie vorab Massnahmen um, die bei einer Datenpanne direkt greifen. Nutzen Sie z.B. Fernlöschungsmöglichkeiten, planen Sie, wie Benutzeraccounts zurückgesetzt werden können etc.

Vergessen Sie nicht die Kommunikationsstrategie! Wer muss im Unternehmen eingebunden werden, gibt es eine Pressestelle? Wie soll mit der Öffentlichkeit kommuniziert werden? Welche Rolle spielen die sozialen Medien?

Minimiert die Risiken 3, 4, 6 und 8.

C. Informations-Sicherheitskonzept

Prüfen Sie, ob Ihre Sicherheitsmassnahmen auf dem aktuellen Stand der Technik sind. Alle Bereiche im Unternehmen müssen in Bezug auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit überprüft und angepasst werden. Wenn Sie schon ein IT-Sicherheitskonzept haben, muss es eventuell überarbeitet werden, denn die Bewertung der Risiken darf nicht nur aus Sicht des Unternehmens (möglicher Schaden für das Unternehmen), sondern aus Sicht der Betroffenen (möglicher Schaden für den Betroffenen durch Verlust seiner Daten) erfolgen.

Minimiert die Risiken 3. und 4.

D. Datensparsamkeit / Nutzung von Verschlüsselung

Am Besten ist es, Sie speichern keine sensiblen personenbezogenen Daten, aber das ist natürlich nicht immer realisierbar. Sie sollten daher ernsthaft über eine Verschlüsselung nachdenken, die bei richtiger Implementierung bewirken kann, dass Sie selbst bei einem Datenverlust von einem Bußgeld verschont bleiben.

Minimiert die Risiken 2., 3., 6. und 7.

E: Schulung der Mitarbeiter / Awareness

Die Schulung der Mitarbeiter ist der vielleicht günstigste, aber gleichzeitig auch ein sehr wirksamer Weg, die Schäden durch Datenschutz-Verletzungen zu minimieren. Die Anforderungen der DSGVO sind eindeutig: die Mitarbeiter müssen durch Schulungen in die Lage versetzt werden, Daten datenschutzkonform zu verarbeiten und einen Verstoß bzw. eine Datenpanne zu erkennen und richtig einzuschätzen.

Minimiert die Risiken 1., 2., 3., 4., 5., 6., 7., 8., 9., 10. und 11!

Es handelt sich hier nicht um eine abschließende Auflistung aller zu treffenden Massnahmen zur Umsetzung der DSGVO, sondern um sehr wichtige übergeordnete Punkte, die schnellstmöglich umgesetzt werden sollten.

×
Startseite Leistungen Blog Kunden & Referenzen Team