Proaktive Meldungen über Verstöße können helfen, die DSGVO-Bußgelder zu verringern

Proaktive Meldungen über Verstöße können helfen, die DSGVO-Bußgelder zu verringern

Bußgelder für Datenschutzverstöße im Rahmen der DSGVO sind schmerzhaft für Unternehmen, die gegen Vorschriften verstoßen, und sie werden dazu beitragen, dass dem Thema Sicherheit der ihm zukommende Stellenwert beigemessen wird

Im Rahmen der DSGVO können Bußgelder erhoben werden, die Unternehmen wie aus einem finanzpolitischen Horrorfilm erscheinen mögen. Unternehmen, die gegen die Regelungen der DSGVO verstoßen, sehen sich Bußgeldern in Höhe von bis zu EUR 20 Mio. bzw. 4 % des Jahresumsatzes einer Unternehmensgruppen gegenüber, je nachdem, welche Summe die höhere ist. Diese Regelung überschreitet die derzeit maximale Höhe für ein Bußgeld in Höhe von GBP 500.000, das der Datenschutzbeauftragte des Vereinigten Königreichs (der Information Commissioner, ICO) festlegen kann. Daher ist die Sorge von Unternehmen, die für die personenbezogenen Daten von EU-Bürgern verantwortlich sind bzw. solche verarbeiten, durchaus nachvollziehbar.

Tatsächlich schätzt das PCI Security Standards Council, das Gremium für Sicherheitsstandards bei der Kreditkartenzahlung,  dass britischen Unternehmen Bußgelder in Höhe von bis zu GBP 122 Mrd. für Datenschutzverstöße drohen, wenn die neue Verordnung im Mai 2018 in Kraft tritt.

Diese Schätzung ist ernüchternd, allerdings handelt es sich bei dem Betrag von EUR 20 Mio. bzw. 4 % des Jahresumsatzes um die maximale Höhe für ein Bußgeld für einen Datenschutzverstoß und das obere Ende des Bußgeldkatalogs.

Alternativen zu Bußgeldern

Die Aufsichtsbehörde, sprich die ICO im Vereinigten Königreich, kann unterschiedliche andere Möglichkeiten in Betracht ziehen, wenn eine Organisation die Anforderungen der DSGVO nicht erfüllt.

Den Aufsichtsbehörden stehen Korrekturmaßnahmen zur Verfügung, wie beispielsweise das Aussprechen einer Warnung oder einer Rüge, das Erlassen einer Compliance-Verfügung und – in besonders schweren Fällen – das Verbot für Organisationen, weiter personenbezogene Daten zu verarbeiten. Und das kommt für ein Unternehmen dem „Rauswurf“ aus der Branche gleich.

Die von den Aufsichtsbehörden erteilten Bußgelder müssen in jedem Fall „wirksam, verhältnismäßig und abschreckend“ sein. Grundsätzlich sind die Bußgelder in zwei Stufen gegliedert: Die erste Stufe bezieht sich im Allgemeinen auf Verstöße gegen bestehende Pflichten durch einen Datenverantwortlichen oder Datenverarbeiter. In dieser ersten Stufe beträgt die maximale Höhe für ein Bußgeld EUR 10 Mio. bzw. 2 % des gesamten Jahresumsatzes.

In der zweiten Stufe – im Allgemeinen für Verstöße gegen die Rechte und die Freiheit eines Datensubjekts – ist eine maximale Bußgeldhöhe von EUR 20 Mio. bzw. 4 % des gesamten Jahresumsatzes einer Unternehmensgruppe vorgesehen.

Der IDC-Analyst Duncan Brown sagt hierzu, „Die Bußgelder sollen abschrecken, daher ist es beabsichtigt, dass sie weh tun. Wenn Sie jedoch gute Prozesse haben und zeigen, dass Sie wirklich daran arbeiten, alle Regelungen einzuhalten, dann sind die Aufsichtsbehörden nach meiner Überzeugung nachsichtiger.“

Wie können es Unternehmen also vermeiden, diese erheblichen Bußgelder für Datenschutzverstöße auferlegt zu bekommen? Experten vertreten die Meinung, dass der Einsatz von Verschlüsselungs- und Pseudonymisierungstechnologien das Risiko von Datensicherheitsverstößen erheblich reduziere.

Proaktive Meldung von Verstößen

In der DSGVO ist ein Zeitraum von 72 Stunden nach Entdeckung eines Datenschutzverstoßes festgelegt, während dessen ein Datenverantwortlicher diesen Verstoß gegenüber der Aufsichtsbehörde melden oder eine Begründung für Verzögerungen abgeben muss. Im Rahmen der DSGVO wird ein Datensicherheitsverstoß definiert als  „ein Sicherheitsverstoß , der versehentlich oder unrechtmäßig die Zerstörung, den Verlust, die Veränderung, die nicht autorisierte Preisgabe von oder den Zugriff auf  personenbezogene Daten nach sich zieht, die übertragen, gespeichert oder anderweitig verarbeitet werden“.

Im Rahmen einer Meldung muss der Datenverantwortliche, d. h. in der Regel das Unternehmen, das die eigenen Kundendaten verarbeitet und die Gesamtverantwortung für die Einhaltung aller DSGVO-Regelungen trägt, „zumindest“ die Art des Verstoßes gegen den Schutz personenbezogener Daten und die möglichen Folgen beschreiben und erläutern, welchen Umgang mit diesem Verstoß der Datenverantwortliche plant.

Brian Honan, CEO und Sicherheitsexperte bei BH Consulting, empfiehlt: „Unternehmen benötigen einen durchdachten Reaktionsplan für entsprechende Vorfälle. Hierbei sollten nicht nur die technischen Aspekte eines Verstoßes bedacht werden, sondern auch, welche Auswirkungen sich für die Öffentlichkeitsarbeit, die Kommunikationsstrategie und die Kontaktaufnahme mit den Aufsichtsbehörden ergeben.“

Weiter fügt er Hinzu: „Diese Pläne sollten auch regelmäßig getestet werden, um sicherzustellen, dass sie erwartungsgemäß funktionieren. Außerdem sollten Unternehmen dafür sorgen, dass geeignete Steuerelemente zu Überwachung und Erkennung implementiert sind, damit ein Verstoß schnell erkannt und bewertet werden kann.“

Wenn es darum geht, die Bußgelder und Kosten für Datenschutzverstöße so gering wie möglich zu halten, die in Anbetracht der Verpflichtung zur Information der betroffenen Einzelpersonen erheblich steigen könnten, sollten die Sicherheitsteams und der Datenschutzbeauftragte beim Schutz der Daten und für die Meldung von Vorfällen einen proaktiven Ansatz verfolgen, und sie sollten auch einen erkennbar positiven Ansatz verfolgen, was die Gewährleistung der Sicherheit betrifft.

„Je mehr Informationen Sie zu einem Verstoß bereitstellen können, desto besser ist Ihre Situation, und desto nachsichtiger werden die Regulierungsbehörden sein“, rät Duncan Brown von IDC.

Er merkt jedoch an, der Fokus solle nicht auf den Bußgeldern liegen, sondern „Unternehmen sollten sich die Frage nach den Verfahren stellen, die für die Größe und Komplexität ihres Unternehmens am besten geeignet sind. Wenn sie sich darauf konzentrieren, wird es wesentlich einfacher, Compliance zu erzielen.“

CISO Compliance-Beauftragter Datenhoheit Recht

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond