Seit 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung (DSGVO) wirksam. Mittlerweile scheint eine „gefühlte“ Schonfrist für die Umstellung auf die DSGVO abgelaufen zu sein. IHKs melden erste Abmahnwellen und den Landesbehörden bereiten Datenschutzverletzungen zunehmend Sorge. Wie ist der Stand der Dinge?

Herausforderung Datenschutz

Datenschutz ist ein wichtiges Thema. Doch die konsequente Einhaltung ist sehr komplex und stellt viele Unternehmen vor Herausforderungen. In den ersten Monaten war es noch relativ still in Bezug auf die DSGVO und Datenschutzverletzungen. Zwischenzeitlich kommt es jedoch verstärkt zu Beschwerdemeldungen. Gehen Beschwerden ein, werden die Behörden tätig. Gemeldet werden bisher z. B. Vorfälle mit Verschlüsselungstrojanern (Ransomware), Fehlversand von E-Mails, Versand von E-Mails mit offenem Adressverteiler und Fehlversand von Arztberichten. Auch Meldungen in Bezug auf die Speicherung von personenbezogenen Daten und Aufbewahrungsfristen häufen sich.

Meldepflicht von Datenpannen

Die Meldepflicht gehört zu den zentralen Vorgaben der DSGVO. Hinter einer solchen Meldung steckt zumeist eine Nachlässigkeit oder ein Organisationsverschulden. Die Anzahl der Meldungen von solchen Verletzungen nach Art. 33 DSGVO, umgangssprachlich „Datenpanne“ genannt, haben sich seit Mai 2018 verzehnfacht! Beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg, gingen seit Anfang des Jahres bereits knapp 1.000 solcher Benachrichtigungen ein. Im Mai 2019 gingen mit 177 Meldungen so viele wie noch nie ein. Es ist damit zu rechnen, dass die Anzahl weiter zunehmen wird.

Wann müssen Datenpannen überhaupt gemeldet werden?

Hierzu schreibt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit auf seiner Internetseite: „Nicht jede Verletzung des Schutzes personenbezogener Daten führt zu einer Meldepflicht nach Art. 33 DSGVO. Entscheidend ist, ob die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erläuterungen hierzu und allgemein zur Meldepflicht mit anschaulichen Praxisbeispielen können den Leitlinien des Europäischen Datenschutzausschusses entnommen werden.“ Die PDF-Datei kann hier heruntergeladen werden.

Untätigkeit schützt vor Strafe nicht

Ganz im Gegenteil. Datenschutz fordert aktives Vorgehen. Denn die zuständigen Behörden können nach der Verordnung Bußgelder für Datenschutzverstöße verhängen. Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Konzerns bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Mindernd auf die Bußgeldhöhe kann sich die Zusammenarbeit bei der Aufklärung mit der Behörde auswirken. Straferhöhend wirken Vorsätzlichkeit oder Versäumnisse von Maßnahmen zur Minderung des entstandenen Schadens.
Wie eine von der Welt am Sonntag im Mai 2019 veröffentlichte Umfrage aufzeigt, wurden allein in Deutschland bisher Bußgelder in Höhe von 485.490 Euro verhängt. Spitzenreiter Baden-Württemberg habe dabei das höchste Bußgeld in Höhe von 80.000 Euro verhängt, nachdem Gesundheitsdaten im Internet landeten.
Die Internetseite GDPR Enforcement Tracker enthält eine Sammlung von zur Zeit 66 Einträgen, die aktuelle Datenschutzverletzungen und verhängte Bußgelder in der EU aufzeigen.

Verschärfte Löschfristen und Aufbewahrungspflichten

Schon vor Wirksamwerden der DSGVO gab es Löschfristen und Aufbewahrungspflichten. Je nach Bundesland, Unternehmen und Träger einer Einrichtung (z.B. Universitätskliniken) wurden diese aber unterschiedlich interpretiert und gehandhabt. Mit der neuen Verordnung sind die Pflichten und Fristen verschärft worden. Die Unternehmen sind somit gezwungen, Datenschutz – spätestens jetzt – zur Chefsache zu machen und nicht auf die leichte Schulter zu nehmen. Dies gilt auch für die Bereiche Ausbildungsmanagement, Seminarorganisation und Personalentwicklung. Easysoft hat hierfür – damals wie heute – in den Softwarelösungen ein Datenschutzkonzept mitgeliefert, welches die Anforderungen stets erfüllte.

Datenschutz-Compliance-System unterstützt den Datenschutz

Um den Anforderungen der DSGVO gerecht zu werden, empfiehlt es sich, im Unternehmen ein effektives Datenschutz-Compliance-System aufzustellen, welches die Löschfristen und Aufbewahrungspflichten beschreibt. (Eine aktuelle Veröffentlichung zum Thema Löschfristen vs. Aufbewahrungspflichten gibt es übrigens hier. https://www.arbeitsrecht-weltweit.de/2019/06/04/dsgvo-und-loeschfristen-vs-aufbewahrungspflichten/). Auf dieser Basis kann im Bereich Ausbildungsmanagement, Seminarmanagement und Personalentwicklung eine Softwarelösung helfen, die den Überblick über die Daten, Lösch- und Aufbewahrungsfristen behält und adäquat verarbeitet: Der Datenschutz-Assistent von easySoft arbeitet mit komplexen Algorithmen, ist aber an der Oberfläche leicht zu bedienen und weist sogar automatisch auf zu bereinigende Daten hin. Mit wenigen Klicks können die Anforderungen an den Datenschutz eingehalten werden.

Datenpannen ade!

Der Datenschutz-Assistent stellt also auf einfache Weise sicher, dass alle Daten gesetzeskonform verwaltet und bereinigt werden. Folgende Funktionen und Eigenschaften des Assistenten beugen Datenschutzverletzungen vor:

  • Massenbereinigung von Kontakten/Datensätzen
  • Zu bereinigende Daten werden automatisch vorgeschlagen
  • Datenbereinigung mithilfe von Regeln, die selbst definiert werden können
  • Die Daten aktiver Mitarbeiter können von der Bereinigung ausgeschlossen werden
  • Der Zeitpunkt der Datenbereinigung kann selbst definiert werden

Der Assistent stellt mit diesen Merkmalen sicher, dass man auch bei großen Datenmengen den Überblick behält. Weitere Informationen zum Datenschutz-Assistenten, z.B. wie man die Datenbereinigung in 4 Schritten durchführt, erhalten Sie unter: https://www.easysoft.de/datenschutz-assistent.
Mit easySoft gehören Datenpannen im Bildungsmanagement und der Personalentwicklung also der Vergangenheit an.