Warum eine neue gesetzliche Regelung die DSGVO-Compliance intensivieren könnte

Im Dezember kam es zu einer der größten Änderungen der europäischen Datenschutzbestimmungen der letzten Zeit. Auf Anfrage deutscher und litauischer Gerichte hat der Europäische Gerichtshof (EuGH) einen neuen Beschluss erlassen um zu klären, wann und wie Regulierungsbehörden Unternehmen wegen Verstößen gegen Datenschutzgesetze bestrafen können.

Rechts- und Sicherheitsexperten argumentieren, dass das Urteil es den Regulierungsbehörden erleichtern wird, Datenschutzbestimmungen durchzusetzen, was möglicherweise zu höheren DSGVO-Bußgeldern führen wird. Infolgedessen steigt der Druck auf Compliance-Teams, sicherzustellen, dass ihre Unternehmen personenbezogene Daten auf rechtmäßige Weise speichern und verarbeiten.

Regulatorische Auswirkungen

In Deutschland verhängten die Aufsichtsbehörden gegen den Immobilienkonzern Deutsche Wohnen eine Strafe in Höhe von 14.4 Millionen Euro, weil er Kundendaten länger als nötig gespeichert hatte. Unterdessen hatte das litauische Gericht gegen das Nationale Zentrum für öffentliche Gesundheit des Landes und seinen IT-Dienstleister eine Geldstrafe von 12,000 Euro wegen einer Covid-3000-Kontaktverfolgungs-App verhängt, die gegen die DSGVO verstößt. Beide Organisationen fochten die Geldbußen an und veranlassten die örtlichen Gerichte, vom EuGH Klarheit in dieser Angelegenheit zu verlangen.

Darin wurde entschieden, dass Datenschutzbehörden DSGVO-Bußgelder nur für „falsches Verhalten“ verhängen können, wenn ein Unternehmen „vorsätzlich oder fahrlässig“ gegen die DSGVO verstoßen hat. Und bei der Verhängung einer Geldstrafe gegen eine Organisation müssen die Aufsichtsbehörden die Geldstrafen ggf. auf der Grundlage des Jahresumsatzes der Muttergruppe berechnen.

Seit der EuGH sein wegweisendes DSGVO-Urteil gefällt hat, gibt es viele Spekulationen darüber, welche Auswirkungen es auf die Datenvorschriften in ganz Europa haben wird. Der Geschäftsführer von Warrantyty, Keith Budden, erläutert die Entscheidung und erklärt, dass sie zwei Hauptdimensionen hat.

Erstens sagt er, dass Regulierungsbehörden DSGVO-Bußgelder verhängen können, auch wenn sie nicht feststellen können, wie die Handlungen einer Person zu einem Datenschutzverstoß geführt haben. Zweitens erklärt er, dass Unternehmen mit behördlichen Maßnahmen rechnen müssen, wenn eine Einzelperson oder Organisation, die sie vertritt, etwa ein Unterauftragsverarbeiter oder ein einzelner Auftragnehmer, gegen Datenschutzbestimmungen verstößt.

„Es wird für die Regulierungsbehörden einfacher, eine finanzielle Strafe gegen eine Organisation zu verhängen“, sagt er gegenüber ISMS.online. „Und der Umfang der Haftung hat zugenommen, da dadurch der Weg für die Verhängung einer Geldstrafe gegen einen Datenverantwortlichen geebnet wurde, selbst wenn sich der Verstoß gegen die DSGVO-Vorschriften auf die Tätigkeit eines seiner Datenverarbeiter oder sogar eines seiner Subunternehmer beschränkt. Prozessoren.“

Kelly Indah, Sicherheitsanalystin bei Increditools, glaubt, dass das Urteil des EuGH vom Dezember die Art und Weise, wie Regulierungsbehörden Datenschutzbestimmungen durchsetzen, „erheblich“ stärken wird.

„Dem Urteil zufolge haben die Regulierungsbehörden mehr Spielraum, Bußgelder zu erheben, die eine wirksame Abschreckung darstellen, anstatt sie auf einen bestimmten Prozentsatz des Jahresumsatzes zu begrenzen“, sagt sie gegenüber ISMS.online. „Darüber hinaus rationalisiert die Entscheidung die Regulierungsprozesse, sodass Behörden schnell reagieren können, wenn Verstöße festgestellt werden.“

Die Partnerin und Datenschutzexpertin von Irwin Mitchell, Joanne Bone, ist skeptischer hinsichtlich der Gesamtauswirkungen des Urteils.

„Während dies die Haftung in Gerichtsbarkeiten ausweiten kann, in denen Aufsichtsbehörden nachweisen mussten, dass das Management ein Verschulden bei der Verhängung einer Geldbuße gegen ein Unternehmen oder eine Organisation getroffen hat, wird dieses Urteil im Vereinigten Königreich keine Überraschung sein“, sagt sie gegenüber ISMS.online.

„Meiner Ansicht nach hat es die Landschaft in Bezug auf Bußgelder gemäß der EU-DSGVO nicht wesentlich verändert.“

Bone sagt, dass die jüngste Entscheidung des EuGH nicht zu einer strengeren Haftung führen wird, was bedeutet, dass die Behörden nur dann Geldstrafen verhängen können, wenn sie ein Fehlverhalten feststellen. Sie fügt hinzu: „Mittlerweile ist klar, dass ein vorsätzliches oder fahrlässiges Verhalten des Unternehmens oder der Organisation vorliegen muss.“

Die Bedeutung der Einhaltung

Das Urteil könnte jedoch noch mehr Druck auf Unternehmen ausüben, sicherzustellen, dass sie über angemessene Datenschutzrichtlinien und -prozesse verfügen. Insbesondere müssen Unternehmen eine Reihe von Richtlinien, Verfahren und Kontrollen implementieren, um ihren Mitarbeitern den Umgang mit Daten zu erleichtern, ohne gegen Datenschutzbestimmungen zu verstoßen, argumentiert Bone.

„Es müssen nicht nur Verfahren eingeführt werden, sondern diese müssen auch eingeführt, eingehalten und von den Organisationen überwacht werden“, fügt sie hinzu.

Indah von Increditools erklärt, dass die Einführung eines Informationssicherheitsmanagementsystems (ISMS), das internationalen Cybersicherheitsstandards wie ISO 27001 folgt, in dieser Hinsicht eine große Hilfe sein kann.

„Dies bietet eine systematische und prüferfreundliche Möglichkeit, um sicherzustellen, dass alle Aspekte der Datenschutz-Compliance kontinuierlich durch Überprüfung und Verbesserung berücksichtigt werden“, sagt sie. „Da die Regulierungsbehörden immer härter vorgehen, kann der Nachweis einer Verantwortungsverpflichtung durch Zertifizierung nur dazu beitragen, Bemühungen in gutem Glauben zu demonstrieren.“

Indah ist der Ansicht, dass es für Unternehmen nicht mehr ausreicht, den Datenschutz als eine ankreuzbare Compliance-Aufgabe zu betrachten. Sie sagt, dass Unternehmen regelmäßig interne und externe Datenschutzprüfungen durchführen, Mitarbeiter im verantwortungsvollen Umgang mit Daten schulen und auf Führungsebene Engagement zeigen müssen, um die neuesten Datenschutzbestimmungen zu verstehen.

„Anstatt höhere Bußgelder zu befürchten, täten Unternehmen gut daran, robuste Sicherheitspraktiken als Wettbewerbschance und Geschäftsförderer zu nutzen“, fügt Indah hinzu. „Schließlich birgt die Alternative das Risiko von Reputationsschäden, behördlichen Strafen und einem Verlust des Kundenvertrauens – was auf lange Sicht weitaus schwerwiegendere Auswirkungen auf das Endergebnis haben könnte.“

Budden von Warrantyty fordert Unternehmen dringend auf, aktuelle Aufzeichnungen über ihre Datenverarbeitungsaktivitäten zu führen und ihre Mitarbeiter in Datenschutzschulungen zu schulen, um ihre gesetzlichen Datenschutzanforderungen zu erfüllen. Zu den weiteren Aufgaben gehören die Umsetzung aller erforderlichen Datenrichtlinien und -verfahren, die Durchführung aktueller Datenschutz-Folgenabschätzungen und die Sicherstellung, dass alle von den Regulierungsbehörden festgelegten technischen und organisatorischen Maßnahmen übernommen wurden.

Vance Tran, Mitbegründer von Pointer Clicker, stimmt zu, dass ISO 27001 eine gute Grundlage für die Einhaltung von Datenschutzbestimmungen bietet. Er sagt jedoch, dass Unternehmen dies durch die Einführung von Datenschutztechnologien, DevSecOps-Modellen und einer datenschutzbewussten Unternehmenskultur erweitern können.

Er fügt hinzu: „Ich sehe dieses Urteil als Chance. Durch die Priorisierung ethischer, benutzerzentrierter Lösungen im Vorfeld können Entwickler nicht nur gesetzliche Vorschriften einhalten, sondern auch echtes Benutzervertrauen aufbauen. Es ist eine spannende Chance, dabei zu helfen, Systeme zu schaffen, die von Grund auf auf Datenschutz und Einwilligung basieren.“

In der heutigen stark digitalisierten Wirtschaft verarbeiten Unternehmen eine ständig wachsende Menge personenbezogener Daten. Während diese Daten nützlich sind, um Kunden besser zu verstehen und gezielter anzusprechen, setzen sie Unternehmen dem Risiko hoher Bußgelder aus, wenn sie sich nicht strikt an die Datenschutzbestimmungen halten.