Die EU-DSGVO trat im Mai 2018 verbindlich in Kraft, also vor gut anderthalb Jahren. 2019 war das erste Jahr, in dem Unternehmen deutlich die Konsequenzen der Nicht-Beachtung zu spüren bekamen. Das Jahr hat gezeigt: Niemand ist vor Strafe sicher – sei es das mittelständische Familienunternehmen oder der Großkonzern.
Die teilweise spektakulären Geldbußen sollten als Warnung gesehen werden, dass die lokalen Datenschutzbehörden es ernst meinen. Deshalb lohnt ein Rückblick auf die zwei bedeutendsten Fälle in diesem Jahr:
- Gleich zu Anfang des Jahres wurde Google Frankreich mit einer Sanktion belegt, die zwar im Vergleich zum Gesamtumsatz des Unternehmens sehr gering ist, aber dennoch Symbolkraft hatte. Sie machte deutlich, dass kein Unternehmen über dem Gesetz steht. Google musste aufgrund mangelnder Transparenz beim Einrichten eines Google-Accounts 50 Millionen Euro zahlen – so entschied es Frankreichs Datenschutzbehörde CNIL. Es war die erste europäische Regulierungsinstanz, die mit Bezug auf die DSGVO einen globalen Internetkonzern bestrafte.
- Schließlich kam es Anfang dieses Monats zum höchsten bisher in Deutschland verhängten DSGVO-Bußgeld: Die Berliner Datenschutzbehörde strafte den Immobilienkonzern Deutsche Wohnen SE mit einer Rekordstrafe von 14,5 Millionen ab. Der Grund war, dass das Unternehmen persönliche Informationen seiner Mieter abspeichere, ohne zu prüfen, ob dies erforderlich oder rechtmäßig sei. So sollen sensible Daten über die persönliche und finanzielle Situation über Jahre vorgehalten worden seien. Derzeit ist die Bußgeldentscheidung noch nicht rechtskräftig, die Organisation kann noch Einspruch einlegen.
Insgesamt geht also ein ereignisreiches DSGVO-Jahr zu Ende – das eventuell nur einen Vorgeschmack liefert auf das, was nächstes Jahr noch folgt. Fakt ist, dass Unternehmen sich kontinuierlich mit dem Thema Compliance auseinandersetzen müssen – die Einhaltung einer solch komplexen Verordnung ist keine einmalige Sache.
Hierzu zählen sowohl organisatorische als auch technische Maßnahmen. Der erste und wichtigste Schritt, den Betriebe durchführen müssen, ist eine umfassende Sicherheitsüberprüfung und Risikobewertung durchzuführen und ihre Daten den Datenbesitzern in ihrer gesamten Umgebung zuzuordnen. Die erfolgreiche DSGVO-Compliance setzt voraus, dass jedes Unternehmen weiß, wer seine Benutzer sind, wo sich behördlich kontrollierte und sensible Daten befinden und wie diese existieren.
Sobald Daten und Eigentümer erfasst sind, müssen Unternehmen die Kontrollen verstärken, die bestimmen, wer Zugriff auf bestimmte Informationen hat und wer nicht. Der Datenzugriff muss durch „Least Privilege“ gesteuert werden, sodass der Zugriff auf nur minimale Ressourcen erlaubt ist und der auf sensible Daten stark eingeschränkt ist. Diese Rechte müssen regelmäßig überprüft werden.
Viele Unternehmen fühlen sich von den Anforderungen der DSGVO immer noch überfordert, besonders wenn man die finanziellen Auswirkungen der Nichteinhaltung berücksichtigt. Die Nutzung von Identity Governance als Kernstück der betriebsinternen Sicherheitsstrategie zum Schutz des Zugriffs auf Kundendaten kann jedoch dazu beitragen, das Risiko eines Datenverstoßes und des daraus resultierenden Bußgeldes zu minimieren.