Gerade in Zeiten einer fortschreitenden Digitalisierung und komplexeren Vernetzung sollten vor allem Unternehmen, die personenbezogene Daten verarbeiten, das Thema Datenschutz ganz oben auf die Prioritätenliste setzen. Doch nach wie vor stellt DSGVO-konformes Arbeiten viele Unternehmen vor große Herausforderungen. Ein Verstoß oder eine Nichtbeachtung der DSGVO-Verordnung kann aber hohe Bußgelder nach sich ziehen.
Datenschutz-Expertin Annika Fuchs-Langanke, Rechtsanwältin und Inhaberin der Anwaltskanzlei Fuchs & Coll. Rechtsanwaltsgesellschaft mbH in Potsdam, erklärt im Gespräch mit Perseus, was besonders zu beachten ist
Die Einführung der DSGVO in Deutschland liegt nun gut zwei Jahre zurück. Gibt es eine generelle Einschätzung, wie Unternehmen diese angenommen und umgesetzt haben?
Eine pauschale Antwort auf diese Frage gibt es mit Sicherheit nicht. Vor allem große Unternehmen haben zum Teil erhebliche Anstrengungen unternommen, um „DSGVO-konform“ zu werden. Doch auch hier dürfte bei einigen Unternehmen noch an der einen oder anderen Stelle Nachholbedarf bestehen – ich denke hier beispielsweise an das Thema „Löschen“.
Bei mittelständischen und vor allem kleinen Unternehmen dürfte das Bild deutlich differenzierter aussehen. Auch hier gibt es zahlreiche Unternehmen, die sich Mühe gegeben haben und inzwischen auf einem guten Stand sind. Daneben gibt es aber leider auch Unternehmen, die in Sachen DSGVO noch relativ wenig gemacht haben. Hier besteht mit Sicherheit noch Umsetzungsbedarf. Pauschalisieren lässt sich das aber nicht.
Gehen dabei Datenschutz und Cybersicherheit Hand in Hand, oder stehen sie sich gegenseitig im Weg?
Datenschutz und Cybersicherheit gehen mit Sicherheit Hand in Hand. So verlangt die DSGVO, dass Unternehmen geeignete Maßnahmen treffen, um die von ihnen verarbeiteten personenbezogenen Daten zu schützen. Gerade in Zeiten, in denen personenbezogene Daten überwiegend digital verarbeitet werden, spielen Maßnahmen wie Firewalls, Verschlüsselungsmechanismen, Patchmanagement und Backups eine immer wichtigere Rolle. Man muss hier nur an das Thema „Homeoffice“ denken, dass immer relevanter wird und ohne Maßnahmen zur Cybersicherheit nicht denkbar wäre.
Bezogen auf den Datenschutz: Welche Arten von Cyberangriffen sind besonders gefährlich? Und welche Daten sind für Cyberkriminelle besonders interessant?
Natürlich sind alle Angriffe besonders gefährlich, bei denen personenbezogene Daten betroffen sind, und solche Angriffe, die zu Vernichtung, Verlust, Veränderung und vor allem unbefugter Offenlegung führen können. Cyberkriminelle dürften es dabei unter anderem auf Bankdaten abgesehen haben. Das muss aber nicht immer der Fall sein. So können es Cyberkriminelle beispielsweise auch auf Zugangsdaten bzw. Passwörter abgesehen haben und hierdurch erheblichen Schaden anrichten.
Ein Unternehmen ist Opfer eines Cyberangriffs geworden. Wann muss ein Datenschutzbeauftragter konsultiert werden, und welche Schritte werden durch diesen genau ausgeführt?
Diese Frage lässt sich nicht pauschal beantworten. Hier kommt es natürlich immer darauf an, wie sich ein Unternehmen organisiert hat, ob es überhaupt über einen internen oder externen Datenschutzbeauftragten verfügt. Auch wenn es gerade für kleinere Unternehmen mit Sicherheit Sinn macht, einen Datenschutzbeauftragten zu haben, ist dieser nicht immer gesetzlich vorgeschrieben.
Jedenfalls sollten Unternehmen – egal, ob klein oder groß – wissen, was im Falle eines Cyberangriffs bzw. einer hieraus sehr wahrscheinlich resultierenden Datenpanne zu tun ist, und einen entsprechenden Prozess hierfür vorsehen.
Aus datenschutzrechtlicher Sicht kommt es hierbei vor allem darauf an, zunächst einmal Kenntnis vom Cyberangriff zu erlangen – und anschließend keine Zeit zu verlieren. Es müssen natürlich unverzüglich Abhilfemaßnahmen ergriffen werden. Zudem muss ermittelt werden, ob die Datenpanne voraussichtlich zu einem Risiko oder sogar hohen Risiko für die Betroffenen führt. Gegebenenfalls muss die Aufsichtsbehörde informiert und die Betroffenen benachrichtigt werden. Selbstverständlich sind die Datenpanne und die getroffenen Maßnahmen auch entsprechend zu dokumentieren.
Gesetzt den Fall, die Aufsichtsbehörde muss informiert werden, gibt es gesetzliche Vorgaben, bis wann diese Meldung erfolgt sein muss?
Die gibt es. Die DSGVO verlangt, dass Datenpannen, die voraussichtlich zu einem Risiko für die Betroffenen führen, unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde zu melden sind.
Was sind mögliche Konsequenzen, wenn diese Meldepflicht ignoriert wird?
Zunächst einmal kann ein Verstoß gegen die Meldepflicht zu einer Geldbuße von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des Vorjahresumsatzes führen. Auch wenn die Aufsichtsbehörden hier einen Bußgeldrahmen haben, also nicht zwingend ein Bußgeld in dieser Größenordnung verhängen müssen, sollte man das Risiko eines empfindlichen Bußgelds auf alle Fälle ernst nehmen.
Aber auch Schadensersatzansprüche und natürlich ein erheblicher Imageverlust können nicht ausgeschlossen werden, wenn versucht wird, eine Datenpanne unter den Teppich zu kehren.
Was Sie alles zum Thema Datensicherheit wissen sollten, lesen Sie hier.
Wie Sie sich im Cybernotfall richtig verhalten, können Sie in unserem Leitfaden „Was tun im Cybernotfall“ nachlesen.
Welche Vergehen mit Bußgeldern belegt werden, und wie hoch diese ausfallen können, lesen Sie in einem Artikel der Süddeutschen Zeitung.