Die Einhaltung der EU-Datenschutz-Grundverordnung war schon immer komplex und anspruchsvoll. Doch Compliance-Verantwortliche können sich an einem zentralen Ausgangspunkt orientieren: Das DSGVO-Risiko Ihres Unternehmens steigt kontinuierlich.
Der Europäische Gerichtshof (EuGH) hat Ende 2023 noch einmal deutlich darauf hingewiesen, als er ein wegweisendes Urteil dazu fällte, wann Unternehmen für DSGVO-Verstöße haftbar gemacht werden können. Kurz gesagt gibt das Urteil den Datenschutzbehörden mehr Ermessen, Bußgelder für Verstöße gegen die DSGVO zu verhängen – was bedeutet, dass Unternehmen umso mehr Grund haben, ihre DSGVO-Compliance-Programme richtig zu gestalten.
Sehen wir uns zunächst den Fall und seinen Hintergrund an. Im Zentrum steht das deutsche Immobilienunternehmen Deutsche Wohnen. Im Jahr 2019 verhängten die deutschen Datenschutzbehörden ein Bußgeld in Höhe von 14,5 Mio. € gegen Deutsche Wohnen, weil sie die personenbezogenen Daten der Mieter länger als notwendig aufbewahrten, was gegen Artikel 6 der DSGVO verstößt.
Deutsche Wohnen beschwerte sich. Das Unternehmen argumentierte, dass Datenschutzbehörden ein Bußgeld nur dann gegen ein Unternehmen verhängen dürfen, wenn sie den DSGVO-Verstoß zunächst einer „natürlichen Person“ im Unternehmen zuordnen – typischerweise einem Mitglied der Unternehmensleitung. Erst nachdem die Aufsichtsbehörde nachgewiesen hat, dass das Management von der Straftat Kenntnis hatte, kann die Aufsichtsbehörde die Haftung der „juristischen Person“ auferlegen, die das Unternehmen selbst wäre.
Am 5. Dezember 2023 erließ der EuGH seine Entscheidung: nein. Aufsichtsbehörden können juristische Personen (also Unternehmen) für DSGVO-Verstöße haftbar machen – unabhängig davon, ob diese Verstöße direkt durch die Geschäftsführung begangen wurden oder „von jeder anderen Person, die im Rahmen der Geschäftstätigkeit dieser juristischen Personen und in ihrem Auftrag handelt“.
In der Praxis bedeutet das, dass Regulierungsbehörden mehr Freiheit haben, Durchsetzungsmaßnahmen gegen Unternehmen wegen ihrer Verstöße gegen die DSGVO einzuleiten. Statt wie bisher belegen zu müssen, dass die Geschäftsführung über die Verstöße informiert war und untätig blieb – ein Standard, der in mehreren EU-Staaten galt – können die Behörden heute unmittelbar das Unternehmen selbst in die Verantwortung nehmen.
Die Lösung – wie immer: starke Compliance
Eine wirksame Compliance – ob im Datenschutz oder in anderen Bereichen – beginnt immer gleich: Sie führen eine Gap-Analyse durch, bei der Sie die aktuellen Richtlinien, Verfahren und Kontrollen Ihres Unternehmens mit einem Rahmenwerk vergleichen, das den angestrebten Idealzustand Ihrer Compliance definiert.
Zwar ist kein Datenschutz-Framework so streng wie die DSGVO, doch es gibt einige Modelle, die Unternehmen Orientierung bieten und den richtigen Weg aufzeigen. Eines davon ist das NIST Privacy Framework, das in den Vereinigten Staaten vom U.S. National Institute for Standards and Technology entwickelt wurde. Ebenfalls relevant ist die international anerkannte ISO 27701, ein Datenschutzstandard der International Organization for Standardization. Für Großbritannien wäre BS 10012:2017 eine naheliegende Wahl. Sie können sich so weit wie möglich an den Vorgaben der DSGVO selbst orientieren – oder entsprechend am HIPAA, dem US-amerikanischen Datenschutzgesetz für den Gesundheitssektor.
Tatsächlich sind all diese Rahmenwerke im Großen und Ganzen ähnlich, obwohl keines identisch ist. Idealerweise nutzen Sie ein GRC-Softwaretool, das mit all diesen Frameworks funktioniert, deren überschneidende Anforderungen abbildet und aufzeigt, wo Ihre Geschäftsabläufe Datenschutzanforderungen erfüllen – oder eben nicht.
Dann beginnt die mitunter mühsame Arbeit, neue Kontrollen umzusetzen, um die identifizierten Lücken zu schließen. Diese Kontrollen können verschiedene Formen annehmen:
Technische Kontrollen, wie z. B. die Verschlüsselung von Daten oder die Verwendung der Multifaktor-Authentifizierung für bestimmte Transaktionen. (Deutsche Wohnen wurde auch für mangelhafte technische Kontrollen im Rahmen des Vollstreckungsverfahrens, das all dies auslöste, kritisiert.)
Prozesskontrollen, die regeln, wie Daten verarbeitet werden. Beispielsweise müssen Sie Prozesse definieren, um unnötige personenbezogene Daten rechtzeitig zu vernichten, oder neue Genehmigungsprozesse implementieren, bevor Mitarbeiter mit der Erhebung neuer personenbezogener Daten beginnen.
Organisatorische Kontrollen, wie z. B. Schulungen zur Sensibilisierung für Sicherheitsthemen, Überprüfung der Privatsphäre oder Einstellung von ausreichendem Personal für Datenschutz und Sicherheit.
Darüber hinaus benötigen Sie auch ein starkes Risikomanagement für Drittparteien - denn denken Sie daran, dass das Urteil des EuGH besagt, dass die Haftung von „jeder anderen Person“ entstehen kann, die im Namen Ihres Unternehmens handelt. Dazu gehören Cloud-basierte Technologieanbieter, Joint-Venture-Partner, Vertragsarbeit, Distributoren und mehr. Sie müssen sich vergewissern, dass diese Unternehmen über ausreichend strenge Datenschutzprogramme verfügen, bevor Sie ihnen Ihre persönlichen Daten anvertrauen.
Der richtige Zeitpunkt zum Starten ist wie immer jetzt
In gewissem Maße sind die genauen Einzelheiten dieser EuGH-Entscheidung für große Unternehmen nicht mehr besonders wichtig. Wenn Ihr Unternehmen noch nicht der DSGVO unterliegt, unterliegt es wahrscheinlich einem anderen Datenschutzgesetz, das der DSGVO so ähnlich ist (z. B. dem California Consumer Privacy Act), dass Sie die DSGVO ohnehin einhalten können.
Das ist vielleicht der wichtigste und pragmatischste Punkt von allen: Strenge Datenschutzbestimmungen sind eine Tatsache des Unternehmenslebens, und die Compliance-Teams der Unternehmen müssen die Fähigkeit entwickeln, diese einzuhalten. Arbeiten Sie eng mit der Unternehmensführung und den First-Line-Einheiten zusammen, um zu verstehen, wie sie personenbezogene Daten einsetzen wollen – und um klarzumachen, dass eine datenschutzorientierte Unternehmenskultur heute zwingend erforderlich ist.
Das EuGH-Urteil unterstreicht diesen Punkt lediglich – doch er gilt schon seit geraumer Zeit.
NAVEX bietet Lösungen, die Ihnen helfen, angemessene Kontrollen einzurichten, um die DSGVO und andere globale Compliance-Verpflichtungen einzuhalten.
Möchten Sie mehr dazu erfahren?
Risikomanagement-Software für Unternehmen
Schnelle Einführung, schnelle Bereitstellung – mit dem betriebsbereiten NAVEX IRM Out-of-the-Box wechseln Sie beim Risikomanagement in Ihrem Unternehmen auf die Überholspur.
