„Unwissenheit schützt vor Strafe nicht“ – drei Jahre DSGVO und wieso Schulungen wichtiger sind als je zuvor
Ende Mai 2021 feierte das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) seinen dritten Geburtstag. Drei Jahre, in denen sich in Fragen der Datensicherheit in Unternehmen viel getan haben sollte. Bei genauerer Betrachtung zeigt sich jedoch unverändert deutlicher Nachholbedarf. Dabei handelt es sich sowohl um bewusste und fahrlässige Verstöße als auch um die Folgen von Nachlässigkeit und mangelnder Sachkenntnis. Seit den ersten Tagen der Verordnung arbeitet lawpilots daran, durch digitale Fortbildung MitarbeiterInnen in Unternehmen das erforderliche Wissen zu vermitteln und für das Thema Datenschutz zu sensibilisieren.
Im Alltag, online wie offline, ist es in vielen Fällen unverzichtbar, personenbezogene Daten weiterzugeben, um Leistungen in Anspruch zu nehmen oder Geschäfte abzuwickeln. Für Unternehmen sind diese Daten eine neue Währung. Um mit Marketingmaßnahmen Neukunden zu gewinnen, sind möglichst detaillierte Informationen zu potenziellen Interessenten beispielsweise entscheidend für die Effizienz und den messbaren Erfolg. Mit der DSGVO hat der Gesetzgeber dem Schutz dieser Daten einen besonders hohen Stellenwert eingeräumt. Die schon zuvor gültigen, nationalen Datenschutzgesetze wurden in ihr noch einmal verschärft und auf europäischer Ebene vereinheitlicht. Ziel der DSGVO ist es, Grundrechte und Grundfreiheiten, in Bezug auf das informationelle Selbstbestimmungsrecht, zu schützen und Datenmissbrauch zu verhindern.
Tiefe Kluft zwischen Theorie und Praxis
Die DSGVO traf Unternehmen nicht unvermittelt. Erlassen und veröffentlicht wurde sie bereits 2016, zwei Jahre vor dem eigentlichen Inkrafttreten. Trotzdem hatten sich zu diesem Zeitpunkt erst wenige Unternehmen mit den neuen Datenschutzbestimmungen befasst. Heute, gut drei Jahre nach Beginn der Anwendung, sollte sich diese Situation deutlich verändert haben. Unternehmen hatten vermeintlich ausreichend Zeit, sich mit den Bestimmungen auseinanderzusetzen und sie in den Alltag zu integrieren. Eine Umfrage des Bundesverband Informationswirtschaft Telekommunikation und neue Medien e. V. (Bitkom)1 belegt jedoch das Gegenteil. Ihr zufolge hatten im September 2020 erst rund 20 Prozent der befragten Unternehmen nach eigener Auskunft die Bestimmungen der DSGVO vollständig umgesetzt. Immerhin 37 Prozent bewerten die DSGVO in ihrem Unternehmen als „größtenteils umgesetzt“.
Ausnahmen bestätigen die Regel – prominente Verstöße gegen die DSGVO
Wie wichtig der Schutz personenbezogener Daten in Gestalt der DSGVO heutzutage tatsächlich ist, zeigen vor allen Dingen die prominenten Negativbeispiele seit Inkrafttreten der europäischen Verordnung. Verstöße sind heute leider noch an der Tagesordnung. Nicht alle präsentieren sich glücklicherweise in einem Ausmaß wie die folgenden „abschreckenden“ Beispiele. Gleichzeitig belegen die beschriebenen Fälle, dass die DSGVO grundsätzlich Wirkung entfaltet. Verstöße, wo immer sie aufgedeckt werden, führen zu einer behördlichen Verfolgung und in den meisten Fällen zu empfindlichen Strafen.
Datenschutzpanne bei British Airways
Die bisher höchste Strafe im Zusammenhang mit einem Verstoß gegen die DSGVO forderte die britische Datenschutzbehörde (ICO), nur wenige Wochen nach Inkrafttreten der Verordnung, im Juni 2018 als Strafe für die Fluggesellschaft British Airways. Durch eine Sicherheitslücke war es Cyberkriminellen gelungen, sich Zugriff auf die persönlichen Daten von mehr als 400.000 KundenInnen und MitarbeiterInnen der Fluggesellschaft zu verschaffen. Da der Zugriff aufgrund mangelnder Sorgfalt und ungenügender Tests der Infrastruktur möglich geworden war, forderte das ICO ein Bußgeld von umgerechnet rund 200 Mio. Euro (1,5 % des Vorjahresumsatzes). Laut Verordnung möglich gewesen wäre sogar eine mehr als doppelt so hohe Summe (maximal 4 % des Umsatzvolumens). Nur vor dem Hintergrund des Umsatzeinbruchs im Rahmen der Corona-Pandemie wurde das Bußgeld auf 22 Mio. Euro gesenkt.
Ausgespähte Mitarbeiter bei H&M
Die tatsächlich höchste Strafe seit Einführung der DSGVO geht zu Lasten des schwedischen Bekleidungshändlers Hennes & Mauritz. Eine Geldbuße in Höhe von 35,3 Mio. Euro akzeptierte die in Hamburg ansässige H&M Online Shop A.B. & Co. KG im September 2020. Auch hier war ein Datenleck der Auslöser für Ermittlungen. Bestraft wurde jedoch nicht die Tatsache, dass vertrauliche Informationen für einige Stunden offen einsehbar waren. Vielmehr handelte es sich hierbei um Notizen, die auf einen weit gravierenderen Verstoß hinwiesen. In einem Servicecenter des Unternehmens in Nürnberg wurden über mindestens sechs Jahre hinweg Daten zu einem Teil der MitarbeiterInnen gesammelt. Diese enthielten private Informationen zu krankheitsbedingten Ausfällen aber auch zu familiären Problemen oder dem religiösen Bekenntnis der betroffenen MitarbeiterInnen. Die heimlich erstellten „Dossiers“ wurde offensichtlich als Grundlage für personelle Entscheidungen genutzt.
Fazit
Kurz bevor die DSGVO mit Inkrafttreten ihren Geburtstag feierte, begann auch bei lawpilots die Arbeit. Mit Schulungen zu den Themenbereichen Datenschutz, Compliance, IT-Sicherheit und Arbeitsschutz qualifiziert der Experte für Online-Schulungen seither MitarbeiterInnen und Führungskräfte. Damit trägt lawpilots dazu bei, der DSGVO Geltung zu verschaffen und Unternehmen vor den vielen möglichen kleinen und großen Fallstricken zu schützen, die sie im Zweifelsfall buchstäblich teuer zu stehen kommen können.
Mit innovativen E-Learnings gelingt lawpilots das, was vielen Unternehmen bis heute Kopfschmerzen verursacht: ein komplexes Thema wie den Datenschutz nach DSGVO einfach verständlich allen MitarbeiterInnen nahe zu bringen und sie für das Thema im Allgemeinen zu sensibilisieren. Mit Programmen für unterschiedliche Branchen und verschiedene Unternehmensbereiche bietet lawpilots dabei auf die tatsächlichen Voraussetzungen und besonders relevante sensible Bereiche zugeschnittene Schulungen.
Damit schafft lawpilots Selbstsicherheit in Bezug auf die eigenen Fähigkeiten im Umgang mit personenbezogenen Daten. Darüber hinaus tragen Schulungsmaßnahmen maßgeblich zur Mitarbeiterbindung bei, indem sie den ausgewählten TeilnehmerInnen ein Gefühl der Bedeutung für das Unternehmen vermitteln.
Unter dem Motto „Recht. Einfach. Verstehen“ setzt lawpilots Maßstäbe in Fragen der Kundenzufriedenheit und demonstriert, dass die immer öfter geforderte Fähigkeit zum lebenslangen Lernen für ArbeitnehmerInnen keine Drohung darstellen sollte und ArbeitgeberInnen ihre Angestellten mit dem Wort „Fortbildung“ nicht erschrecken müssen.
Mehr als 500.000 Beschäftigte aus über 1.000 Unternehmen durfte lawpilots seit seinem Bestehen bereits schulen und mit integrierten Videos, Simulationen und Quizfragen von den fachlich anspruchsvollen E-Learnings überzeugen. Mehr als 92 % der Resonanz ist positiv, was nicht zuletzt daran liegt, dass Teilnehmende zeitlich und räumlich unabhängig sind und mit unterschiedlichen Endgeräten an den mehrsprachig angebotenen Online-Schulungen teilnehmen können. Damit fördert lawpilots zusätzlich Fähigkeiten in der Selbstorganisation sowie im Zeitmanagement und unterstützt auch global agierende Unternehmen bei der Einhaltung von Gesetzen, Vorschriften und Regeln.
Quellen: