DSGVO: Vermeiden von Datenschutzverletzungen

Mit der Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft tritt, erhöht sich die Gefahr, eine Datenschutzverletzung zu begehen. Harald Müller-Delius von HMDATA im Interview.

Wo lauern typische Fallen, um eine Datenschutzverletzung zu begehen?

Viele denken beim Thema Datenschutz zuerst an Hackerangriffe und böse Geheimdienste, meinen damit aber vorrangig die Datensicherheit. Mit dem Implementieren eines IT-Systems nach „Stand der Technik“ können diese Sorgen bezüglich der Haftung der verantwortlichen Stelle völlig eliminiert werden.

Typische Fallen lauern vielmehr im Betrieb „von innen“, bei den Prozessen und Arbeitsmitteln. Aus der Praxis ist die Zahl, dass 90 Prozent aller Datenpannen durch Unachtsamkeit, Fahrlässigkeit oder Vorsatz durch Mitarbeiter passieren, nicht unrealistisch.

Ein nicht per Aktenvernichter entsorgtes und aus dem Mülleimer geflattertes Papier, ein liegen gelassener USB-Stick, ein Admin-Passwort auf einem Post-it unter der Tastatur, ein Besuch beim Sachbearbeiter ohne Bildschirmschoner, ein falscher Vorschlag eines E-Mail-Eingabefeldes von Outlook, nicht auf den eigentlichen Vertragspartner bei Informationsauskunft aufgepasst … das sind die Dinge, die alltägliche Datenpannen auslösen.

Würde ich aus Sicht „der anderen Seite“ Zugang zu personenbezogenen Daten eines Maklers erhalten wollen, würde ich das per „Social-Hacking“ machen. Grundsätzlich kann man eigentlich alle Alltagspannen durch Mitarbeiterqualifizierung, strukturierte Prozesse und ordentliche Arbeitsmittel verhindern.

Welche Fehler sollte ein Makler tunlichst vermeiden?

Aus meiner Sicht ist – mit Stand April 2018 – der größte Fehler, den 25. Mai 2018 nicht ernst zu nehmen. Es gibt genug ganz einfache Möglichkeiten, von außen festzustellen, ob ein Betrieb DSGVO-konform ist oder nicht. Die Landesaufsichtsämter für den Datenschutz (LDA) haben hierzu technische und administrative automatisierte Möglichkeiten: Kunden könnten ihre Reaktion auf Betroffenenrechte prüfen, unliebsame Mitbewerber anonyme Anzeigen bei den LDA platzieren, eine unsachgemäß gestaltete Homepage, falsch installierte oder gar keine Firewalls oder Verschlüsselung, mangelnde Verträge und Kommunikation zum Kunden, externe Datenverarbeiter, zu denen eine ADV bestehen müsste, könnten sich wundern … alles Vorgänge, die bei Anzeige eine Ahndungspflicht der Behörden auslösen.

Ich würde das insgesamt so formulieren: Alles, was zumindest in Bezug auf die DSGVO nicht zumindest die Außenwirkung heilt, wäre nicht sonderlich hilfreich. Nach dem 25. Mai 2018 wäre dann wohl die Unterlassung der Dokumentations- und Managementpflichten der größte Fehler.

Was sind die wichtigsten Maßnahmen für eine regelkonforme Datenverarbeitung?

Zuallererst: Dokumente und Verträge prüfen. Anschließend Prozesse und Verarbeitungstätigkeiten organisieren und strukturieren – am besten mithilfe des Maklerverwaltungsprogrammes – dann, IT-Systeme auf den „Stand der Technik“ bringen. Wenn man dann noch Dokumentations- und Meldepflichten installiert und Mitarbeiter qualifiziert hat, ist man schon weit vorne dabei.

Wie hoch sind Bußgelder bei Datenschutzverletzungen?

Die Behörden haben bei Verhängung von Bußgeldern die Wahl zwischen 2 Prozent des weltweiten Jahresumsatzes oder 10 Millionen Euro, bei besonderer Schwere 4 Prozent und bis zu 20 Millionen Euro. Die Bußgelder sollten in jedem Fall wirkungsvolle und abschreckende Wirkung haben. Diese Regelung zielt allerdings auf die großen weltweiten Internetkonzerne ab und als Makler würde ich anhand der

Bußgelder nicht sofort in Panik verfallen. Insbesondere dann, wenn ich im Falle einer Datenpanne umgehend einen ordnungsgemäßen Datenschutz nachweisen kann. Die Behörden werden zu Anfang sicher mit Augenmaß entscheiden.

Vielmehr würden mir als Makler jedoch nicht das Bußgeld, sondern durch Verletzung der Sorgfaltspflichten des ordentlichen Kaufmanns die mögliche private Haftung, der Reputationsverlust im Falle der Datenpanne oder ein mögliches Strafverfahren mit Verlust der Berufszulassung oder wichtiger Geschäftsverbindungen zu schaffen machen.

DSGVO: Keine Kür, sondern Pflicht

Eckpunkte der Datenschutzgrundverordnung

DSGVO: Auswirkungen auf Maklerbüros

DSGVO: Daten erfassen ohne gesondertes Einverständnis?

Die DSGVO und die Daten des Kunden

DSGVO: Daten sperren und nicht löschen

Mehr spannende Themen im experten Report 04/18

Bild: (1) © alphaspirit / fotolia.com (2) © experten-netzwerk GmbH

Themen: