Dem Datenschutz wachsen Zähne: GDPR-Bußgelder springen 2020 um 40 % in die Höhe

In Europa stellt die seit 2018 geltende Datenschutz-Grundverordnung (GDPR) viele Unternehmen weiterhin vor Herausforderungen. Die Erwartungen der Datenschutzaufsichtsbehörden in der gesamten Europäischen Union (EU) steigen, während die Unternehmen die Anforderungen weiterhin meistern.

Die jüngste Umfrage von DLA Piper über GDPR-Bußgelder und Datenschutzverstöße deutet darauf hin, dass die GDPR auch nach fast drei Jahren noch immer eine Herausforderung für viele von ihnen darstellt, da die im Rahmen der GDPR erhobenen Strafen bis 2020 um über 40 % auf 193 Mio. USD steigen werden.

Aus Gesprächen mit unseren Kunden wissen wir, dass die Anforderungen der DSGVO von den Unternehmen im Großen und Ganzen gut verstanden werden und die Grundlagen für das Management der Grundlagen der DSGVO vorhanden sind. Wie diese Bußgelder zeigen, besteht die entscheidende Herausforderung für viele Unternehmen darin, diese Grundlagen in die betrieblichen Abläufe des Unternehmens einzubetten.

Welche Erkenntnisse können wir gewinnen?

Zu den kritischen Punkten, die bei der Untersuchung aufgedeckt wurden, gehören Probleme im Zusammenhang mit zu komplizierten Datenschutzhinweisen, die sich auf die Transparenzbestimmungen auswirken. Viele Organisationen versäumen es nach wie vor , die Zustimmung zur Verarbeitung personenbezogener Daten einzuholen. Andere versäumen es, personenbezogene Daten ordnungsgemäß zu schützen, einschließlich der Überwachung des Zugriffs auf und der Nutzung von Datenbanken, in denen personenbezogene Daten gespeichert sind. Ein weiteres Problem war das Versäumnis, die Menge der gespeicherten Daten so gering wie möglich zu halten, um die Auswirkungen für den Einzelnen im Falle einer Sicherheitsverletzung zu verringern.

Die Aufsichtsbehörden verhängten die Geldbußen in erster Linie gegen große Unternehmen, die täglich die größten Mengen an Daten im Zusammenhang mit der DSGVO sammeln. Sie haben auch am meisten in Menschen, Systeme und Werkzeuge investiert, um die Einhaltung der Vorschriften zu gewährleisten. Dies verdeutlicht, wie schwierig es ist, sich ständig mit allen Details der DSGVO auseinanderzusetzen, wenn sich ein Unternehmen verändert und immer mehr Daten sammelt. Es zeigt auch die operativen Herausforderungen für diejenigen, die weniger mit Zeit, Ressourcen und Budget gesegnet sind.

Die in der Untersuchung aufgeworfenen Fragen sind vielfältig. Dennoch gibt es gemeinsame Themen, in erster Linie die Sicherstellung, dass das Betriebspersonal, das im Rahmen seiner regulären Aufgaben mit GDPR-sensiblen Daten arbeitet, in einer konformen Weise arbeitet. Auch wenn die DSGVO im Großen und Ganzen bekannt ist, kann das mangelnde Verständnis der Geschäftsleitung und des Personals für die Einzelheiten der Vorschriften, die auf ihre betrieblichen Systeme und Prozesse angewendet werden - insbesondere bei älteren Anwendungen oder solchen, die außerhalb der Kontrolle der IT-Abteilung liegen - dazu führen, dass auch das am besten vorbereitete Unternehmen die Vorschriften nicht einhält und möglicherweise Geldstrafen zahlen muss.

Wie lassen sich die Probleme der Einhaltung des Datenschutzes lösen?

Es gibt mehrere Möglichkeiten, diese Probleme zu lösen:

Ein einheitlicher Rahmen für die Richtlinienverwaltung kann dazu beitragen, die Grundsätze und Anforderungen der DSGVO von Grund auf in Kernprozessen und Anwendungen zu verankern. Ein zentralisiertes Richtlinien-Repository ermöglicht es, dass Richtlinien und Verfahren, die auf GDPR-Daten beruhen, von der Geschäftsleitung und den GDPR-Teams überprüft werden, um die Einhaltung der Vorschriften sicherzustellen. Wenn sich die Richtlinie ändert, kann sie von beiden überprüft und genehmigt werden, um sicherzustellen, dass sie konform bleibt, oder sie hilft bei der Identifizierung von Konformitätsproblemen, die auftauchen.

Dieser zentralisierte Ansatz hilft zu verhindern, dass mehrere - und inkonsistente - Versionen einer Richtlinie gleichzeitig verwendet werden - eine Situation , die garantiert einen Verstoß gegen die DSGVO darstellt. Es unterstützt auch die Prüfung von Nutzern hinsichtlich der Anwendung der DSGVO, um die allgemeine Compliance-Schulung und -Bewertung zu überwachen. Es dient auch als eine Bescheinigungsmaschine für Manager, um die Einhaltung zu demonstrieren, und liefert Metriken, die in den GRC-Rahmen des Unternehmens einfließen.

Ein weiterer Bereich, auf den man sich konzentrieren sollte, sind die Bereiche, in denen personenbezogene Daten außerhalb der IT-Umgebung des Unternehmens gespeichert werden. End User Computing (EUC)-Anwendungen - typischerweise Tabellenkalkulationen - werden oft als schnelle Lösung für dringende Geschäftsprobleme verwendet und können daher personenbezogene Daten im Sinne der DSGVO enthalten. Sie werden von den GDPR-Teams oft nicht erkannt, nicht kontrolliert und nicht überwacht. Wenn sie diese Informationen enthalten, müssen sie im Rahmen der DSGVO identifiziert und proaktiv überwacht werden, wobei die Mitarbeiter in der Lage sein müssen, Änderungen an Daten zu erkennen, die sich auf die DSGVO auswirken.

Diese Probleme beziehen sich zwar ausschließlich auf die DSGVO, aber es ist ebenso offensichtlich, dass diese Probleme mit ähnlichen Vorschriften weltweit auftreten werden, einschließlich CCPA und NYPA. Jede Organisation, die mit den Märkten der USA und der Europäischen Union zu tun hat, muss sich dieser Probleme bewusst sein und wissen, wie sie am besten damit umgehen kann, unabhängig von ihrer Größe und ihrem Standort.

Unternehmen sollten einen Partner/Anbieter finden, der die umfassenden Werkzeugen finden, die die Unterstützung des Datenschutzes einfach machen und schnell zu implementieren sind. Diese Lösungen sollten GDPR, CCPA, The Privacy Act, den Data Protection Act und viele andere Vorschriften abdecken.