- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Drei häufige Fehleinschätzungen bei der DSGVO


Tatsächlich ist das Auskunftsrecht der betroffenen Personen die Achillesverse von Unternehmen
Obwohl es für Verbraucher einfacher geworden ist, ihre Daten abzufragen, haben die meisten Organisationen immer noch Schwierigkeiten, die Informationen innerhalb der vorgeschriebenen Zeit bereitzustellen

- Anzeigen -





Von Jean-Michel Franco, Senior Director Product Marketing Data Governance, Talend

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist seit Mai 2018 in Kraft und noch immer gibt es Unternehmen, die die Vorgaben nicht vollständig umgesetzt haben. Zu den häufigsten Fehleinschätzungen zählen die im Folgenden aufgeführten Punkte.

1. Das Auskunftsrecht ist die Achillesverse vieler Unternehmen
Da DGSVO-Verstöße mit hohen Geldbußen belegt werden, könnte man annehmen, dass verantwortliche Manager sich alle Mühe geben, die Einhaltung der Vorschriften zu gewährleisten. Jedoch ist dies nicht immer der Fall. Zwar haben die Unternehmen ihre Rechenschaftspflicht durch die Ernennung eines Datenschutzbeauftragten verbessert und einen Rechtsrahmen für den Datenschutz erstellt oder überarbeitet. Auch wurden Schutzmaßnahmen gegen Datenschutzverletzungen verbessert und Identitäten sowie Zugänge zu IT-Systemen werden konsequenter kontrolliert. Und dennoch zeigen Untersuchungen von Talend, dass im Rahmen der DSGVO noch immer Fehler gemacht werden: rund 70 Prozent der in Deutschland in einer Stichprobe befragten Unternehmen reagieren nicht auf Anfragen von Verbrauchern zu ihren personenbezogenen Daten innerhalb der vorgeschriebenen Frist von einem Monat.

Tatsächlich ist das Auskunftsrecht der betroffenen Personen die Achillesverse von Unternehmen. Und obwohl es für Verbraucher einfacher geworden ist, ihre Daten abzufragen, haben die meisten Organisationen immer noch Schwierigkeiten, die Informationen innerhalb der vorgeschriebenen Zeit bereitzustellen. Eines ist sicher: wenn Aufsichtsbehörden den Schwerpunkt auf die Ahndung von Verstößen in diesem Bereich legen, dann dürften in Zukunft deutlich mehr Unternehmen für das Nichteinhalten des Auskunftsrechts der betroffenen Person zur Verantwortung gezogen werden.

2. Datensicherheit ist nicht Cybersecurity
Viele Menschen denken bei dem Begriff Datensicherheit oder Datenschutz an eine Cybersicherheitsbedrohung. Dies ist ein weitverbreitetes Missverständnis. Vor diesem Hintergrund implementieren Unternehmen auch eher neue Systeme für die IT-Sicherheit, anstatt neue Prozesse zu definieren, um datenschutzrechtliche Vorgaben effizient umsetzen zu können. Cybersicherheit ist ohnehin nur ein Aspekt der Einhaltung der DSGVO. Die bisher größte Geldstrafe wurde aufgrund eines Verstoßes gegen die Einwilligung für die Verarbeitung von Daten verhängt, während sich die größten Sammelklagen auf Anträge zum Datenzugriff konzentrieren. Organisationen sollten die DSGVO dafür nutzen, die Verbindungen von Geschäftsprozessen, Datentransparenz und Kundendatenschutz zu überdenken.

3. Die DSGVO ist mehr als eine gesetzliche Anforderung
Die meisten Manager betrachten die DSGVO vor dem Hintergrund, dass sie gesetzliche Vorgaben einhalten müssen. Dies ist ein sehr defensiver Ansatz, bei dem ausschließlich die rechtlichen und sicherheitsrelevanten Auswirkungen der Verordnung auf das eigene Unternehmen betrachtet werden. Darin liegt eine weitere Fehleinschätzung, nämlich, dass die DSGVO nicht mehr ist als eine Frage der Gesetzmäßigkeit.

Die DSGVO ist vielmehr ein Vertrag zwischen dem Unternehmen und seinen Kunden, in dem festgelegt ist, wie die personenbezogenen Kundendaten verarbeitet und geschützt werden. Jeder Vertrag hat eine rechtliche Dimension, aber die Auswirkung der DSGVO reicht darüber hinaus, denn es geht auch darum, durch Vertrauen eine engere Kundenbeziehung aufzubauen. Dies ist eine wichtige Unterscheidung, denn Vertrauen ist heute ein zentrales Gut für Marken. Wenn diese einen Vertrag bieten, den die Kunden nicht mögen oder dem sie nicht vertrauen, werden sie anfangen, ihre Daten zurückzuhalten oder die Beziehung zu einer Marke ganz aufgeben.

Verstöße gegen die DSGVO haben in den letzten Monaten das Vertrauen der Verbraucher stark beschädigt. Organisationen sollten daher die Belange des Verbraucherschutzes in den Mittelpunkt stellen und das Kundenerlebnis priorisieren – zum Beispiel durch die Einrichtung von Datenschutzportalen, auf denen Kunden auf ihre Daten zugreifen und ihre Zustimmung zu den personalisierten Dienstleistungen geben können, die sie für nützlich halten.

Mit dem stetigen Wachstum der Datenmengen ist es für Unternehmen wichtig, dass sie die Kontrolle über die Daten übernehmen. Wenn autonome Entscheidungen basierend auf Künstlicher Intelligenz und maschinellem Lernen erst im Massenmarkt angekommen sind, wird der Schwerpunkt der Rechenschaftspflicht immer mehr bei den Unternehmen liegen.

Fazit
Regulierungen sind immer ein Mindeststandard. Verbraucherfreundliche Marken sollten daher nicht nur den Standard erfüllen, sondern auch über die Vorgaben hinausgehen. Die Umsetzung der DSGVO ist ohnehin ein laufender Prozess, da immer wieder neue Vorgaben und Daten hinzukommen, deren korrekter Einsatz geprüft werden muss. Unternehmen sollten ihre Aufgabe als vertrauenswürdiger Verwalter der Kundendaten definieren, der sicherstellt, dass persönliche Informationen nicht durch Dritte missbraucht werden können. Dadurch gewinnen Kunden mehr Vertrauen in eine Marke und sind eher bereit, ihre Kundendaten weiterzugeben.
(Talend: ra)

eingetragen: 12.11.19
Newsletterlauf: 03.12.19

Talend: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ansprüche Compliance-fest dokumentieren

    Der Schutz des Intellectual Property im produzierenden Gewerbe ist angesichts globaler Wirtschaftsverflechtungen ein virulentes Problem: Der Schaden, der der deutschen Wirtschaft im vergangenen Jahr durch kriminelle Attacken entstanden ist, übersteigt laut einer aktuellen Bitkom Studie bereits die 100 Milliarden Euro-Grenze. 75 Prozent der befragten Unternehmen waren von einer solchen Attacke betroffen. Besonders auf dem Vormarsch dabei: Das Social Engineering. Dabei werden Mitarbeiter manipuliert, um sie zur Preisgabe von Informationen oder zur unwissentlichen Einschleusung von Spionagesoftware zu bringen.

  • Datenschutz: Was ändert sich 2020?

    Ende November 2019 trat das "Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU" in Kraft. Damit justierte die Bundesregierung erneut das im letzten Jahr verabschiedete Bundesdatenschutzgesetz, das an die Anforderungen der EU angepasst wurde, nach. Unter anderem besteht nunmehr eine Pflicht der Unternehmen zur Ernennung eines Datenschutzbeauftragten erst ab 20 Mitarbeitern. Vorher galt diese Vorgabe schon ab einer Größe von zehn Mitarbeitern. "Mit diesem Anpassungsgesetz wurden noch weitere Änderungen vorgenommen, bei denen es sich teilweise nur um kleine Umformulierungen - beispielsweise die Nutzung des Wortes ‚Verarbeitung' anstelle von ‚Verwendung' - handelt. Es sind noch weitere Anpassungen geplant, über deren Details bisher wenig bekannt ist. Doch es steht fest: Der Datenschutz bleibt weiter im Fokus. Dies zeigt sich auch in der für 2020 geplanten Einführung der ePrivacy-Verordnung, die ursprünglich 2018 zusammen mit der DSGVO in Kraft treten sollte. Da jedoch ein neuer Vorschlag für die Verordnung ausgearbeitet werden muss, verzögert sich die Einführung möglicherweise weiter", berichtet Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

  • IT-Risikoanalyse sichert kritische Vermögenswerte

    "Die Sicherheitsstrategie eines Unternehmens kann dann erfolgreich angesehen werden, wenn es gelingt, Risiken zu senken. Damit dies gelingt, muss verstanden werden, worum es in der Cybersicherheit geht: Nicht nur darum, die Risiken für kritische Vermögenswerte zu verstehen, sondern auch darum, sie zu verwalten, zu kontrollieren und eben zu mindern. Das hat zur Folge, dass sich IT-Sicherheitsverantwortliche mit dem Thema Risikomanagement auseinandersetzen müssen", ist IT-Sicherheitsexpertin Patrycja Tulinska überzeugt. Die Geschäftsführerin der PSW Group Consulting begründet: "Eine Risikoanalyse deckt Schwachstellen auf, sowohl im technischen als auch im menschlichen Umfeld. Mithilfe methodischer Verfahren liefert sie quantitative sowie qualitative Wahrscheinlichkeiten für Gefahren und Ausfälle."

  • Sensibilisierung und Selbstreflexion

    Wenn Mitarbeiter Bilder oder Videos von ihrem Arbeitsplatz posten, dann gefällt das nicht nur dem Freundeskreis, sondern auch Cyberkriminellen: Fotos mit sichtbaren Passwörtern, Notizen auf Whiteboards oder Produktionsanlagen im Hintergrund werden von Hackern gezielt gesucht. "Je mehr Informationen zu einem Unternehmen, seinen Mitarbeitern und Prozessen recherchierbar sind, desto gefährdeter ist dieses Unternehmen", sagt Markus Schaffrin, Sicherheitsexperte und Geschäfsbereichsleiter Mitgliederservices im eco - Verband der Internetwirtschaft e. V. Denn mit den Informationen lassen sich gezielte und individuelle Phishing-Mails erstellen oder Mitarbeiter in Social-Engineering-Attacken wie CEO-Fraud unter Druck setzen.

  • Compliance: Integraler Teil der Geschäftsstrategie

    Compliance-Verstöße können ernsthaftere Auswirkungen haben: Bisher machten vor allem Strafzahlungen in Rekordhöhe, wie die 870 Millionen im Fall des Daimler-Dieselskandals, Schlagzeilen. Erste Präzedenzfälle zeigen jedoch, dass auch Geschäftsführern kleinerer Unternehmen eine sofortige Kündigung drohen kann, wenn sie beispielsweise gegen Vorgaben im Bereich Kommissionsvergabe verstoßen, wie ein aktuelles Urteil des Oberlandesgerichts Hamm belegt. Bekannter sind die zahlreichen Fälle, in denen Sicherheitslücken dazu geführt haben, dass Kundendaten in die falschen Hände gerieten. Dies zeigt, dass das Einhalten von Compliance-Vorgaben nicht nur die Management-Ebene, sondern die gesamte Belegschaft betrifft, wenn es beispielsweise um Daten- und IT-Sicherheit geht. Compliance-Richtlinien betreffen aber auch viele weitere Bereiche, wie die Einhaltung von Branchenvorgaben, Transparenz gegenüber Produkteigenschaften, die Arbeitssicherheit, ethische Verhaltensgrundsätze, etc. Compliance-Unterweisungen sind also notwendig, um die haftungstechnischen und rechtlichen Risiken, die ein Unternehmen jeden Tag bewältigen muss, zu minimieren. Aber wie lassen sich diese Compliance-Schulungen in die Geschäftsstrategie des Unternehmens einbinden?