DSGVO & Compliance

Wie Datenschutz zum Erfolg beiträgt

von - 05.05.2021
Datensicherheit
Foto: sdecoret / shutterstock.com
Der richtige Umgang mit Gesetzen und Regeln senkt Risiken und schützt die Reputation. Auch, wenn die Umsetzung der DSGVO teilweise immer noch schwerfällt - sie bringt viele Vorteile.
Die international und national anerkannten Standards guter und verantwortungsvoller Unternehmensführung haben (…) einen hohen Stellenwert. Die Einhaltung dieser Standards ist für uns eine wesentliche Grundvoraussetzung für ein qualifiziertes und transparentes Unternehmensmanagement mit dem Ziel eines nachhaltigen Erfolgs für den gesamten Konzern.“
Diese Zeilen stammen aus dem „Corporate-Governance-Bericht“ 2019 eines Unternehmens, das mittlerweile als Paradebeispiel für das Versagen interner und externer Kontrollen gilt: Wirecard. Der Zahlungsdienstleister ist bei Weitem nicht der einzige, bei dem auf schöne Worte weniger schöne Taten folgten. Im vergangenen Jahr erhob beispielsweise der auf Aktien-Leerverkäufe spezialisierte Brite Fraser Perring schwere Vorwürfe gegen die Leasingfirma Grenke. Die da­raufhin eingesetzte Wirtschaftsprüfungsgesellschaft Mazars konnte in einer Sonderprüfung den Verdacht von Luftbuchungen wie bei Wirecard zwar nicht bestätigen, attestierte dem Leasingkonzern aber grobe Fehler und Compliance-Verstöße, etwa bei der Geldwäscheprävention und der Kreditvergabe.
Auch die Missachtung des Datenschutzes sorgt immer wieder für Skandale. Die größten Wellen schlug im vergangenen Jahr der Fall H&M. Das Bekleidungsunternehmen hatte im Servicecenter Nürnberg über Jahre hinweg bei einem Teil der Beschäftigten private Lebensumstände detailliert erfasst. Die Datensammlung enthielt unter anderem Informationen über Krankheiten, familiäre Probleme und religiöse Bekenntnisse. Der zuständige Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Caspar (siehe auch Interview auf Seite 30) verhängte für die Datensammelwut gegen das Bekleidungshaus ein Bußgeld von über 35 Millionen Euro. Die Entscheidung ist rechtskräftig.

Drei Jahre DSGVO

Dass der Hamburgische Datenschutzbeauftragte überhaupt ein derart hohes Bußgeld verhängen konnte, ist der Europäischen Datenschutz-Grundverordnung (DSGVO) zu verdanken. Sie sieht bei Verstößen Strafen von bis zu 20 Millionen Euro beziehungsweise 4 Prozent des weltweiten Umsatzes vor, je nachdem welcher Betrag höher ist. Im alten Bundesdatenschutzgesetz waren es gerade einmal 300.000 Euro.
Rund drei Jahre nach ihrem Wirksamwerden sehen Datenschutzexperten allerdings mit gemischten Gefühlen auf die EU-Verordnung. „Die DSGVO war das erste große Gesetzeswerk, das die digitale Erfassung des sozialen Miteinanders regelt und Verstöße mit Bußgeldern belegt“, sagt Sebastian Kraska, Gründer und Geschäftsführer der IITR Datenschutz GmbH.“ Tatsächlich fanden die in der Datenschutz-Grundverordnung niedergelegten Prinzipien nicht nur in der Europäischen Union Beachtung, auch andere Staaten wie die Schweiz und Kalifornien orientierten sich bei der Novellierung ihrer Datenschutzbestimmungen stark an ihr.
Sebastian Kraska
Dr. Sebastian Kraska
Geschäftsführer der IITR Datenschutz GmbH
www.iitr.de
Foto: IITR
„Unternehmen können nicht auf das Verständnis der Aufsichtsbehörden ­hoffen, wenn sie nicht zumindest die Basisthemen abdecken.“
Die mediale Aufmerksamkeit und die drohenden hohen Bußgelder bei Verstößen haben laut Kraska zudem den Stellenwert des Datenschutzes deutlich gestärkt. „Seit Einführung der DSGVO befassen sich die Unternehmen intensiver mit dem Thema Datenschutz, haben mehr Ressourcen dafür zur Verfügung gestellt und machen sich auch Gedanken darüber, welche Daten sie erheben und gegebenenfalls zur Verarbeitung an Dritte weitergeben.“
Kraska sieht jedoch auch erhebliche Defizite. Vor allem das Grundkonzept, dass jede Datenverarbeitung unter einem Erlaubnisvorbehalt steht und prinzipiell erst einmal unzulässig ist, sei nicht zeitgemäß, meint der Datenschutzexperte: „Da hätte man mit guten Argumenten auch zu anderen Regelungskonzepten greifen können, die einer modernen Informationsgesellschaft eher entsprechen und die auch den Schutz der informationellen Selbstbestimmung gewährleistet hätten.“
Ein wesentlicher Webfehler der DSGVO ist auch das sogenannte „One-Stop-Shop“-Prinzip. Für Unternehmen ist demnach diejenige Aufsichtsbehörde federführend zuständig, in deren Land sich der Firmenhauptsitz befindet. Die großen US-Digitalkonzerne haben ihre Zentralen überwiegend in Irland angesiedelt – und das mit gutem Grund. Die irische Aufsichtsbehörde galt schon vor Inkrafttreten der DSGVO als besonders nachsichtig und nachlässig. Daran hat auch die neue Datenschutzverordnung wenig geändert, die doch eigentlich zu einer Harmonisierung im europäischen Datenschutzrecht führen sollte. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber fand diese Situation laut einem „Handelsblatt“-Bericht im vergangenen Jahr „unerträglich“ und regte die Bildung einer europäischen Datenschutzagentur für große, grenzüberschreitende Fälle an. 
Verwandte Themen