Verstöße gegen die DSGVO: Das sind die Folgen

Verstöße gegen die DSGVO: Das sind die Folgen

Was passiert, wenn ein Unternehmen gegen Gesetze des Datenschutzes verstößt und mit welchen Konsequenzen ist zu rechnen? Wir zeigen Ihnen, was passieren kann.

Mit der neuen Datenschutzgrundverordnung (DSGVO) wurde nochmals der Fokus auf das Thema des Datenschutzes gelenkt. Damit verbunden auch die Ankündigung, vermehrt Verstöße gegen diese erlassenen Richtlinien zu verfolgen und zu sanktionieren. Nun sind seit in Kraft treten im Mai 2018 mehr als 90.000 Meldungen über Datenlecks bei Firmen in europäischen Datenschutzbehörden eingegangen. Gerade einmal 25% aller Unternehmen seien laut einer BitKOM-Studie vollständig DSGVO-konform.

Viel Arbeit also für die Behörden, die bereits mit ordentlichen Bußgeldforderungen um sich werfen. Wir wollen uns an dieser Stelle einmal ein paar bisherige Fälle näher anschauen und an Hand dieser Fälle aus der Praxis herausstellen, wie es zu derartigen Strafen kommen kann und wie man diese umgehen hätte können.

Oftmals hätte man diese übrigens mit einem ganzheitlichen CRM-System und entsprechenden Vorkehrungen und Konzepten vermeiden können. Aber dazu im Laufe des Artikels mehr.

Inhaltsverzeichnis

Rekordstrafe für Deutsche Wohnen

Einer der letzten prominenten Fälle betraf die Deutsche Wohnen (DW) die Seitens der Berliner Datenschutzbehörde wegen Verstößen gegen die DSGVO mit einer, für Deutschland geltend, Rekordsumme von 14,5 Millionen Euro bedacht wurde. Was war passiert?

Bereits im Jahr 2017 sei die Berliner Datenschutzbehörde auf die DW zugekommen und habe diese darauf hingewiesen man möge das eigene Archivsystem überarbeiten, da dieses keine Möglichkeit zur Löschung von Daten von Mietern vorsehe.

Um welche Daten handelte es sich?

Bei den konkreten Daten handelte es sich vor allem um Gehaltsbescheinigungen, Selbstauskunftsformulare oder auch Auszügen aus Arbeitsverträgen und Steuer-und Krankenversicherungsdaten. Da nach einer Prüfung im März 2019 weiter nichts geschehen sei, verhängte die Berliner Datenschutzbehörde das entsprechende Bußgeld.

In einer Pressmitteilung ließ man verlauten, dass man leider häufig auf derartige Datenfriedhöfe, wie dem bei der DW, stoße. Die Brisanz werde immer erst dann klar, wenn es durch Cyberangriffe zu missbräuchlicher Nutzung solcher Daten komme.

Doch auch ohne derartige Angriffe, sei das verhalten der DW nichts anderes als ein klarer Verstoß gegen die Datenschutzgrundverordnung, so Maja Smoltczyk, Berliner Datenschutzbeauftragte.

Bußgeld gegen Delivery Hero

Den Rekord für das höchste Bußgeld wegen Verstößen gegen die Datenschutzgrundverordnung hielt zuvor noch Delivery Hero mit 195.407 Euro. Das klingt im Vergleich zur Strafe der DW zwar verhältnismäßig wenig, ist aber durchaus auch schmerzhaft. Denn hier wurden in zehn Fällen alte Konten von inaktiven Kunden nicht gelöscht und in acht Fällen Werbe-E-Mails unerwünschter Weise an ehemalige Kunden verschickt.

Dem Widerspruch folgten weitere E-Mails

So habe ein Kunde trotz Wiederspruch weitere 15 Werbe-E-Mails erhalten und in fünf weiteren Fällen ignorierte das Unternehmen eingeforderte Selbstauskünfte gegenüber den Beschwerdeführenden Personen. Dieser Fall zeig letztlich was passiert, wenn man die DSGVO in puncto der Löschung von Daten und dem Ignorieren von Selbstauskünften all zu locker nimmt und dem nicht nachkommt.

British Airways unangefochten an der Spitze

Das bis dato höchste Bußgeld im Zuge der DSGVO wurde gegen British Airways verhängt. In diesem Fall kam es weniger zu einem Datenschutzvergehen im engeren Sinne, als vielmehr zu einem Problem in der IT-Sicherheit. Hier nutzen Unbekannteeine Sicherheitslücke im IT-System der British Airways aus und griffen so Daten von gut einer halben Millionen Kunden ab.

Vermutlich leiteten die Angreifer die Nutzer der Website von British Airways auf eine gefälschte Seite um, wo diese dann ihre Daten eingaben. Die Strafe die British Airways für diese Sicherheitslücke zu bezahlen habe, betrage etwas mehr als 200 Millionen Euro, ist aber noch nicht rechtskräftig.

Hier wurde also zu wenig auf die Sicherheit der eigenen Website geachtet, was zu einem gravierenden Skandal geführt hat. Doch die britische Datenschutzbehörde ist durchaus umtriebig und verhängte auch die zweihöchste Strafe aller Zeiten im Zuge der DSGVO.

Hotelkette Marriott mit Datenleck

Rund 110 Millionen Euro verlangt die britische Datenschutzbehörde von der US-Hotelkette Marriott. Hackern sei es gelungen Daten von etwa 383 Millionen Gästen der Hotelkette zu gelangen, darunter auch rund 385.000 noch gültige Zahlungskartennummern. Dabei griffen die Hacker eine Reservierungsdatenbank eines Tochterunternehmens an und erbeuteten von dort die Daten.

Sicherung des Speicherortes elementar 

Dieses Beispiel verdeutlicht noch einmal ganz gut, wie wichtig die Wahl des Speicherortes und die Sicherung dieses werden kann. Bis zu 20 Millionen Euro Bußgeld kann eine europäische Behörde für Verstöße gegen die DSGVO verhängen.

Bei größeren Konzernen, wie der British Airways und eben der Marriott Hotelkette können jedoch auch bis zu 4% des Jahresumsatzes für die Errechnung der Höhe eines Bußgeldes zu Grunde liegen. So sind auch Milliardenstrafen theoretisch denkbar.

CRM-System hätte helfen können

Was hat das Ganz am Ende nun mit CRM-Systemen zu tun? Nun, In den ersten beiden hier skizzierten Fällen, hätten spezielle Funktionen in CRM-System tatsächlich geholfen. Hier kam es nicht zu Angriffen von außen, als vielmehr zu internen Versäumnissen. Im Fall der Deutschen Wohnen hat man schlichtweg kein neues Archivierungsverfahren implementiert.

CRM-System können durchaus dabei helfen, Löschfristen zu beachten und sensible Daten entsprechend zu behandelt.

Auch im Falle von Delivery Hero hätte ein CRM-System die Wünsche der ehemaligen Kunden nach Löschung der Daten direkt in einen entsprechenden Workflow umwandeln können, sodass es nicht zu dieser „Unannehmlichkeit“ gekommen wäre. Ein CRM-System verbessert den Kundenservice massiv und damit einhergehend eben auch das Reklamations-und Beschwerdemanagement.

Gerade für kleine Unternehmen bedrohlich

Die hier angeführten Beispiele verdeutlichen letztlich eins – Datenschutz ist keine Option und darf nicht auf dieleichte Schulter genommen werden.

Gerade für kleinere Unternehmen, die oftmals mit deutlich engerem Korsett arbeiten müssen, könnte eine derartige Strafe ein echtes Problem darstellen und diese sogar in den Bankrott treiben. Damit das nicht passiert, sollte man sich genau bewusstwerden, wie mit personenbezogenen Daten im Unternehmen umgegangen wird.

Fazit: Ein CRM-System schützt vor Verstöße

Ein CRM-System hilft nicht nur dabei die Daten beisammen zu halten, es kann dafür sorgen, das Löschfristen eingehalten werden, Anträgen auf Selbstauskünften nachgekommen wird oder auch Daten vor Zugriff Dritter geschützt sind.

Letztlich führt die Einhaltung der Datenschutzgrundverordnung mit Hilfe eines CRM-Systems dazu, dass viele Prozesse automatisiert und Daten schneller gefunden werden können.

Leverancier van de maand

Der SharePoint Server als Mediathek für den Außendienst

Präsentationen, Datenblätter, technische Dokumentation im technischen Vertrieb

Lesen Sie weiter
Leverancier van de maand

Sales Automation mit WorkFlows

Warum reden alle über Marketing Automation? Denken Sie mal über Sales Automation mit den Kriegerkollegen nach!

Lesen Sie weiter