DMS Datenschutz
dsgvo-verstob-dms

Vermeiden Sie einen DSGVO-Verstoß mit dem DMS

DSGVO-Verstöße können ein folgenschweres Nachspiel haben. Erfahren Sie hier, wie ein DMS Sie vor Verstößen bewahren kann.

Im Mai 2018 trat die DSGVO endgültig in Kraft. Bereits seit 2016 hatten Unternehmen in Vorbereitung auf die Datenschutzgrundverordnung damit begonnen, entsprechende infrastrukturelle Änderungen vorzunehmen – ausreichend Zeit, um sich umfassend auf die neuen Gesetze einzustellen, so scheint es. 

Erste Schwachstellen offenbart

Doch die Praxis sieht anders aus. Bereits kurz nach Inkrafttreten der DSGVO kam es zu den ersten Datenlecks in Zusammenhang mit Verstößen gegen die DSGVO. In den meisten Fällen wurden zudem teils hohe Bußgelder verhängt. Um zu vermeiden, dass dem eigenen Unternehmen ähnliches blüht, können die Verstöße anderer Unternehmen als Paradebeispiel dafür dienen, was im eigenen Haus unbedingt vermieden werden sollte. 

Aus diesem Grund wollen wir uns an dieser Stelle einmal näher dem Thema der DSGVO Verstöße annehmen. Es kann bereits vorweggenommen werden, dass in vielen Fällen ein adäquates DMS dabei hätte helfen können, entsprechende Verstöße zu vermeiden – doch dazu später mehr. 

Die Österreichische Post muss 18 Millionen Euro Strafe zahlen 

Die Neuigkeiten über die Österreichische Post gingen im Oktober 2019 durch die Medien. Die Österreichische Post AG hatte individuelle Datenprofile von insgesamt 2.2 Millionen Menschen gesammelt und vermarktet. Unter anderem enthielten diese Datenprofile die Parteiaffinität der betroffenen Bürger, Angaben zur Umzugshäufigkeit sowie die Frequenz von Paketlieferungen. 

Wahlwerbung gezielter schalten

Die Parteiaffinität wurde mittels eines Rechenmodells ermittelt, welches Umfragen, Hochrechnungen, Wahlergebnisse und Statistiken mit einbezieht und dann mit den persönlichen Daten des einzelnen abgleicht. Ziel dieser Datenerfassung war es, den entsprechenden Parteien zu ermöglichen, zielgerichtetere Wahlwerbung zu versenden. 

Empfindliche Strafe

Laut Angaben der Österreichischen Post AG handelte es sich hierbei um ein rechtmäßiges Marketinganalyseverfahren. Die österreichische Datenschutzbehörde verhängte jedoch eine Verwaltungsstrafe in Höhe von 18 Millionen Euro. Ihren Angaben nach hatte der Konzern gegen Artikel 9 DSGVO verstoßen, welcher strikt die Verarbeitung sogenannter „besonderer Kategorien personenbezogener Daten“ untersagt. 

Besondere Daten brauchen besonderen Schutz

Zu dieser Art von Daten zählen beispielsweise ethnische Herkunft oder sexuelle Orientierung, aber auch politische Einstellung. Hinzu kommt ein Verstoß gegen Artikel 7 DSGVO, da betroffene Personen nicht über die Datenverarbeitung informiert waren. 

Traurige Bilanz bereits nach einem Jahr DSGVO 

Bereits im Mai 2019 – ein Jahr nach endgültigem Inkrafttreten der DSGVO – waren bereits allein in Deutschland in insgesamt 75 Fällen Bußgelder wegen Verstoßes gegen die DSGVO verhängt worden. Auf diese Zahl kam eine Umfrage der Welt am Sonntag, im Rahmen derer Datenschutzbeauftragte aus allen Bundesländern befragt wurden. Da Thüringen und Mecklenburg-Vorpommern keine Stellung bezogen, ist die Tatsächliche Zahl vermutlich noch höher.

Mehr Daten als notwendig

Das bis dato, dritthöchste Bußgeld in Höhe von 294.000 Euro wurde indessen vom niedersächsischen Datenschutzbeauftragten wegen Verstößen gegen den Beschäftigtendatenschutz verhängt. In diesem Fall wurden Personalakten unnötig lange gespeichert und aufbewahrt. Auch wurden unnötigerweise Gesundheitsdaten von den Angestellten gespeichert, was ebenfalls geahndet wurde. 

Europaweit Verstöße gegen den Datenschutz 

Deutschland und Österreich sind bei weitem nicht die einzigen Länder, in denen bereits zahlreiche Strafen und Bußgelder aufgrund von datenschutzrechtlichen Verstößen verhängt wurden. So verurteilte beispielsweise CNIL, die französische Datenschutzbehörde, den Google Konzern zu einer Strafe von 50 Millionen Euro. 

Nicht jeder Mitarbeiter braucht Zugriff auf Daten

Auch in Portugal kam es zu einem gravierenden Verstoß gegen die DSGVO, im Rahmen dessen ein Bußgeld in Höhe von 400.000 Euro verhängt wurde. Konkret handelte es such hier um ein Krankenhaus, in dem zu viele Personen Zugriff auf teils sensible Patientendaten hatten.

Ganze 200 Millionen für British Airways 

Mit einer Rekordstrafe von 200 Millionen Euro traf es die Fluggesellschaft British Airways aus dem Vereinigten Königreich am härtesten. Dabei handelte es sich in diesem Fall nicht um einen Datenmissbrauch seitens des Konzern, sondern vielmehr eine Sicherheitslücke in der IT der Fluggesellschaft, die dazu führte, dass Unbefugte sich Zugriff auf die Daten von etwa einer halben Millionen Menschen verschaffen konnten. 

Auch bei Angriffen haftbar

Offenbar wurden Kunden von den Angreifern auf eine gefälschte Seite umgeleitet, auf der diese dann ihre persönlichen Daten eingaben. Auf diesem Weg konnten sie dann von den Angreifern abgegriffen werden. Besonders an diesem Fall wird deutlich, dass nicht in jedem Fall die eigene, „böse Absicht“ maßgeblich für einen Datenschutzskandal ist. 

Strafen können hoch ausfallen

Es genügt auch, wenn ein zu geringer Wert auf den technischen Datenschutz im eignen Unternehmen gelegt wird, um eine saftige Strafe zu kassieren. Doch wie sichert man sich ausreichend gegen potenzielle Verstöße – besonders, wenn diese unbeabsichtigt aus menschlichem Versagen heraus geschehen? 

Eigene IT-Struktur sichern

Zunächst sollte sichergestellt werden, dass Daten in keinem Fall zu einem anderen Zweck genutzt werden, als aus dem, aus dem sie ursprünglich erhoben wurden. Ein Kunde mag eingewilligt haben, bestimmte Daten aus Kundenservice-Gründen preiszugeben. Dies bedeutet jedoch nicht, dass diese auch zwangsläufig zu Marketingzwecken verwendet werden dürfen – und schon gar nicht, dass diese ohne Einwilligung des Kunden an Dritte übermittelt werden dürfen. 

Datenschutz im DMS

Im Fall des portugiesischen Krankenhauses kam es zu einer hohen Geldstrafe, da zu viele Personen Zugriff auf Patientendaten hatten – eine Problematik, die sich grundsätzlich schnell und einfach beheben lässt. Diverse Hersteller von Dokumentenmanagement Systemen (kurz DMS) haben sich auf das Gesundheitswesen spezialisiert und wissen, dass im Umgang mit sensiblen Patienten- und Gesundheitsdaten besondere Sicherheitsvorkehrungen getroffen werden müssen. 

Standard-DMS schon hilfreich

In diesem Fall hätte jedoch vermutlich sogar ein branchenunabhängiges DMS genügt, welches standardisiert über ein Rollenvergabesystem verfügt. Mittels eines Rollenvergabesystems kann festgelegt werden, welche Art Nutzer welche Zugriffberechtigungen auf welche Dokumente im DMS hat. So müssen entsprechende Berechtigungen nicht für jeden Nutzer einzeln vergeben werden.

Löschfunktionen erinnern an Fristen

Im Fall des Verstoßes gegen den Beschäftigtendatenschutz in Niedersachsen wurden Daten unter Anderem „unnötig lange“ im System gespeichert. Auch dies lässt sich mit einem geeigneten DMS automatisch vermeiden, ohne dass es einem manuellen Eingriff bedarf. So können standardisiere Löschfristen im DMS festgelegt werden. Nach verstreichen der gesetzlich geregelten Aufbewahrungsfrist können entsprechende Dokumente aus dem System entfernt werden. 

Sicherheitsmaßnahmen müssen getroffen werden

Doch auch das leistungsstärkste DMS nützt wenig, wenn die Sicherheit der IT-Infrastruktur selbst Lücken aufweist. Im Fall von British Airways könnten Angreifer die Website des Konzernes manipulieren. 

Aus diesem Grund sollte in jedem Fall sichergestellt werden, dass im Vorab entsprechende Sicherheitsmaßnahmen getroffen werden, um das System und die darin verarbeiteten Daten zu schützen. Von der End-to-End-Encryption (kurz E2EE) bei der Datenübermittlung bis hin zur physischen Serversicherheit ist der technische Datenschutz ein Bereich, in dem Unternehmen nicht am falschen Ende sparen sollten. 

Fazit – Datenschutz ist keine Option

Unternehmen, ganz gleich welcher Branche sie angehören oder wie viele Mitarbeiter diese beschäftigen, müssen sich mit der DSGVO auseinandersetzen. Doch wenn man die gesamten Auflagen weniger als Last, also vielmehr als Instrument, welches hilft sich besser zu verwalten betrachtet, ist es alles gar nicht so wild. 

Ein DMS unterstützt Unternehmen bei der Einhaltung der DSGVO und verhindert somit Strafen wegen Verstößen gegen diese. Doch viel wichtiger, es bietet Unternehmen die Sicherheit im Umgang mit Daten sauber umgehen zu können und diese verarbeiten zu können. 

Lesen Sie mehr über:
DMS DMS Software Datenschutz DSGVO Datenleck

Die Kosten einer hybriden DMS-Software

Die Kosten einer DMS-Software hängen unter anderem vom Lizenzmodell des Systems ab. Wieviel eine DMS-Software kostet, erfahren Sie hier.

Lesen Sie weiter

Die Kosten einer lokalen DMS-Software

Eine lokale DMS-Software ist mit vielen verschiedenen Kosten verbunden. Welche das sind und was Sie bei der DMS-Auswahl berücksichtigen sollten, lesen Sie hier.

Lesen Sie weiter