Die DSGVO ist seit genau zwei Jahren in Kraft. Sie gilt für alle Unternehmen, die im Zuge ihrer Aufträge personenbezogene Daten verarbeiten – entsprechend gelten auch für IT-Dienstleister und IT-Berater spezielle Anforderungen. Das gilt sowohl für die Entwicklung von Produkten (sofern hier Daten verarbeitet werden), für Analysetools zum Tracking auf Webseiten als auch für die Wartung und Prüfung von IT-Systemen (unabhängig davon, ob diese vor Ort oder remote erfolgt). Das bedeutet zum einen, dass Verstöße gegen die DSGVO mit erheblichen Konsequenzen einhergehen, zum anderen aber auch, dass man mit einem guten Datenschutz-Management einen Wettbewerbsvorteil hat.
Vorgehen bei einer Datenschutzverletzung
Grundsätzlich sind also die Vorgaben der DSGVO zu beachten. Es gibt allerdings dennoch Fälle, bei denen Datenpannen und infolge dessen Imageschäden entstehen. Wenn dies geschieht, sind weitere Konsequenzen auch von dem Umgang des IT-Dienstleisters mit dem Vorfall abhängig. Kommt es zu einer Schutzverletzung der personenbezogenen Daten wie Datenlöschung, Datenleaks oder der Veränderung von Daten, ist dies in der Regel bei der Aufsichtsbehörde meldepflichtig. Hierbei ist eine stufenweise Meldung möglich – je nach Kenntnisstand des Schadenumfangs, der sich in der Regel erst nach und nach zeigt.
In einem zweiten Schritt ist zu überlegen, ob und wann die Betroffenen – beispielsweise Kunden, deren Daten beschädigt wurden – informiert werden müssen. Hier muss ein hohes Risiko bezüglich der Rechte der Betroffenen vorliegen. Eine umfassende Meldung wie bei der Aufsichtsbehörde ist nicht nötig, allerdings muss unter anderem die Art der Schutzverletzung angegeben werden sowie ein Ansprechpartner beziehungsweise der Datenschutzbeauftragte.
Massiver Imageschaden möglich – Beispiel Buchbinder
Ein Beispiel dafür, wie sich ein mangelhafter Datenschutz gleich auf zwei Ebenen auswirkt, ist der Anfang des Jahres bekannt gewordene Datenleak der Autovermietung Buchbinder. Dort ist es aufgrund fehlenden Datenschutzes zu einer Sicherheitslücke gekommen, wodurch alle gespeicherten Kundendaten im Internet frei abrufbar waren – vom vollen Namen über die Adresse bis hin zu etwaigen Unfällen und gesundheitlichen Folgen. Darüber hinaus hüllte sich das Unternehmen nach Bekanntwerden der Datenschutzverletzung und Schließen des Serverlecks in Schweigen – Informationen über das weitere Vorgehen bleibt die Firma schuldig. Auch erfolgte keine Warnung über mögliche Konsequenzen wie Datenmissbrauch durch Dritte. Betroffene haben derzeit kaum eine Handhabe, Ansprüche durchzusetzen.
Ein unzureichendes Datenschutzkonzept beziehungsweise ein verfehlter Umgang mit Datenpannen kann zu erheblichen Imageschäden des Unternehmens führen. Dazu muss es nicht erst zu einem großen Zwischenfall kommen, oft reichen auch schon ein grundsätzlicher nachlässiger Umgang mit dem Datenschutz und kleinere Zwischenfälle, um den Ruf zu schädigen. Insbesondere dann, wenn der Kunde seine Auftragnehmer auch unter datenschutzrechtlichen Kriterien auswählt, wie es immer häufiger geschieht.