Dass die Datenschutz-Grundverordnung – kurz DSGVO – eine Menge Verpflichtungen mit sich bringt, ist mittlerweile den meisten Unternehmen bewusst. Welche Konsequenzen die Nichtbeachtung haben kann, zeigt der aktuelle Fall der Deutsche Wohnen SE:

Bußgeldbescheid gegen Immobilienunternehmen

Wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit am 5. November 2019 mitgeteilt hat, ist gegen das Immobilienunternehmen ein Bußgeldbescheid in Höhe von 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung ergangen. Bereits 2017 hatte die Behörde festgestellt, dass eingesetzte Archivsysteme keine Möglichkeit vorsehen, nicht mehr erforderliche Daten zu löschen bzw. keine Aufbewahrungsfristen zu Datensätzen der Mieter hinterlegt sind. Trotz entsprechender Hinweise der Behörde wurden die aufgezeigten Mängel nicht beseitigt, wie sich im Wiederholungsaudit im März 2019 herausgestellt hat.

DSGVO-konform – standardisierte Lösch- und Aufbewahrungskonzepte

Kein Einzelfall: Nach wie vor stellt die rechtskonforme Aufbewahrung und Löschung von Daten viele Unternehmen vor große Herausforderungen. Dabei steht mit der Norm DIN 66398 grundsätzlich ein hilfreiches Rahmenwerk dafür zur Verfügung. Viele IT-Systeme bieten zudem die Möglichkeit, Aufbewahrungs- und Löschfristen ohne großen Aufwand in der Konfiguration zu hinterlegen – SAP beispielsweise bietet dies mit dem sogenannten „Information Life-cycle Management“ bereits.

Für Unternehmen, die sich bei der korrekten Umsetzung der DSGVO nicht hundertprozentig sicher sind oder keine entsprechenden Kapazitäten an Bord haben, kann es sinnvoll sein, sich Rat von externen Fachleuten zu holen. Mit dem Service „Datenschutzkonformes Lösch- und Aufbewahrungskonzept“ hat etwa TÜV Rheinland bereits eine Vielzahl mittelständischer Unternehmen unterstützt. Ziel ist es, auf der Management-Ebene möglichst einheitliche Standards über Geschäftsbereiche und Regionen hinweg festzulegen, um eine universelle Anwendbarkeit und Nachhaltigkeit sicherzustellen. Im Bereich der technikbezogenen Umsetzungsvorgaben etwa gilt es, der Komplexität der IT-Struktur Rechnung zu tragen. TÜV Rheinland steht hier für einen interdisziplinären Ansatz: In unseren Projektteams entwickeln Juristen und IT-Experten gemeinsam praktikable und rechtskonforme Lösungen.*

Fazit: Datenschutz als Compliance-Disziplin verankern

Das aktuelle Rekord-Bußgeld für die Immobiliengesellschaft macht deutlich: Die verschärfte Bußgeldpraxis der Aufsichtsbehörden kann ein existenzgefährdendes Risiko für Unternehmen darstellen – Anlass genug, sich ernsthaft mit den Anforderungen der Datenschutzgrundverordnung auseinanderzusetzen. Immer mehr Unternehmen begreifen das Thema Datenschutz mittlerweile als Compliance-Disziplin. Ein Ansatz, den auch die Datenschutz-Fachleute von TÜV Rheinland unterstützen. So kann es sinnvoll sein, vorhandene Compliance Management Systeme (CMS) um die Anforderungen des Datenschutzes zu erweitern oder direkt ein integriertes CMS mit dem Baustein Datenschutz zu implementieren.

*

Im Katalog der Löschregeln gilt es Löschklassen und Datenarten zu definieren und deren Vorhalte- und Löschfristen zu identifizieren. Darüber hinaus werden die erforderlichen Mechanismen zur Umsetzung antragsbezogener Löschungen nach Art. 17 DSGVO integriert. Durch die erforderliche Kartographierung der IT-Landschaft sowie der Schnittstellen kann sich ein weiterer Mehrwert für Unternehmen ergeben. Nicht selten rückt dabei die vernachlässigte Ebene der sogenannten „Shadow-IT“ ins Blickfeld und kann dem aktuellen Dokumentationsstand hinzugefügt werden.

Autor des Beitrags

Stefan Eigler

Stefan Eigler

Practice Leader Mastering Risk & Compliance

Stefan Eigler leitet seit Mitte 2018 als Practice Leader Mastering Risk & Compliance den Bereich Datenschutz bei TÜV Rheinland. Als ausgewiesener Asien-Experte hat er gemeinsam mit den Kolleginnen und Kollegen in Shenzen (Greater China) für die dortige Fachschaft, die Datenschutzberatung als Dienstleistung von TÜV Rheinland aufgebaut und entwickelt diese in vielfältigen lokalen Kundenprojekten weiter. Stefan Eigler ist Master of Laws (Compliance) und Diplom Wirtschaftsinformatiker sowie zertifizierter CISM, CISA, CCSP, ISO27001 Lead Auditor und SAP CBA. Als leidenschaftlicher Rheinländer ist er in seiner Freizeit vorzugsweise mit seiner Frau und seinen Kindern in der Region auf Erkundungstouren unterwegs. Unterstützt wird er dabei von zwei Hunden.

Mehr Beiträge

Virtual Reality: Was kommt nach dem großen Hype?

Auch wenn es ruhiger geworden ist um Virtual Reality und Augmented Reality: Es lohnt sich, genauer hinzuschauen. Denn die Technologie bietet spannende Anwendungsmöglichkeiten.

Wie unsere Ernährung das Klima beeinflusst

Ich könnte heute über viele Themen schreiben, mit denen jede*r einzelne helfen kann, das Klima zu retten: Second Hand Kleidung, Möbel, elektronische Geräte oder Spielsachen, weniger Flugreisen.

Arbeitssicherheit: Mitarbeiter online schulen

Die Digitalisierung ist in aller Munde. Gerade im nun beendeten Bundestags-Wahlkampf begegnete einem das Schlagwort auf vielen Plakaten, in etlichen Statements. Genau wie Bildung.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.