2 Jahre DSGVO
A Well-Intended Review
Kaum eine EU-Verordnung hat deutsche und europäische Unternehmen so tiefgreifend beschäftigt wie die DSGVO. Egal ob Gesellschaft oder Start-up: Organisationen sind seit dem 25. Mai 2018 dazu verpflichtet, die Regeln zum Schutz persönlicher Daten umzusetzen. Das bedeutet mehr als nur einen Denkansatz für alle, die personenbezogene Daten speichern oder verarbeiten. Verstöße gegen Daten, die Betroffene schädigen könnten, müssen laut DSGVO den Behörden gemeldet werden. Während dadurch z.B. Cyberkriminalität reduziert werden kann, birgt die Verordnung auch weiterhin Gefahren für Betriebe, die die Verordnung nicht zufriedenstellend umgesetzt haben. In diesem Artikel findest du eine gutgemeinte Zwischenbilanz.
Eine erste Bestandsanalyse
Beginnen wir mit den Rekordhaltern: die "Deutsche Wohnen" wurde von den Berliner Datenschutzbehörden mit dem bisher höchsten Bußgeld bestraft: 14,5 Millionen Euro für die Benutzung eines Archivsystems, das keine Löschmöglichkeit von persönlichen Daten vorsehe. Eine schmerzhafte Strafe von 9,55 Millionen Euro wurde gegen das deutsche Telekommunikationsunternehmen 1&1 verhängt. Anrufer der Hotline mussten zur Identitätsfeststellung Name und Geburtsdatum angeben - Daten, die vom Unternehmen nicht gut genug geschützt wurden. International traf es weitere bekannte Namen wie die Hotelkette Marriot, Google oder British Airways.
Eine verlässliche Quelle ist die Webseite enforcementtracker.com wo, für alle zugänglich, zahlreiche Verstöße europaweit dokumentiert werden. Hier wurden zwischen Mai 2018 und Dezember 2019 stolze 168 Vergehen mit einem Volumen von 420 Millionen Euro dokumentiert. Doch wie ist es so weit gekommen?
Ein Rückblick
Wir schreiben das Jahr 2018, spezifisch ist es der 25. Mai. An diesem Tag tritt die DSGVO in Kraft. Schon jetzt wird sie als das „beste Datenschutzrecht“ der Welt bezeichnet. Das dürfte auch heute noch zutreffend sein. Der Datenschutz und die Privatsphäre sind stärker in den Fokus der breiten Öffentlichkeit gerückt. Unternehmen wurden gezwungen, datenschutzrechtliche Prozesse zu prüfen und sicher zu machen, was oft mit nicht unerheblichen Kosten verbunden war. Das Ziel der DSGVO war es, jedem Betroffenen umfangreiche Rechte zu geben, wie z.B. die Auskunft über gespeicherte Daten sowie die Löschung dieser Daten.
Es herrschte viel Verwirrung in den Wochen vor dem Stichtag - viele Datenschutzexperten wurden von ratlosen Kunden überrannt. Es wurde mit horrenden Strafen gedroht und vielen Unternehmen wurde Stück für Stück klar, dass eine Datenschutzerklärung auf der Webseite nicht ausreichend sein wird, um diese Strafen zu umgehen.
Verlauf der Meldungen und Strafen
Eine Frage stand sehr lange im Raum: wie werden Verstöße gemeldet? Wer ist die “Datenschutzpolizei”? Verstöße können einerseits von individuellen Personen, mit deren Daten nicht DSGVO-konform umgegangen wird, an die jeweils zuständige Datenschutzbehörde gemeldet werden. Dies war bei 66% der Verstöße der Fall. 22% der Fälle wurden von den Datenschutzbehörden aufgedeckt. Alternativ kann aber das Unternehmen, dass mit Daten arbeitet, sich selbst anzeigen. Das passiert entweder durch die Mitarbeiter (6%) oder durch das Unternehmen selbst (3%) – wie z.B. im Falle von Marriot International, Inc und British Airways. Obwohl sich das Strafmaß bei Selbstanzeige deutlich reduzierte, betrug es bisher zusammengefasst 315 Millionen Euro - der größte Anteil des Kuchens. Auch NGOs informierten in drei Fällen die Behörden. Erstmal klingt das nicht nach einer signifikanten Zahl, jedoch beträgt die Strafe hierfür 68 Millionen Euro.
Die Gründe für die Strafen sind unterschiedlich. Mehr als die Hälfte der bestraften Unternehmen sind nicht korrekt mit den Kundendaten umgegangen (z.B. schlecht geschütztes Speichern, keine Löschung, etc.), ein Drittel hat die Daten überhaupt ohne Genehmigung gesammelt und die verbleibenden knapp 20% haben keinen ausreichenden Schutz der Daten gewährleistet.
DSGVO in der Veranstaltungsbranche
Gerade in der Veranstaltungsbranche wird viel mit sensiblen Gästedaten gearbeitet. Teilnehmermanagement Systeme, wie z.B. Sweap, verarbeiten im Rahmen der Durchführung von Veranstaltungen Informationen wie Gastname, E-Mail Adresse und z. B. bei Networking-Events auch Arbeitgeber. Hier ist also besondere Vorsicht geboten. Auch die Entwicklung von Zukunftstechnologien birgt viele Gefahren, z.B. beim Thema Gesichtserkennung. Die Erhebung biometrischer Daten, die mit einer Gesichtserkennungstechnologie erfolgt, ist erst einmal grundsätzlich verboten.
Doch Ausnahmen bestätigen auch hier die Regel. Dies ist der Fall, wenn die Erhebung im öffentlichen Interesse liegt, wie z.B. bei der Bekämpfung von Verbrechen. Hier ist es oft schwierig abzuwägen, welche Interessen (z.B. Polizei vs. Besucher) schwerer wiegen. Wichtig ist hierbei, dass die Ausnahme auch Ausnahme bleibt und nicht zur Regel wird.
Was kann ein Unternehmen tun, um DSGVO-sicher zu arbeiten?
Auf diese und andere Fragen zum Thema DSGVO geht unser Datenschutzexperte Sven Frauen in folgendem Interview ein.
Fazit
Die DSGVO kann definitiv als ein Meilenstein auf dem Weg zu mehr Schutz der persönlichen Daten gesehen werden. In den ersten zwei Jahren hat sich gezeigt: Viele Maßnahmen wurden bereits erfolgreich umgesetzt. Unternehmen mussten für Ihren unzureichenden Umgang mit Daten auch schon schmerzhafte Strafen zahlen. Doch wir stehen mit der Regelung erst am Anfang.
Auch die Veranstaltungsbranche ist hier gefordert und muss bei der Zusammenarbeit mit Drittanbietern besonders auf deren Umgang mit Daten achten. Zum Schutz deiner Teilnehmer.
Wie Sweap mit deinen Daten umgeht und warum du dich auf uns verlassen kannst, erfährst du hier.
Sweap
Newsletter
Newsletter
Die neuesten Trends der Eventindustrie
Wir halten dich über die Entwicklungen digitaler und analoger Veranstaltungstrends auf dem Laufenden. Jetzt anmelden und als Dankeschön den 2022 State of Event Management Report erhalten!
Weitere Beiträge
-
Green Events für nachhaltiges Eventmanagment.
Viele Unternehmen stellen gerade Stück für Stück auf mehr Nachhaltigkeit um. Mit der Digitalisierung des Einladungs- und Teilnehmermanagements können auch Sie Ihre CO2-Emissionen deutlich …
-
Case Study: IHK's Gästemanagement mit Sweap
Der kreative Einsatz von Software kann der Schlüssel zu einem erfolgreichen Gäste- und Veranstaltungsmanagement sein. Lesen Sie in dieser Fallstudie, wie die Gästeregistrierungsfunktion von Sweap der …