2 Jahre DSGVO

Beginnen wir mit den Rekordhaltern: die "Deutsche Wohnen" wurde von den Berliner Datenschutzbehörden mit dem bisher höchsten Bußgeld bestraft: 14,5 Millionen Euro für die Benutzung eines Archivsystems, das keine Löschmöglichkeit von persönlichen Daten vorsehe. Eine schmerzhafte Strafe von 9,55 Millionen Euro wurde gegen das deutsche Telekommunikationsunternehmen 1&1 verhängt. Anrufer der Hotline mussten zur Identitätsfeststellung Name und Geburtsdatum angeben - Daten, die vom Unternehmen nicht gut genug geschützt wurden. International traf es weitere bekannte Namen wie die Hotelkette Marriot, Google oder British Airways.

Eine verlässliche Quelle ist die Webseite enforcementtracker.com wo, für alle zugänglich, zahlreiche Verstöße europaweit dokumentiert werden. Hier wurden zwischen Mai 2018 und Dezember 2019 stolze 168 Vergehen mit einem Volumen von 420 Millionen Euro dokumentiert. Doch wie ist es so weit gekommen?

Wir schreiben das Jahr 2018, spezifisch ist es der 25. Mai. An diesem Tag tritt die DSGVO in Kraft. Schon jetzt wird sie als das „beste Datenschutzrecht“ der Welt bezeichnet. Das dürfte auch heute noch zutreffend sein. Der Datenschutz und die Privatsphäre sind stärker in den Fokus der breiten Öffentlichkeit gerückt. Unternehmen wurden gezwungen, datenschutzrechtliche Prozesse zu prüfen und sicher zu machen, was oft mit nicht unerheblichen Kosten verbunden war. Das Ziel der DSGVO war es, jedem Betroffenen umfangreiche Rechte zu geben, wie z.B. die Auskunft über gespeicherte Daten sowie die Löschung dieser Daten.

Es herrschte viel Verwirrung in den Wochen vor dem Stichtag - viele Datenschutzexperten wurden von ratlosen Kunden überrannt. Es wurde mit horrenden Strafen gedroht und vielen Unternehmen wurde Stück für Stück klar, dass eine Datenschutzerklärung auf der Webseite nicht ausreichend sein wird, um diese Strafen zu umgehen.

Eine Frage stand sehr lange im Raum: wie werden Verstöße gemeldet? Wer ist die “Datenschutzpolizei”? Verstöße können einerseits von individuellen Personen, mit deren Daten nicht DSGVO-konform umgegangen wird, an die jeweils zuständige Datenschutzbehörde gemeldet werden. Dies war bei 66% der Verstöße der Fall. 22% der Fälle wurden von den Datenschutzbehörden aufgedeckt. Alternativ kann aber das Unternehmen, dass mit Daten arbeitet, sich selbst anzeigen. Das passiert entweder durch die Mitarbeiter (6%) oder durch das Unternehmen selbst (3%) – wie z.B. im Falle von Marriot International, Inc und British Airways. Obwohl sich das Strafmaß bei Selbstanzeige deutlich reduzierte, betrug es bisher zusammengefasst 315 Millionen Euro - der größte Anteil des Kuchens. Auch NGOs informierten in drei Fällen die Behörden. Erstmal klingt das nicht nach einer signifikanten Zahl, jedoch beträgt die Strafe hierfür 68 Millionen Euro.

Die Gründe für die Strafen sind unterschiedlich. Mehr als die Hälfte der bestraften Unternehmen sind nicht korrekt mit den Kundendaten umgegangen (z.B. schlecht geschütztes Speichern, keine Löschung, etc.), ein Drittel hat die Daten überhaupt ohne Genehmigung gesammelt und die verbleibenden knapp 20% haben keinen ausreichenden Schutz der Daten gewährleistet.

Gerade in der Veranstaltungsbranche wird viel mit sensiblen Gästedaten gearbeitet. Teilnehmermanagement Systeme, wie z.B. Sweap, verarbeiten im Rahmen der Durchführung von Veranstaltungen Informationen wie Gastname, E-Mail Adresse und z. B. bei Networking-Events auch Arbeitgeber. Hier ist also besondere Vorsicht geboten. Auch die Entwicklung von Zukunftstechnologien birgt viele Gefahren, z.B. beim Thema Gesichtserkennung. Die Erhebung biometrischer Daten, die mit einer Gesichtserkennungstechnologie erfolgt, ist erst einmal grundsätzlich verboten.

Doch Ausnahmen bestätigen auch hier die Regel. Dies ist der Fall, wenn die Erhebung im öffentlichen Interesse liegt, wie z.B. bei der Bekämpfung von Verbrechen. Hier ist es oft schwierig abzuwägen, welche Interessen (z.B. Polizei vs. Besucher) schwerer wiegen. Wichtig ist hierbei, dass die Ausnahme auch Ausnahme bleibt und nicht zur Regel wird.

Auf diese und andere Fragen zum Thema DSGVO geht unser Datenschutzexperte Sven Frauen in folgendem Interview ein.

Die DSGVO kann definitiv als ein Meilenstein auf dem Weg zu mehr Schutz der persönlichen Daten gesehen werden. In den ersten zwei Jahren hat sich gezeigt: Viele Maßnahmen wurden bereits erfolgreich umgesetzt. Unternehmen mussten für Ihren unzureichenden Umgang mit Daten auch schon schmerzhafte Strafen zahlen. Doch wir stehen mit der Regelung erst am Anfang.

Auch die Veranstaltungsbranche ist hier gefordert und muss bei der Zusammenarbeit mit Drittanbietern besonders auf deren Umgang mit Daten achten. Zum Schutz deiner Teilnehmer.

Wie Sweap mit deinen Daten umgeht und warum du dich auf uns verlassen kannst, erfährst du hier.